Убирается до смешного легко :) Quick Help - отключение всех сторонних надстроек к чорту в Internet Options-Advanced. А далее - искать все левые надстройки
UPD. Попался свежачок, отключение настроек ему по барабану, лечится сбросом браузера к первоначальным настройкам
понедельник, 22 декабря 2008 г.
Еще про Explorer\Advanced\Folder\(Super)Hidden
Выяснил забавную вещь. Оказываеццо, можно так сделать:
В Hidden добавить значение Policy="DontShow" и подключ Policy, в него еще подключ Policy, в него RegKey = "SOFTWARE\..\Folder\Hidden" и в свойствах папки не будет отображаться выбор между показывать/не показывать скрытые файлы. Аналогично для superhidden про системные. Гы :) Поиск в гугле показывает мое первенство в данном результате
В Hidden добавить значение Policy="DontShow" и подключ Policy, в него еще подключ Policy, в него RegKey = "SOFTWARE\..\Folder\Hidden" и в свойствах папки не будет отображаться выбор между показывать/не показывать скрытые файлы. Аналогично для superhidden про системные. Гы :) Поиск в гугле показывает мое первенство в данном результате
Заставить explorer показывать скрытые и системные файлы
Одно из возможных решений - накатить первоначальные настройки. Погуглив, нашел два варианта.
Первый - от китайского автора из microsoft.com
http://support.microsoft.com/kb/555640/zh-cn
Один бдительный товарисч правильно заметил, что применять этот рег без оглядки нежелательно, ибо кое-что будет отображаться "по-китайски" :) Поэтому использовать этот рег надо очень аккуратно, например вырезав параметры text :)
Второй - от английского автора
http://www.pctools.com/forum/archive/index.php/t-5843.html
Но и этот вариант не совсем корректный, так то.
Небольшое исследование с помощью regmon-а от Руссиновича показало, что explorer ищет еще и подключ Policy в ключах Hidden и SuperHidden и некоторые зверьки вполне се активно пользуют оный.
Поскольку народ требует выложить рецепт для подчистки остаточных явлений после вирусов, выраженных в невозможности видеть через проводник скрытые и системные файлы, то пришлось потрудиться в блокноте и выложить результат. Вот :)
Собственноручно проверил!
Первый - от китайского автора из microsoft.com
http://support.microsoft.com/kb/555640/zh-cn
Один бдительный товарисч правильно заметил, что применять этот рег без оглядки нежелательно, ибо кое-что будет отображаться "по-китайски" :) Поэтому использовать этот рег надо очень аккуратно, например вырезав параметры text :)
Второй - от английского автора
http://www.pctools.com/forum/archive/index.php/t-5843.html
Но и этот вариант не совсем корректный, так то.
Небольшое исследование с помощью regmon-а от Руссиновича показало, что explorer ищет еще и подключ Policy в ключах Hidden и SuperHidden и некоторые зверьки вполне се активно пользуют оный.
Поскольку народ требует выложить рецепт для подчистки остаточных явлений после вирусов, выраженных в невозможности видеть через проводник скрытые и системные файлы, то пришлось потрудиться в блокноте и выложить результат. Вот :)
Собственноручно проверил!
[cut]
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30499"
"Type"="group"
"Bitmap"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,\
00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,53,00,\
48,00,45,00,4c,00,4c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,2c,00,34,00,00,\
00
"HelpID"="shell.hlp#51131"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30501"
"Type"="radio"
"CheckedValue"=dword:00000002
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51104"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden]
"Type"="checkbox"
"Text"="@shell32.dll,-30508"
"WarningIfNotDefault"="@shell32.dll,-28964"
"HKeyRoot"=dword:80000001
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"ValueName"="ShowSuperHidden"
"CheckedValue"=dword:00000000
"UncheckedValue"=dword:00000001
"DefaultValue"=dword:00000000
"HelpID"="shell.hlp#51103"
[cut]
Это будет работать, даже если вы снесли ключ Hidden :)
понедельник, 1 декабря 2008 г.
Перенос хистори чатов скайпа
... как и ожидалось, скайп хранит хистори чатов в
X:\Documents and Settings\\Application Data\Skype\
Хистори переносится простым копированием всей папки
X:\Documents and Settings\
Хистори переносится простым копированием всей папки
понедельник, 13 октября 2008 г.
Удаление "флешковых" вирусов
Так я называю вирусы, распространяющиеся через autorun.inf. Как известно, именно этот файл используется для задания определенных действий при открытии диска (например, автозапуск CD дисков с играми/софтом).
В случае с вирусами, сложность удаления состоит в том, что в большинстве случаев вирус мониторит свои ключи реестра и файлы, и в случае их удаления пересоздает. Но во всех встреченных in-the-wild вариациях таковых вирусов тело находилось в dll, прописанной как расширение explorer'a. Поэтому рецепт лечения прост и очевиден:
1) Запускаем far. Включаем в нем показ скрытых и системных файлов.
2) Завершаем explorer.exe
3) Удаляем подозрительные файлы из корней всех жестких дисков (Achtung! Не сотрите ntldr, boot.ini,ntdetect.com,config.sys,io.sys - иначе система не запустится)
4) Открываем папку windows\system32, сортируем файлы по дате последнего изменения,
удаляем левые dll с последней датой (Achtung! wpa.dbl не стираем) Но самое правильное - монитором автозагрузки найти и стереть запись об этом расширении оболочки и потом уже удалить соответствующий файл.
Последующие действия описывались в блоге.
В случае с вирусами, сложность удаления состоит в том, что в большинстве случаев вирус мониторит свои ключи реестра и файлы, и в случае их удаления пересоздает. Но во всех встреченных in-the-wild вариациях таковых вирусов тело находилось в dll, прописанной как расширение explorer'a. Поэтому рецепт лечения прост и очевиден:
1) Запускаем far. Включаем в нем показ скрытых и системных файлов.
2) Завершаем explorer.exe
3) Удаляем подозрительные файлы из корней всех жестких дисков (Achtung! Не сотрите ntldr, boot.ini,ntdetect.com,config.sys,io.sys - иначе система не запустится)
4) Открываем папку windows\system32, сортируем файлы по дате последнего изменения,
удаляем левые dll с последней датой (Achtung! wpa.dbl не стираем) Но самое правильное - монитором автозагрузки найти и стереть запись об этом расширении оболочки и потом уже удалить соответствующий файл.
Последующие действия описывались в блоге.
Если не открываются диски по двойному клику
Эта проблема возникает после удаления некоторых вирусов. Итак, по рабоче-крестьянски это делается так:
1. Открываем regedit
2. Встаем ветку HKCU\Software\Microsoft\Windows\Explorer\MountPoints2\
3. Рассматриваем подветки с именем в виде GUID-a.
4. В тех из них, в которых есть подветка shell\open, shell\autorun с default параметром типа c:\foolavp.com подветку shell сносим.
5. Радуемся жизни.
P.S. Скрипт будет позже
1. Открываем regedit
2. Встаем ветку HKCU\Software\Microsoft\Windows\Explorer\MountPoints2\
3. Рассматриваем подветки с именем в виде GUID-a.
4. В тех из них, в которых есть подветка shell\open, shell\autorun с default параметром типа c:\foolavp.com подветку shell сносим.
5. Радуемся жизни.
P.S. Скрипт будет позже
вторник, 30 сентября 2008 г.
Про скайп
Как выключить фичу скайпа, при которой он все номера телефонов на страницах подменяет своим скриптом? Да очень просто!
Удалить ветку реестра
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Handler\skype4com
Ну и для ощущения полной победы стереть файл
C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
Удалить ветку реестра
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Handler\skype4com
Ну и для ощущения полной победы стереть файл
C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
четверг, 4 сентября 2008 г.
Не загружается рабочий стол.
Причиной этому может быть как отсутствие или порча файла userinit.exe, так и отсутсвие или порча файла explorer.exe. Если при нажатии CAD запускается taskmanager и возможно запустить explorer, то первое, что делаем - проверяем параметр shell. Правильный вариант написан в reg файле ниже.
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe"
"System"=""
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
Мне встречался случай, когда оболочка не запускалась, а вместо нее запускался ntvdm.exe с непонятными параметрами. Вылечилось заменой userinit.exe на оригинальный с чистой машины.
Если после ввода пароля в окне логона опять выскакивает это окно, а оболочка не загружается - испорчен или отсутствует файл userinit.exe или исправлен параметр Userinit в вышеприведенном ключе.
Последнее время встречаются случай инфицирования userinit. Это лечится выключением восстановления системы и SFC и заменой файла как в system32 так и в dllcache
UPD. Ситуация - грузится в безопасном, виснет в обычном. msconfig-ом попробовал грузануть в диагностическом режиме - ругается что не может отключить какой-то драйвер.
В безопасном режиме недоступен диспетчер устройств. Shell, userinit - в порядке.
В данном случае машина была заражена несколькими вирусами.
Имена файлов Administrator.exe, port135sik.sys, crypts.dll, и еще какаято dll. Также удален сpl файл с произвольным названием. После удаления загрузка восстановилась.
Ключи реестра - из тех, что помню - драйвер в стандартном, crypts в Notify, administrator В run
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe"
"System"=""
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
Мне встречался случай, когда оболочка не запускалась, а вместо нее запускался ntvdm.exe с непонятными параметрами. Вылечилось заменой userinit.exe на оригинальный с чистой машины.
Если после ввода пароля в окне логона опять выскакивает это окно, а оболочка не загружается - испорчен или отсутствует файл userinit.exe или исправлен параметр Userinit в вышеприведенном ключе.
Последнее время встречаются случай инфицирования userinit. Это лечится выключением восстановления системы и SFC и заменой файла как в system32 так и в dllcache
UPD. Ситуация - грузится в безопасном, виснет в обычном. msconfig-ом попробовал грузануть в диагностическом режиме - ругается что не может отключить какой-то драйвер.
В безопасном режиме недоступен диспетчер устройств. Shell, userinit - в порядке.
В данном случае машина была заражена несколькими вирусами.
Имена файлов Administrator.exe, port135sik.sys, crypts.dll, и еще какаято dll. Также удален сpl файл с произвольным названием. После удаления загрузка восстановилась.
Ключи реестра - из тех, что помню - драйвер в стандартном, crypts в Notify, administrator В run
Флешевые вирусы come away forever
Раньше я предлагал решение с NoDriveAutorun, но все равно при даблклике или explore диска оставалась возможность заражения. Один товарисч подсказал ссылку
http://nick.brown.free.fr/blog/2007/10/memory-stick-worms.html
NOAUTRUN.REG
-----------------
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"
-----------------
http://nick.brown.free.fr/blog/2007/10/memory-stick-worms.html
NOAUTRUN.REG
-----------------
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\W
@="@SYS:DoesNotExist"
-----------------
вторник, 26 августа 2008 г.
Создание нулевого DACL(+link)
http://codemortem.blogspot.com/2006/01/creating-null-dacl-in-managed-code.html
Подписаться на:
Комментарии (Atom)