Диспетчер задач

[Messiah]

Что-то вроде уже с десяток поймали виря на диспетчера задач ХР. Для них способ лечения: Если при попытке запустить Диспетчер задач любым способом – или с помощью Ctrl+Alt+Del, или с помощью Пуск –> Выполнить… –> taskmgr –> OK появляется окно «Диспетчер задач» с сообщением «Диспетчер задач отключен администратором», то это, как правило, говорит о возможном заражении системы вирусами.
Дело в том, что вирусы отключают Диспетчер задач, чтобы их нельзя было принудительно выгрузить из оперативной памяти. При этом в Реестре в разделе [HKEY_CURRENT_USERSof twareMicrosoftWindow sCurrentVersionPolic iesSystem] создается параметр REG_DWORD DisableTaskMgr со значением 1. Даже после удаления вируса, запретившего запуск Диспетчера задач, запуск его невозможен. Чтобы вновь сделать возможным запуск Диспетчера задач жмём Пуск –> Выполнить… –> в поле Открыть: ввести gpedit.msc –> OK –> откроется диалоговое окно Групповая политика –> Групповая политика –> Политика «Локальный компьютер» –> Конфигурация пользователя –> Административные шаблоны –> Система –> Возможности Ctrl+Alt+Del –> справа в окне Возможности Ctrl+Alt+Del двойным щелчком левой кнопки мыши по строке Удалить диспетчер задач (Состояние по умолчанию – Не задана) вызвать окно Свойства: Удалить Диспетчер задач –> установлен переключатель Включен –> поставить Отключен (или Не задан) –> Применить –> OK.
Закрыть окно Групповая политика. Для вступления в силу изменений без перезагрузки ПК свернуть все открытые окна, нажать F5 (или правой кнопкой мыши по свободной от значков поверхности Рабочего стола, в открывшемся контекстном меню щёлкнуть Обновить). Если запуск Редактора реестра не заблокирован (что после вирусной атаки бывает редко), для включения Диспетчера задач можно отредактировать Реестр: нажать Пуск –> Выполнить… –> в поле Открыть: ввести regedit –> OK –> откроется Редактор реестра. В разделе [HKEY_CURRENT_USERSof twareMicrosoftWindow sCurrentVersionPolic iesSystem] нужно найти параметр REG_DWORD DisableTaskMgr и установить его значение 0 (или совсем удалить этот параметр).
При работе с Редактором реестра соблюдать осторожность, а то можно такого наредактировать, что придется переустанавливать винду!.. Намеренно описал подробно. И ещё, выложил в ДС прогу Task Manager Fix, она позволяет включить Диспетчер Задач, который был вырублен вирусами, Троянами, шпионами и другими объектами. Программа удобна по заданиям сохранности данных, которая позволяет обезопасить конфиденциальность системы, включая, Диспетчер Задач для просмотра текущих процессов функционирующих в фоне.

[Mill3r]

а вот вчера столкнулся с проблемой у друга,вместе с диспетчером заблокирован редактор реестра что посоветуеш??(кроме переустановки винды)

[Messiah]

Цитата:

Сообщение от Mill3r

а вот вчера столкнулся с проблемой у друга,вместе с диспетчером заблокирован редактор реестра что посоветуеш??(кроме переустановки винды)

Есть предположение что в этих случаях работает Trojan.CopySelf и/или его последователи и клоны. Я бы сделал так - отключил комп от локальной сети. Перезагрузил в безопасном режиме (при загрузке Windows выбрать "Загрузка в безопасном режиме без поддержки сетевых драйверов"). Нажатием CTRL + ALT + DEL зайти в диспетчер процессов. Если там хоть один (или даже все) процессы: copy.exe, host.exe, temp1.exe, temp2.exe, setup.exe, setup.pif, ielp.exe, iehelp.exe, lyloader.exe, moviemk.exe, notaped.exe - удалить их (завершить дерево процессов, или завершить процесс). Если список процессов не открывается (появляется сообщение, что он заблокирован администратором) делать, как я только что писал на форуме.
С помощью FAR (ни в коем случае не вызывать "Мой компьютер") посмотреть корневые каталоги дисков:
C:\ D:\ E:\ F:\ и т.д. и поискать вышеназванные файлы в них. Например, C:\COPY.EXE или C:\HOST.exe
Если сука нашлись - удалить. Таким же образом искать в корневых каталогах всех дисков файлы:
autorun.inf, autorun.vbs, autorun.bat и удалить нах. Выждать минуту, и вновь смотреть корневые каталоги всех дисков. Если новые вирусные файлы или файлы autorun.* не появились, то первоначальная задача по удалению вируса успешно выполнена. Если же файлы появляются вновь и вновь, значит, в памяти вирус, но спрятанный под другим именем. Комбинацией клавиш CTRL + ALT + DEL вновь в диспетчер процессов и незнакомые процессы удалить. Затем выполните ПУСК - НАЙТИ - ПАПКИ И ФАЙЛЫ. Задать поиск файлов: copy.exe, host.exe, temp1.exe, temp2.exe - если нашлись в каталогах Windows или в корневых каталогах дисков - удалить. Теперь опять в редактор реестра и там выполнить поиск по всему реестру: copy.exe Если есть записи, заканчивающиеся на " что-то там... RunDLL copy.exe" или похожие - смело заменить их на " что-то там... RunDLL" иначе не открыть диски компьютера через "Мой компьютер". Если есть записи, заканчивающиеся на "explorer.exe copy.exe" или похожие - тоже заменить на "explorer.exe". Записи "copy.exe" - удалить. Ребут компа в обычном режиме. Если при входе в Windows появляются сообщения, что не найден такой-то файл (он есть среди вышеназванных вирусов), то, используя редактор реестра, найти записи с данным файлом в реестре и поступить по аналогии с файлом copy.exe из предыдущего пункта. Запустить FAR и посмотреть, появились ли в корневых каталогах дисков вирусные файлы и файл autorun.inf Если нет - поздравляю, справились с вирусом. Если есть, то какой-то другой вирус сидит в системе. Тогда скачать утильку CureIt от DrWeb.com и просканировать в безопасном режиме все диски. Запускать утилиту нужно с помощью FAR, не используя "Мой компьютер". С помощью FAR проверить флешки на наличие в их корневых дисков вышеназванных вирусных файлов и файла autorun.inf.
Несколько рекомендаций по предотвращению появления вирусов семейства Trojan.CopySelf
Не пользуйтесь никогда "Моим компьютером". Механизмы работы его таковы, что он ищет в открываемом диске файл autorun.inf и выполняет его. Если на флешке или дискете приехал вирус, то он запустится и начнет размножаться, ожидая всё новые флешки и дискеты. Для открытия дисков применять FAR или проводник, вызывая последний комбинацией клавиш: "ОКНО WINDOWS" + E. Также в настройках проводника установить "показывать расширения файлов" и "показывать скрытые файлы". При подключении Flash - Windows радостно сообщает, что найдено съемное устройство хранилища файлов и предлагает запустить его! Запуск устройства аналогичен открытию диска в "Моём компьютере". Поэтому нужно в диалоговом окне выбрать "Ничего не делать" и поставить галочку "выполнять это действие всегда". Сложно? А как бы вы хотели? Любишь кататься, умей не заражаться...а коль заболел, умей и лечиться.
---
Не болейте!

[KaSPeR]

а если вирь убил и безопасный режим?он вырубает комп при попытки зайти в любой безопасный режим что делать в этом случае? (реестр убит тоже)

[caupyc]

я, что то не совсем понял, а стандартыми мерами, типо антивиря и фаера, сея проблема не лечится? или вирь так засел в систему, что надо к шаманским методам прибегать?
И ещё какой антивирь стоял?
заранее спа.

[M_Shved]

Цитата:

Сообщение от KaSPeR

а если вирь убил и безопасный режим?он вырубает комп при попытки зайти в любой безопасный режим что делать в этом случае? (реестр убит тоже)

format c: /all и переустановка системы

[Messiah]

Цитата:

Сообщение от KaSPeR

а если вирь убил и безопасный режим?он вырубает комп при попытки зайти в любой безопасный режим что делать в этом случае? (реестр убит тоже)

Вариантов в этом случае немного. Загрузка со стороннего носителя и выполнить сканирование дисков антивирем с этого же носителя. Если не поможет, ставить диск с инсталлом винды, когда она дойдёт до пункта установки ХР, то предложит 2 варианта - переустановить по новой, или восстановить старую. Согласится на восстановление. Есть ещё вариант с консолью аварийного восстановления, но для его работы надо сделать ряд предварительных мер, которые здесь трудно описать. (да и работа в консоли требует знаний и умений) Сам только что 2 часа вылезал из такой ситуации...убил троян всё вплоть по реестра. Но вроде выскребся почти без потерь, если не считать гиговой закачки с инета.
*вздохнул с облегчением...

[Messiah]

Цитата:

Сообщение от M_Shved

format c: /all и переустановка системы

Типун тебе на клавиатуру....

[Messiah]

Цитата:

Сообщение от caupyc

я, что то не совсем понял, а стандартыми мерами, типо антивиря и фаера, сея проблема не лечится? или вирь так засел в систему, что надо к шаманским методам прибегать? И ещё какой антивирь стоял? заранее спа.

Сия проблема, несмотря вроде бы на один источник поражения, и как следствие - проявления похожих симптомов, может иметь разную "глубину" этого самого поражения. Антивирь не панацея, один и тот же троян (либо его клон) при абсолютно одинаковых антивирях и фаерах (включая одинаковые настройки) на один комп пройдёт, на другой нет...