Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Нет запуска файлов, в именах которых есть regedit cmd и bat

Модерирует : KLASS, IFkO

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3

Открыть новую тему     Написать ответ в эту тему

LShark

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
На днях столкнулся с такой проблемой: вызвали "сделать" недолеченный комп.
 
Windows XP SP2 (после установки SP3 проблема не исчезла).
 
Жалобы - время от времени неожиданно интернет эксплорер (6.0) вызывает критическую ошибку и закрывается. Чаще всего при открытии 2-3 и более окон, но иногда и 1 окна.
Если панель с сообщением об ошибке не закрывать, окна эксплорера продолжают работать, кроме одного, вызвавшего ошибку. Ошибка появляется на разных старницах и в разное время. Выявить связи с адресом или выполняемой задачей не удалось.
У интернет эксплорера отключены ВСЕ загруженные эддоны, проблема осталась.
После установки IE 7.0 вылеты прекратились.
 
Вирусов на компе не обнаружено (cureit (aka launch), nod32 и AVZ4 с последними обновлениями ничего не нашли).
Восстановление системы через AVZ не решило проблемы.
 
! Но дальнейшие разборки выявили странную вещь:
 
1. Попытка запустить ЛЮБУЮ программу, в имени которой есть следующее:
regedit
cmd
bat
вызывает невыполнение вызванной программы и ЗАКРЫТИЕ приложения, из которого программы вызывались. Т.е. нельзя запустить regedit.exe, regedit.com, iregedit.exe, 1.bat, 1.cmd, totalcmd.exe и просто cmd.exe.
Однако если переименовать regedit.exe в egedit.exe или totalcmd.exe в total.exe - запускается без проблем.
Возможно, что и другие какие то слова проверяются, но я пока не нашел их.
 
2. Если запускать эти файлы из Пуск-> Выполнить , то ЗАКРЫВАЕТСЯ эксплорер (т.е. схлапывается и перезапускается рабочий стол), если из тотал коммандера - то закрывается Тотал коммандер. Т.е. заметно, что закрывается "родительский" процесс.
 
Примечание:
1. ЕСЛИ файла с таким именем НЕТ (например, ввел oregedit.exe, а такого файла нет на диске), то закрытия "родителя" не происходит, а выводится стандартное окно об отсутствии файла.
2. Если во время перезапуска закрывшегося рабочего стола успеть запустить regedit.exe (или любой .cmd, .bat - например из тотал коммандера) - файл запускается. Ощущение, что при перезапуске рабочего стола программа-перехватчик не успевает перехватить запуск по имени и regedit запускается.
 
Найти причины такого поведения я не смог. Кто встречал такое и знает методику лечения?
А то запустить файлы .cmd .bat вообще нереально.
Всего записей: 39 | Зарегистр. 01-02-2007 | Отправлено: 17:10 22-04-2009 | Исправлено: LShark, 17:14 22-04-2009
01pump

Full Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
LShark
 
Попробуем так в avz
 Обновить программу avz.exe через меню: Файл-Обновление баз (размер обновления примерно 2.2 Мб)  
- В меню программы: AVZPM- "установить драйвер расширенного монитор. процессов"    
- Перезагрузиться    
- После перезагрузки обязательно отключите антивирус, файервол. Закройте Все программы (кроме avz)    
- В меню программы: Файл-Стандартные скрипты - Отметить скрипт №3 -нажать выполнить отмеченные скрипты    
- Дождаться окончания (появится сообщение Скрипты выполнены).    
- Обязательно перезагрузитесь.    
- В папке avz по окончании скрипта появится папка LOG (если этой папки не окажеться, значит вы не распаковывали программу!!!), в ней находится архив virusinfo_syscure.zip (не путать с архивом virusinfo_cure.zip!!!! ).    
Этот файл выложить на любом файлообменнике и прислать ссылку
Всего записей: 500 | Зарегистр. 27-06-2008 | Отправлено: 17:16 22-04-2009 | Исправлено: 01pump, 17:18 22-04-2009
LShark

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Попробую.
 
AVZ при проверках выше был с "толкьо что обновленными" базами.
Всего записей: 39 | Зарегистр. 01-02-2007 | Отправлено: 17:22 22-04-2009 | Исправлено: LShark, 17:30 22-04-2009
01pump

Full Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
раз делал кинь лог  -гляну.
Всего записей: 500 | Зарегистр. 27-06-2008 | Отправлено: 17:23 22-04-2009
yurkesha



Silver Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
LShark
сканить-то можно чем угодно  
И не факт что сигнатура сполняемой заразы занесена в базы...
А не проще проверить в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Userinit и Shell
Уж больно по описанию в Примечании 2 похоже на старт оттуда...

----------
Всем непричастным рекомендую прогулки на свежем воздухе
Всего записей: 2741 | Зарегистр. 15-12-2003 | Отправлено: 17:38 22-04-2009
01pump

Full Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
yurkesha
ну дык мы и увидим этот кривой ключик запуска
Всего записей: 500 | Зарегистр. 27-06-2008 | Отправлено: 17:40 22-04-2009
LShark

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Тонкости настройки в винлоган я проверил в первую очередь. Так же как и Run, RunOnce, подставы под дебаггеры и другие места запуска в реестре.
 
В диспетчере программ в процессах ничего неясного, все стандартные приложения. svchost.exe - 5 штук...
 
В сервисах тоже вроде ничего лишнего...
 
Чай не первый год замужем А тут так нарвался...
 
 
ЗЫ!!! ВАЖНО. Забыл написать - в безопасный режим входит без проблем и там эта проблема отсутствует.
В обычном режиме - Попытка убить все процессы по очереди ни к чему ни привела - проблема осталась даже при практически пустом списке запущенных процессов.
 
ЗЫЫ. Сейчас доступа к тому компу не имею, потому могу только сказать, "что я СДЕЛАЛ".
Скрипты и файлы смогу сделать позже, не раньше завтра.
Всего записей: 39 | Зарегистр. 01-02-2007 | Отправлено: 19:19 22-04-2009 | Исправлено: LShark, 19:31 22-04-2009
malcoriel2

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Проверяйте дллки, подгруженные в процесс explorer.exe. Как понимаю по поведению, при закрытом или неуспевшем догрузиться эксплорере все отлично.  
Лично я столкнулся с подобной проблемой, когда лечил от трояна, умевшего отлавливать вызовы WinAPI (или что там за это ответственно? наверное оно) на запись в реестр. Т.е. он не давал включить настройку "отображать скрытые файлы и папки".  
 
Дллки, подгруженные в эксплорер, можно посмотреть с помощью ProcessExplorer - запускаем, нажимаем ctrl+L, ctrl+D и видим внизу список для выбранного процесса ---> проверяем на подозрительность. Алсо, очень помогут любые HIPS системы. Лично я использовал аутпостовский функционал, но я думаю, можно найти и что-нибудь попроще.
Всего записей: 30 | Зарегистр. 17-02-2009 | Отправлено: 19:32 22-04-2009
01pump

Full Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
LShark
Ждем ждем поглядеть
Всего записей: 500 | Зарегистр. 27-06-2008 | Отправлено: 21:19 22-04-2009
LShark

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Насчет дерева подпроцессов не подумал... Умная мысля приходит опосля... Надо попробовать.
 
Стоит Аутпост, заблокировано многое, но не все; но нет ничего страшнее, чем скучающая секретарша с безлимитным интернетом. А если просят установить что то, то зачем спрашивать? Надо, млять, устанавливать! Да побольше, побольше!
Всего записей: 39 | Зарегистр. 01-02-2007 | Отправлено: 21:22 22-04-2009
malcoriel2

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
У аутпоста, есть такие фичи, как контроль за компонентами и важными ключами реестра. Я имел ввиду его вовсе не как фаервол, а как HIPS-систему.
Всего записей: 30 | Зарегистр. 17-02-2009 | Отправлено: 22:01 22-04-2009
Gena1971



Silver Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
LShark
А нового юзера создать не пробовал? Бывает это исправляет ошибки и глюки. А тут возможно остатки вируса неудаленные. Или зайти под администатором встроенным.
Всего записей: 2567 | Зарегистр. 25-01-2005 | Отправлено: 22:20 22-04-2009
LShark

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
У аутпоста, есть такие фичи, как контроль за компонентами и важными ключами реестра.

Я это и имел ввиду. Но ничего не поможет. Блокировку поставить нельзя - "Ай, у меня не ставится эта фишка! Придите и включите мне ее.", а на запросы она с радостью отвечает всегда "Йэссс! Канэчно разрешить!" А спрашивать, что она ставила - получаешь истинно секретарский ответ "А я и не помню, много чего..."
 

Цитата:
А нового юзера создать не пробовал?

Под новым юзером проблема сохранилась. Как с эксплорером (с которой все началось), так и с ограничениями по словам.
 
Плохо то, что неясно, что это. В логах антивируса NOD32 нет ничего, что бы лечилось (а то я мог бы попытаться поискать по имени вируса, вдруг это уже всплывало). И блокировка какая то однобокая. Например, gpedit.msc запускается без проблем.
Всего записей: 39 | Зарегистр. 01-02-2007 | Отправлено: 05:34 23-04-2009 | Исправлено: LShark, 05:36 23-04-2009
Nickolay



Newbie		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Такая точно ерунда происходит. Сегодня попробую LiveCD+cureit/ потом напишу что получились
Всего записей: 6 | Зарегистр. 13-09-2001 | Отправлено: 13:00 23-04-2009
Grom81

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
таже хрень..  
то-нить победил?
Всего записей: 8 | Зарегистр. 02-08-2005 | Отправлено: 13:21 23-04-2009
Neon2

Gold Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Grom81, была у меня такая ситуация на компе клиента, который Авирой вылечили от вирусов. Ни один антивирь вирусов больше не нашёл, но regedit.exe и regedit32.exe без переименования запускаться отказывались. Помог ComboFix http://www.spyware-ru.com/combofix/  После него всё заработало.
 
 
Добавлено:
Да, чтобы не было вопросов - в реестре ветку
Код:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\
первым делом проверили. В ней ничего прописано не было.
Всего записей: 9559 | Зарегистр. 21-10-2005 | Отправлено: 13:37 23-04-2009
Grom81

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Neon2, спасибо огромное за наводку, почитал http://www.combofix.org/
 запустил без консоли восстановления (не люблю лишний геморрой), перезагрузка и проблемы нет!!
 
П.С.  
в Реестре предварительно почистил, был дебагер левый (ну и файл левый прибил C:\Program Files\Microsoft Common\svchost.exe
 
Всего записей: 8 | Зарегистр. 02-08-2005 | Отправлено: 14:34 23-04-2009 | Исправлено: Grom81, 14:38 23-04-2009
Neon2

Gold Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Grom81, рад, что тебе мой совет помог. Почитал тут посты ещё раз и заметил, что до меня никто не написал про проверку политик, а в принципе не мешало бы в таких вот случаях первым делом проверить ветку реестра отвечающую за них.

Код:
Windows Registry Editor Version 5.00
 
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies]
 
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop]
 
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Associations]
 
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
 
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\run]
 
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Network]
 
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
 
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WindowsUpdate]
 

Всего записей: 9559 | Зарегистр. 21-10-2005 | Отправлено: 15:07 23-04-2009
malcoriel2

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
[оффтоп]И тут этот combofix)))) Такое ощущение, что почти панацея. Наверное тоже воспользуюсь, если что-то такое возникнет.[/оффтоп]
Всего записей: 30 | Зарегистр. 17-02-2009 | Отправлено: 15:23 23-04-2009
Nickolay



Newbie		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
LiveCD+cureit нашел svchost.exe;C:\Program Files\Windows Messenger;Trojan.Proxy.4890;Удален.;
проблема не решилась. Очень не хочется использовать combofix, т.к. хотелось бы знать что конкретно создает проблему но наверное придется....
Всего записей: 6 | Зарегистр. 13-09-2001 | Отправлено: 09:58 24-04-2009
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3

Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Нет запуска файлов, в именах которых есть regedit cmd и bat


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru