Здравствуйте.

Вот залезла зараза. Перестали запускаться екзешники - стартуют только из-под администратора. f-rogon.exe проработал, но ничего не нашел и не исправил. В гугле по ентому поводу только сочуствия. Все ли так безнадежно?

Спасибо.

WinXP Pro

softmakerГугль syshid
См в корне и в системных каталогах наличие бяки syshid.exe
Править надо ключик реестра куда он прописался - у меня давно было, ключик забыл, см гугль


--
Если я рассуждаю логично, это значит только то, что я не сумасшедший, но вовсе не доказывает, что я прав (с)И.П. Павлов

Нигде syshid на дисках не находит. А он и вправду имеет отношение к червю Roron?

softmakerК Roron он отношения не имеет, но тоже мог влезть. Просто проверка не помешает. Судя по реакции они оба один ключик в реестре правят. Глянь его содержимое.

--
Если я рассуждаю логично, это значит только то, что я не сумасшедший, но вовсе не доказывает, что я прав (с)И.П. Павлов

Содержимое какого ключа? Ничего близкого к syshid в реестре нет

softmakerГоворю ж. syshid + google -> первая ссылка -> косвенная ссылка

--
Если я рассуждаю логично, это значит только то, что я не сумасшедший, но вовсе не доказывает, что я прав (с)И.П. Павлов

Файлов:
%System%\mscolsrv.exe
%System%\svchsot.exe - нет

сервиса MSCoolServ. - нет

Ключей

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"sysser"="<путь до оригинального запускаемого файла>"

[HKLM\System\CurrentControlSet\Services\MSCoolServ]
"ImagePath"="%System%\mscolsrv.exe -service"

- нет.

Червь вкатал в системную директорию файл run160a32.exe
и run160a32.vhd котор. видел NOD32 и я их убил. И теперь NOD32 больще проблем не видит.

softmakerтам же тынц

--
Если я рассуждаю логично, это значит только то, что я не сумасшедший, но вовсе не доказывает, что я прав (с)И.П. Павлов

Хороший линк, читаю, спасибо.

softmakerтам же тынц

--
Если я рассуждаю логично, это значит только то, что я не сумасшедший, но вовсе не доказывает, что я прав (с)И.П. Павлов

Судя про всем приметам даного сообщения виря я убил. Как вот теперь воостановить запуск екзешек?

Нашел !!!!!!!!!!!!!!!!!!!!!!!!!!

Я с размаху ентот ключ :

HKCR\exefile\shell\open\command %WinDir%\Run160а32.exe "%1" %*

вовсе убил, а надо кусок оставить

HKCR\exefile\shell\open\command %WinDir%\ "%1" %*

Большущееееее спасибоооооо, дружище.

Anatoly Podgoretsky VVDСудя про всем приметам даного сообщения виря я убил. Как вот теперь воостановить запуск екзешек?
Ты называешь это УБИЛ ?
В этом никогда нельзя быть увереным.

Согласен, конечно. Вообще-то ни одной проге нельзя до конца верить - но ведь как-то мир крутится :).