Здравствуйте
Появился баннер-вымогатель. Пролечил винчестер на другом компьютере.
Запускаюсь, ввожу имя пользователя и пароль - отображается рисунок рабочего стола, больше ничего: панель задач, пуск, значки - всё отсутствует.
По Ctrl+Alt+Del запустил диспетчер задач, затем Файл - Новая задача (выполнить)...
Запускаю explorer.exe. Рабочий стол отобразился, всё на месте, все программы запускаются и работают.
Покапался в реестре: поправил значение
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell на Explorer.exe
В разделе
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
у параметра Userinit значение
C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\apppat ch\mfhpxju.exe,
и если удалить часть
"C:\WINDOWS\apppatch\mfhpxju.exe,"
то после перезагрузки сеанс работы пользователя сразу завершается:
т.е. после ввода имени пользователя и пароля сразу появляется "Завершение сеанса"
=======
В общем проблема в том, что до Рабочего стола добираюсь по
1) Ctrl+Alt+Del - диспетчер задач
2) затем Файл - Новая задача (выполнить)...
3) Запускаю explorer.exe
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O2 - BHO: (no name) - {C93F72A2-2162-4BBA-A07A-F13663C297A6} - (no file)
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
после выполнения первого скрипта avz из пункта 2 вашего ответа и перезагрузки не могу увидеть рисунок рабочего стола:
т.е. после ввода имени пользователя и пароля появляются сообщения "Загрузка личных параметров" и тут же "Завершение сеанса" и "Сохранение параметров", затем происходит возврат к окну ввода имени пользователя и пароля.
ситуация возникает и в обычном, и в безопасном режиме, а также и при попытке использовать другую учетную запись
===
к сожалению резервной копии реестра (5 файлов sam, security, softvare, system, default из c:\windows\system32\config) с рабочими параметрами не сохранил
и восстановление системы тоже было отключено
но есть резервные копии реестра (5 файлов... ) в которых
--
В разделе
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
у параметра Userinit значение
C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\apppat ch\mfhpxju.exe,
и если удалить часть
"C:\WINDOWS\apppatch\mfhpxju.exe,"
то после перезагрузки сеанс работы пользователя сразу завершается:
т.е. после ввода имени пользователя и пароля сразу появляется "Завершение сеанса"
--
т.е. ситуация аналогичная
могу попытаться восстановить реестр из этих копий и начать обследование заново
Добавлено через 1 час 9 минут
дополнение к предыдущему сообщению:
допустил неточность - резервные копии файлов реестра уже содержат значения, при которых ситуация с "Завершение сеанса" уже проявляется
попробовал на другом компьютере в regedit подгрузить куст software из неработающего комплекта реестра и отредактировать значение Userinit
с
C:\WINDOWS\system32\userinit.exe,
на
C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\apppat ch\mfhpxju.exe,
но ситуация не исправилась, возможно потому, что самого файла mfhpxju.exe уже нет (был удален скриптом avz)
поищу файл mfhpxju.exe в интернет
Добавлено через 9 минут
поискал файл mfhpxju.exe в интернет - нигде нет
получается выполненный скрипт avz уронил реестр
считаю, что в данном случае перед выполнением скрипта avz нужно было забэкапить реестр и удаляемые файлы
уважаемые Helper'ы, добавьте, пожалуйста в правила упоминание о НЕОБХОДИМОСТИ бэкапа объектов, изменяемых скриптами
Добавлено через 21 минуту
положил explorer.exe в папку, где был mfhpxju.exe, переименовал этот explorer.exe в mfhpxju.exe
после ввода имени пользователя и пароля на рисунке рабочего стола запустился Проводник
1) Ctrl+Alt+Del - диспетчер задач
2) затем Файл - Новая задача (выполнить)...
3) Запускаю explorer.exe
в результате еще один Проводник
закрываю Проводники
убиваю в диспетчере задач mfhpxju.exe (переименованый explorer.exe)
снова в диспетчере задач
2) Файл - Новая задача (выполнить)...
3) Запускаю explorer.exe
запустился Рабочий стол
сейчас снова подчищу систему (т.к. файлы реестра, в которых было состояние системы после работы первого скрипта avz из пункта 2 вашего ответа, я уже по неосторожности уничтожил, не создав их резервной копии)
и отправлю логи
Добавлено через 8 часов 44 минуты
УРА, все работает
в значение параметра Userinit дописал C:\WINDOWS\explor er.exe,
и теперь он выглядит как
C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\explor er.exe,
система запускается и Рабочий стол отображается. Но не знаю: верно ли я поступил?
проблема решена, эту тему можно закрыть
создал новую тему в продолжение
название: параметр Userinit содержит значение отличное от C:\WINDOWS\system32\userinit.exe,
ссылка: http://virusinfo.info/showthread.php?t=107359
Последний раз редактировалось sirotkin; 13.08.2011 в 15:10.
Причина: Добавлено
Уважаемый(ая) sirotkin, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
