Показано с 1 по 17 из 17.

Не загружается рабочий стол Windows (заявка № 134347)

  1. #1
    Junior Member Репутация
    Регистрация
    01.01.2010
    Сообщений
    19
    Вес репутации
    26

    Thumbs up Не загружается рабочий стол Windows

    2 марта на компьютер из Интернета загрузился вирус-блокировщик ОС Windows XP. Видимо при просмотре какой-то страницы через iE. Далее при работе на компьютере высветилось окошко о блокировании Windows. Пришлось выключить компьютер. Загрузившись с загрузочного диска RescueDisk с ОС Линукс и старой нерабочей версией антивируса DrWeb, нашел и удалил подозрительный exe-файл в папке Documeents and Settings\1\. Правда не сразу и при первой перезагрузке штатной операционной системы вместо меню выбора пользователя высвечивалось окно блокировщика. После второй попытки (когда был удален именн exe-файл) загрузилось непривычное меню выбора пользователя (не с графическими кнопками картинками, а с текстовыми полями, причем даже без выпадающего списка пользователей). Попытки входа в Windows (точнее загрузки сеанса пользователя) приводят к автоматическому завершению сеанса сразу и возврату к окошку выбора пользователя. Рабочий стол и меню Пуск даже не появляются. Сразу возникает окошечко "Завершение сеанса". Попытка запуска "Безопасного режима" Windows тоже не проходит, т.к. компьютер уходит в перезагрузку даже не запуская графический режим.
    Помогите восстановить работоспособность операционной системы Windows XP после вирусной атаки.

    P.S. Т.к. загрузочный ЛайвСиди у меня с Линуксом, то пока не могу запускать на поврежденном компьютере никакие windows-программы, включая утилиты для диагностики.
    Последний раз редактировалось John Fisher; 02.03.2013 в 23:20.

  2. Реклама
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,268
    Вес репутации
    326
    Уважаемый(ая) John Fisher, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Никита Соловьев
    Регистрация
    15.02.2009
    Сообщений
    12,454
    Вес репутации
    907
    http://virusinfo.info/showthread.php?t=119072 экспортированные ветви реестра прикрепите здесь.

  5. #4
    Junior Member Репутация
    Регистрация
    01.01.2010
    Сообщений
    19
    Вес репутации
    26
    Спасибо за ответ. Привожу данные в соответствии с указанной инструкцией.

    Ветка HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
    параметр userinit C:\Documents and settings\1\1618750.exe
    параметр shell C:\Documents and settings\1\1618750.exe
    параметр UIHost C:\Documents and settings\1\1618750.exe

    К сообщению прилагаю архив с экспортированными ветками реестра, указанными и подозрительными.

    P.S. Дополнительный вопрос. Антивирус Касперского с Kaspersky RescueDisk нашел вирус HEUR:Exploit.Java.C в файле C:\Documents and settings\1\Application data\Sun\Java\Deployment\Cache\6.0\46\1c2abae-56dcd65c. Можно и надо ли его удалять, а то сам же Касперский пишет в предлагаемых действиях что лечение невозможно и либо рекомендует оставить архив как есть, либо удаляляйте на свой страх и риск. Степень угрозы вируса он оценивает как высокую. К сожалению в файлах Явы ничего не понимаю и удалил бы, но вот рекомедация сохранить смущает...
    Вложения Вложения
    Последний раз редактировалось John Fisher; 03.03.2013 в 19:07.

  6. #5
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,573
    Вес репутации
    2915
    Параметр userinit исправьте на c:\windows\system32\userinit.exe, (запятая обязательна)
    Параметр shell исправьте на explorer.exe

    Пробуйте стартовать
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  7. #6
    Junior Member Репутация
    Регистрация
    01.01.2010
    Сообщений
    19
    Вес репутации
    26
    Исправил параметры в Winlogon в ветках HKLM и HKU. На первый взгляд все стало грузится и работать как раньше. Теперь наверное надо вычистить реестр от ссылок на файл с вирусом? И проверить на всякий случай свежим (пока еще) антивирусником с диска Касперского.

  8. #7
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,573
    Вес репутации
    2915
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  9. #8
    Junior Member Репутация
    Регистрация
    01.01.2010
    Сообщений
    19
    Вес репутации
    26
    Проверил пока антивирусом системный диск C. Кроме упомянутого выше вируса в java-файле нового ничего не нашлось, зараженный файл разрешил антивируснику удалить в резервное хранилище (если оно у него не в оперативной памяти, конечно, работает-то он с закгрузочного диска)... Поставил на проверку следующий, но очень уж долго он у меня проверяет, хотя все настройки по умолчанию...
    Отчет по диску C прилагается. После проверки антивирусом еще утилитами AVZ и HijackThis попробую просканировать систему.
    Вложения Вложения

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,961
    Вес репутации
    379
    Сделайте логи по правилам (раздел диагностика п.1-3)


  11. #10
    Junior Member Репутация
    Регистрация
    01.01.2010
    Сообщений
    19
    Вес репутации
    26
    Уфф... Наконец-то удалось дождаться когда антивирус проверит диски... Причем после 2,5 дней для диска D, остальные сколько ни пытался проверить, все время давался прогноз 20 (!) дней из-за очень придирчивого отношения к инсталляционным пакетам... Пришлось последние 3 диска проверять по упрощенной схеме. Ничего найдено не было.
    Далее запустил AVZ и HijackThis. Все логи прилагаю. AVZ поместил на карантин один подозрительный файл.
    Вложения Вложения

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,961
    Вес репутации
    379
    Протокол антивирусной утилиты AVZ версии 4.32
    Актуальная версия 4,39. Скачайте, обновите базы и повторите логи.


  13. #12
    Junior Member Репутация
    Регистрация
    01.01.2010
    Сообщений
    19
    Вес репутации
    26
    Виноват.
    Вложения Вложения

  14. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,961
    Вес репутации
    379
    C:\Program Files\Dump.Ru - Знакома программа?

    - Выполните в АВЗ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     ClearQuarantine;
     QuarantineFile('C:\WINDOWS\system32\servises.exe','');
     QuarantineFile('C:\WINDOWS\system32\yhsrcxb.dll','');
     QuarantineFile('C:\Documents and Settings\1\1618750.exe','');
     QuarantineFile('C:\WINDOWS\Temp\TPLCAICVVWQPKA.exe','');
     DeleteFile('C:\WINDOWS\Temp\TPLCAICVVWQPKA.exe');
     DeleteFile('C:\Documents and Settings\1\1618750.exe');
     DeleteFile('C:\WINDOWS\system32\yhsrcxb.dll');
     DeleteFile('C:\WINDOWS\system32\servises.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','explorer');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','servises');
     DeleteService('TPLCAICVVWQPKA');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
     ExecuteWizard('TSW',2,3,true);
    RebootWindows(true);
    end.
    Компьютер перезагрузится

    После перезагрузки:
    - Выполните в АВЗ:
    Код:
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

    - Выполните в AVZ скрипт из файла ScanVuln.txt
    - Откройте файл avz_log.txt из под-папки LOG.
    - Пройдитесь по ссылкам из файла avz_log.txt и установите важные обновления.
    - Перезагрузите компьютер.
    - Повторите выполнение скрипта, чтобы убедиться, что уязвимости устранены.

    - Повторите логи.


  15. Techno получил(а) благодарность за это сообщение от


  16. #14
    Junior Member Репутация
    Регистрация
    01.01.2010
    Сообщений
    19
    Вес репутации
    26
    Цитата Сообщение от Techno Посмотреть сообщение
    C:\Program Files\Dump.Ru - Знакома программа?
    Эту программку скачал скорее всего с бесплатного сайта для закачки и хранения файлов в Интернете. Насколько помню она предоставляет физический интерфейс на загрузку локальных файлов с компьютера в Интернет на их сайт. А что, она слишком зловредная?
    Скрипты попробую сейчас выполнить и логи сделать, насчет обновлений тоже попробую, но у меня интернет с сотового модема, большие объемы не скачать.

    Файл с карантином закачал. Только я некоторые файлы, указанные в скрипте, на диске проверял и не нашел. Этот - '1618750.exe', - точно удалял сам, т.к. именно на него пало подозрение, когда просматривал системные папки с загрузочного LiveCD.
    Результат загрузки
    Файл сохранён как 130309_191330_quarantine_513b89dae287f.zip
    Размер файла 2324
    MD5 25e4f9030a33e8f9afce0f79b4b42217

    - - - Добавлено - - -

    Загрузил все предложенные скриптом ScanVuln.txt обновления, т.к. они оказались не очень большими и числом всего 15 шт. Контрольный запуск этого скрипта ничего не выявил, значит все обновления установились нормально.
    Логи, сделанные AVZ и HijackThis, прилагаю.
    Вложения Вложения
    Последний раз редактировалось John Fisher; 10.03.2013 в 01:25.

  17. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,961
    Вес репутации
    379
    Цитата Сообщение от John Fisher Посмотреть сообщение
    А что, она слишком зловредная?
    https://www.virustotal.com/ru/file/2...a850/analysis/

    Что с проблемами?


  18. #16
    Junior Member Репутация
    Регистрация
    01.01.2010
    Сообщений
    19
    Вес репутации
    26
    Понятно. Попробую деинсталлировать/удалить этот "бесплатный" загрузчик, все равно крайне редко им пользуюсь.
    В остальном, все работает без видимых отличий от довирусного состояния, т.е. пока меня все устраивает.

  19. #17
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,541
    Вес репутации
    941

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 8
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) John Fisher, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Ответов: 6
      Последнее сообщение: 24.08.2012, 14:03
    2. Windows не загружается рабочий стол.
      От Dunkelheit в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 27.06.2009, 13:41
    3. Не загружается рабочий стол
      От maks408 в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 16.06.2009, 15:10
    4. Не загружается рабочий стол
      От Nusik84 в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 05.10.2008, 20:43

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00940 seconds with 24 queries