Показано с 1 по 17 из 17.

Не загружается рабочий стол Windows (заявка № 134347)

  1. #1
    Junior Member Репутация
    Регистрация
    01.01.2010
    Сообщений
    19
    Вес репутации
    53

    Thumbs up Не загружается рабочий стол Windows

    2 марта на компьютер из Интернета загрузился вирус-блокировщик ОС Windows XP. Видимо при просмотре какой-то страницы через iE. Далее при работе на компьютере высветилось окошко о блокировании Windows. Пришлось выключить компьютер. Загрузившись с загрузочного диска RescueDisk с ОС Линукс и старой нерабочей версией антивируса DrWeb, нашел и удалил подозрительный exe-файл в папке Documeents and Settings\1\. Правда не сразу и при первой перезагрузке штатной операционной системы вместо меню выбора пользователя высвечивалось окно блокировщика. После второй попытки (когда был удален именн exe-файл) загрузилось непривычное меню выбора пользователя (не с графическими кнопками картинками, а с текстовыми полями, причем даже без выпадающего списка пользователей). Попытки входа в Windows (точнее загрузки сеанса пользователя) приводят к автоматическому завершению сеанса сразу и возврату к окошку выбора пользователя. Рабочий стол и меню Пуск даже не появляются. Сразу возникает окошечко "Завершение сеанса". Попытка запуска "Безопасного режима" Windows тоже не проходит, т.к. компьютер уходит в перезагрузку даже не запуская графический режим.
    Помогите восстановить работоспособность операционной системы Windows XP после вирусной атаки.

    P.S. Т.к. загрузочный ЛайвСиди у меня с Линуксом, то пока не могу запускать на поврежденном компьютере никакие windows-программы, включая утилиты для диагностики.
    Последний раз редактировалось John Fisher; 02.03.2013 в 23:20.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) John Fisher, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.02.2009
    Сообщений
    13,205
    Вес репутации
    955
    http://virusinfo.info/showthread.php?t=119072 экспортированные ветви реестра прикрепите здесь.

  5. #4
    Junior Member Репутация
    Регистрация
    01.01.2010
    Сообщений
    19
    Вес репутации
    53
    Спасибо за ответ. Привожу данные в соответствии с указанной инструкцией.

    Ветка HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
    параметр userinit C:\Documents and settings\1\1618750.exe
    параметр shell C:\Documents and settings\1\1618750.exe
    параметр UIHost C:\Documents and settings\1\1618750.exe

    К сообщению прилагаю архив с экспортированными ветками реестра, указанными и подозрительными.

    P.S. Дополнительный вопрос. Антивирус Касперского с Kaspersky RescueDisk нашел вирус HEUR:Exploit.Java.C в файле C:\Documents and settings\1\Application data\Sun\Java\Deployment\Cache\6.0\46\1c2abae-56dcd65c. Можно и надо ли его удалять, а то сам же Касперский пишет в предлагаемых действиях что лечение невозможно и либо рекомендует оставить архив как есть, либо удаляляйте на свой страх и риск. Степень угрозы вируса он оценивает как высокую. К сожалению в файлах Явы ничего не понимаю и удалил бы, но вот рекомедация сохранить смущает...
    Вложения Вложения
    Последний раз редактировалось John Fisher; 03.03.2013 в 19:07.

  6. #5
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Параметр userinit исправьте на c:\windows\system32\userinit.exe, (запятая обязательна)
    Параметр shell исправьте на explorer.exe

    Пробуйте стартовать
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  7. #6
    Junior Member Репутация
    Регистрация
    01.01.2010
    Сообщений
    19
    Вес репутации
    53
    Исправил параметры в Winlogon в ветках HKLM и HKU. На первый взгляд все стало грузится и работать как раньше. Теперь наверное надо вычистить реестр от ссылок на файл с вирусом? И проверить на всякий случай свежим (пока еще) антивирусником с диска Касперского.

  8. #7
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  9. #8
    Junior Member Репутация
    Регистрация
    01.01.2010
    Сообщений
    19
    Вес репутации
    53
    Проверил пока антивирусом системный диск C. Кроме упомянутого выше вируса в java-файле нового ничего не нашлось, зараженный файл разрешил антивируснику удалить в резервное хранилище (если оно у него не в оперативной памяти, конечно, работает-то он с закгрузочного диска)... Поставил на проверку следующий, но очень уж долго он у меня проверяет, хотя все настройки по умолчанию...
    Отчет по диску C прилагается. После проверки антивирусом еще утилитами AVZ и HijackThis попробую просканировать систему.
    Вложения Вложения

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,965
    Вес репутации
    406
    Сделайте логи по правилам (раздел диагностика п.1-3)


  11. #10
    Junior Member Репутация
    Регистрация
    01.01.2010
    Сообщений
    19
    Вес репутации
    53
    Уфф... Наконец-то удалось дождаться когда антивирус проверит диски... Причем после 2,5 дней для диска D, остальные сколько ни пытался проверить, все время давался прогноз 20 (!) дней из-за очень придирчивого отношения к инсталляционным пакетам... Пришлось последние 3 диска проверять по упрощенной схеме. Ничего найдено не было.
    Далее запустил AVZ и HijackThis. Все логи прилагаю. AVZ поместил на карантин один подозрительный файл.
    Вложения Вложения

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,965
    Вес репутации
    406
    Протокол антивирусной утилиты AVZ версии 4.32
    Актуальная версия 4,39. Скачайте, обновите базы и повторите логи.


  13. #12
    Junior Member Репутация
    Регистрация
    01.01.2010
    Сообщений
    19
    Вес репутации
    53
    Виноват.
    Вложения Вложения

  14. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,965
    Вес репутации
    406
    C:\Program Files\Dump.Ru - Знакома программа?

    - Выполните в АВЗ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     ClearQuarantine;
     QuarantineFile('C:\WINDOWS\system32\servises.exe','');
     QuarantineFile('C:\WINDOWS\system32\yhsrcxb.dll','');
     QuarantineFile('C:\Documents and Settings\1\1618750.exe','');
     QuarantineFile('C:\WINDOWS\Temp\TPLCAICVVWQPKA.exe','');
     DeleteFile('C:\WINDOWS\Temp\TPLCAICVVWQPKA.exe');
     DeleteFile('C:\Documents and Settings\1\1618750.exe');
     DeleteFile('C:\WINDOWS\system32\yhsrcxb.dll');
     DeleteFile('C:\WINDOWS\system32\servises.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','explorer');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','servises');
     DeleteService('TPLCAICVVWQPKA');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
     ExecuteWizard('TSW',2,3,true);
    RebootWindows(true);
    end.
    Компьютер перезагрузится

    После перезагрузки:
    - Выполните в АВЗ:
    Код:
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

    - Выполните в AVZ скрипт из файла ScanVuln.txt
    - Откройте файл avz_log.txt из под-папки LOG.
    - Пройдитесь по ссылкам из файла avz_log.txt и установите важные обновления.
    - Перезагрузите компьютер.
    - Повторите выполнение скрипта, чтобы убедиться, что уязвимости устранены.

    - Повторите логи.


  15. Это понравилось:


  16. #14
    Junior Member Репутация
    Регистрация
    01.01.2010
    Сообщений
    19
    Вес репутации
    53
    Цитата Сообщение от Techno Посмотреть сообщение
    C:\Program Files\Dump.Ru - Знакома программа?
    Эту программку скачал скорее всего с бесплатного сайта для закачки и хранения файлов в Интернете. Насколько помню она предоставляет физический интерфейс на загрузку локальных файлов с компьютера в Интернет на их сайт. А что, она слишком зловредная?
    Скрипты попробую сейчас выполнить и логи сделать, насчет обновлений тоже попробую, но у меня интернет с сотового модема, большие объемы не скачать.

    Файл с карантином закачал. Только я некоторые файлы, указанные в скрипте, на диске проверял и не нашел. Этот - '1618750.exe', - точно удалял сам, т.к. именно на него пало подозрение, когда просматривал системные папки с загрузочного LiveCD.
    Результат загрузки
    Файл сохранён как 130309_191330_quarantine_513b89dae287f.zip
    Размер файла 2324
    MD5 25e4f9030a33e8f9afce0f79b4b42217

    - - - Добавлено - - -

    Загрузил все предложенные скриптом ScanVuln.txt обновления, т.к. они оказались не очень большими и числом всего 15 шт. Контрольный запуск этого скрипта ничего не выявил, значит все обновления установились нормально.
    Логи, сделанные AVZ и HijackThis, прилагаю.
    Вложения Вложения
    Последний раз редактировалось John Fisher; 10.03.2013 в 01:25.

  17. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,965
    Вес репутации
    406
    Цитата Сообщение от John Fisher Посмотреть сообщение
    А что, она слишком зловредная?
    https://www.virustotal.com/ru/file/2...a850/analysis/

    Что с проблемами?


  18. #16
    Junior Member Репутация
    Регистрация
    01.01.2010
    Сообщений
    19
    Вес репутации
    53
    Понятно. Попробую деинсталлировать/удалить этот "бесплатный" загрузчик, все равно крайне редко им пользуюсь.
    В остальном, все работает без видимых отличий от довирусного состояния, т.е. пока меня все устраивает.

  19. #17
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 8
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) John Fisher, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 6
      Последнее сообщение: 24.08.2012, 14:03
    2. Windows не загружается рабочий стол.
      От Dunkelheit в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 27.06.2009, 13:41
    3. Не загружается рабочий стол
      От maks408 в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 16.06.2009, 15:10
    4. Не загружается рабочий стол
      От Nusik84 в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 05.10.2008, 20:43

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00097 seconds with 20 queries