Нет рабочего стола, проводник в окне

[DmiTCh]

Добрый день!
Возникла проблема:
- сначала появилось сообщение о
win32/adware.virtumonde и win32/privacyRemover.M64
и перестал загружаться рабочий стол, т.е. экран с обоями в виде окна
с сообщением об adware и проводник в оконном виде.
- затем некий товарищ удалил файл ****.scr (название не знаю)
и теперь просто синий фон и проводник в оконном виде.
- сейчас подключения к интернету на этом компьютере нет
- собраны логи (avz предварительно обновлен на другом компьютере)
Буду признателен за помощь!

[Гриша]

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\syst43.dll','');
 DeleteFile('C:\WINDOWS\system32\blphc5n5j0ea5g.scr');
BC_ImportALL;  
ExecuteSysClean;
BC_Activate;
ExecuteRepair(5 );
ExecuteRepair(6 );
RegKeyStrParamWrite('HKEY_USERS','.DEFAULT\Control Panel\Desktop','Wallpaper','');
RebootWindows(true);
end.

Пришлите карантин по правилам и повторите логи...

[PavelA]

Выполнить скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('sрoоlsv.exe','');
 QuarantineFile('C:\Documents and Settings\1\Главное меню\Программы\Автозагрузка\RavMonE.exe','');
 DeleteFile('C:\Documents and Settings\1\Главное меню\Программы\Автозагрузка\RavMonE.exe');
 DeleteFile('sрoоlsv.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

З.Ы. Гриша, я еще тут кое чего нарыл. Странно, что ты этого не заметил.

[DmiTCh]

Выполнил первый скрипт, закачал карантин.
Выполнять второй скрипт и повторять логи или еще что-нибудь добавится?

[Гриша]

Офф.топ:сегодня больше 20 тем,с 9 утра сижу обрабатываю,все на отдых,голова не варит

[DmiTCh]

Может кто-нибудь еще поможет??

[PavelA]

Да, конечно, выполнять и второй скрипт тоже.

И логи заново сделаете.

[DmiTCh]

Ничего не изменилось - синий экран и проводник в окне
Логи:

[PavelA]

C:\DOCUME~1\1\LOCALS~1\Temp\Unamon.vbs - вот этот файлик загрузи в карантин и пришли по Правилам.
Вот эту строчку надо профиксить:
O4 - HKLM\..\RunOnce: [*Restore] C:\WINDOWS\system32\restore\rstrui.exe -c

Выполнить:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
  DeleteFile('C:\WINDOWS\system32\syst43.dll');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

У вас 2 а/вируса: НОД и Касперский. Надо оставить одного.

Сделать после скрипта новые логи.

[DmiTCh]

Все выполнил, файл в карантин поместил и сюда закачал.
Пока ничего не изменилось.
Логи:

[V_Bond]

пофиксите

Код:

O4 - HKLM\..\Run: [Unamon] wscript.exe //b C:\DOCUME~1\1\LOCALS~1\Temp\Unamon.vbs

hijackthis.log повторите ...

[DmiTCh]

Пофиксил.
Пока все по-прежнему.
Лог:

[V_Bond]

выполните скрипт

Код:

begin
ExecuteRepair(5);
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(16);
RebootWindows(true);
end.

[DmiTCh]

Выполнил. Все без изменений.
Логи:

[Rene-gad]

Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.

- Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteService('Bonjour Service');
 QuarantineFile('C:\Documents and Settings\1\Рабочий стол\ЛЕНА\POSMOTRI_HTO_TUT[1].....rar','');
 DeleteFile('C:\Documents and Settings\1\Рабочий стол\ЛЕНА\POSMOTRI_HTO_TUT[1].....rar');
 DeleteFile('C:\Documents and Settings\All Users\Application Data\Apple\Installer Cache\Bonjour 1.0.104\Bonjour.msi');
 DeleteFile('C:\WINDOWS\system32\dns-sd.exe');
BC_ImportAll;
ExecuteSysClean;
executerepair(5);
executerepair(6);
executerepair(8);
RegKeyStrParamWrite('HKEY_USERS','.DEFAULT\Control Panel\Desktop','Wallpaper','');
 SetAVZPMStatus(true);
BC_Activate;
RebootWindows(true);
end.

После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по п.2 и 3 Диагностики.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы.
- Прикрепите логи к новому сообщению.

[DmiTCh]

Все выполнил. Карантин закачал. Пока все по прежнему.
Логи (по п.2,3):

[Rene-gad]

- Выполните скрипт

Код:

begin
executerepair(14);
RebootWindows(true);
end.

После перезагрузки проинформируйте о состоянии ПК.

[PavelA]

Любопытный скрипт попал в карантин. Его задача удаление НОДа.
Поищи вот такой файлик:
C:\DOCUME~1\1\LOCALS~1\Temp\Unamon.reg

Найдется пришли.

В логах-то криминала не видно.

[DmiTCh]

Последний скрипт выполнил - изменений нет.
По прежнему после экрана "Приветствие" появляется синий экран
без признаков рабочего стола, кнопки "пуск", панели задач и системного трея. И открывается окно проводника. На этом все.
Если пытаться на любой директории нажать пр.кнопкой мыши и выбрать пункт "Проводник" вылезает сообщение "Системе не удалось найти "..." но при этом новое окно проводника открывается.
На эту сломанную систему несколько дней назад ставили лиценз. касперского думали он сам все исправит он и сказал что удалит стоявший НОД - может до конца чегото не сделал.
Указанный файл на диске не найден.

[Rene-gad]

На эту сломанную систему несколько дней назад ставили лиценз. касперского .

Когда и кому антиврус помогал устранить системные проблемы??? Попробуйте заменить системные файлы sfc /scannow. Система попросит дистрибутив - держите его рядом.
Если не поможет - format c:\