Не грузится рабочий стол

Printable View

09.04.2011, 12:00
tigr62

Не грузится рабочий стол

Диспетчер задач вызвать не смог. :(
09.04.2011, 12:25
thyrex

1. Скачайте образ [B]ERD Commander[/B], запишите на болванку и загрузитесь с созданного диска
2. Пуск - Выполнить - [B]erdregedit[/B]
3. Посмотрите в реестре:
[B]ветка[/B]
[code]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon[/code]
[B]параметр[/B]
[code]userinit[/code]
[B]параметр[/B]
[code]shell[/code]
Значения этих параметров напишите в своем сообщении
09.04.2011, 12:50
tigr62

[QUOTE=thyrex;781379]1. Скачайте образ [B]ERD Commander[/B], запишите на болванку и загрузитесь с созданного диска
2. Пуск - Выполнить - [B]erdregedit[/B]
3. Посмотрите в реестре:
[B]ветка[/B]
[code]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon[/code][B]параметр[/B]
[code]userinit[/code][B]параметр[/B]
[code]shell[/code]Значения этих параметров напишите в своем сообщении[/QUOTE]

"Shell"="explorer.exe"

"Userinit"="userinit.exe"
10.04.2011, 00:12
thyrex

Использовали образ [B]ERD Commander[/B] или другой?
10.04.2011, 00:25
tigr62

[QUOTE=thyrex;781472]Использовали образ [B]ERD Commander[/B] или другой?[/QUOTE]
"Зверя" В нем есть [B]ЕРД Командре[/B]р

Скачать образ ЕРД? А можно ссылку?
10.04.2011, 00:44
thyrex

[QUOTE='tigr62;781480']"Зверя"[/QUOTE]Вы смотрели реестр Зверя

[url]http://www.google.by/search?client=opera&rls=ru&q=%D0%BE%D0%B1%D1%80%D0%B0%D0%B7+ERD+Commander+%D1%81%D0%BA%D0%B0%D1%87%D0%B0%D1%82%D1%8C&sourceid=opera&ie=utf-8&oe=utf-8&channel=suggest[/url]

Для ХР лучше версию 2005
10.04.2011, 14:02
tigr62

[QUOTE=thyrex;781491]

Для ХР лучше версию 2005[/QUOTE]
Спасибо. Скачал, посмотрел, параметры те же самые.
"Shell"="explorer.exe"

"Userinit"="userinit.exe"

Посмотрел Лог событий системных Там есть сообщение об ошибке с файлом подкачки во время последней загрузки - "Находится в не загрузочной области или поврежден". Удалил файл подкачки, проблема осталась.
Проверка Скандиском из под Лайв_СД ничего не дала. Может какие-то системные файлы попытаться поменять?

[size="1"][color="#666686"][B][I]Добавлено через 3 часа 33 минуты[/I][/B][/color][/size]

[QUOTE=tigr62;781527]Спасибо. Скачал, посмотрел, параметры те же самые.
"Shell"="explorer.exe"

"Userinit"="userinit.exe"

Проверка Скандиском из под Лайв_СД ничего не дала. Может какие-то системные файлы попытаться поменять?[/QUOTE]
Сейчас поговорил с пользователем. Он говорит, что всё началось с того, что при загрузке Рабочего стола появилось окно о том что ошибка [B]Servises.exe[/B] и что комп перезагрузится через 60 секунд.
10.04.2011, 17:31
thyrex

В безопасном режиме с поддержкой командной строки грузится?
10.04.2011, 22:17
tigr62

[QUOTE=thyrex;781603]В безопасном режиме с поддержкой командной строки грузится?[/QUOTE]
:( Нет.

[size="1"][color="#666686"][B][I]Добавлено через 3 часа 29 минут[/I][/B][/color][/size]

Вообще непонятно, что творится. Загрузил в Безопасном режиме. Грузится долго. Любая команда -открытие проводника, вызов диспетчера задач, требует пять-семь минут.
11.04.2011, 20:29
tigr62

Переустановил систему с [B]Восстановлением[/B]
Всё работает нормально. Сделал логи.

Сразу после переустановки когда загрузился рабочий стол выскочило сообщение об ошибке

[IMG]http://s010.radikal.ru/i313/1104/32/9bc565667b51.jpg[/IMG]
13.04.2011, 00:16
thyrex

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\agent\Application Data\Sun\cczrz25.dll','');
QuarantineFile('C:\Documents and Settings\agent\Application Data\Bitrix Security\kvnkhv65.dll','');
QuarantineFile('c:\documents and settings\all users\application data\egoset\sp.dll','');
DeleteService('gqhvqhcp');
TerminateProcessByName('c:\documents and settings\localservice\local settings\application data\google\update\googleupdatebeta.exe');
DeleteFile('c:\documents and settings\localservice\local settings\application data\google\update\googleupdatebeta.exe');
DeleteFile('C:\WINDOWS\system32\drivers\vjspqps.sys');
DeleteFile('c:\documents and settings\all users\application data\egoset\sp.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\SPService\Parameters','ServiceDll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved','{96AFBE69-C3B0-4b00-8578-D933D2896EE2}');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи
18.04.2011, 23:47
tigr62

[QUOTE=thyrex;782233]Выполните скрипт в AVZ

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR=Red][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи[/QUOTE]
Спасибо!
19.04.2011, 00:35
thyrex

Сделайте лог [url="http://virusinfo.info/showpost.php?p=457118&postcount=1"]полного сканирования МВАМ[/url]
19.04.2011, 01:35
tigr62

[QUOTE=thyrex;783816]Сделайте лог [URL="http://virusinfo.info/showpost.php?p=457118&postcount=1"]полного сканирования МВАМ[/URL][/QUOTE]
сделал
19.04.2011, 08:40
thyrex

[url="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в МВАМ[/url] [b]только указанные строки[/b] [code]Заражённые ключи в реестре:
HKEY_CLASSES_ROOT\CLSID\{6F3107CE-566B-4BCA-882D-27549171FC21} (Trojan.Ambler.Gen) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{6F3107CE-566B-4BCA-882D-27549171FC21} (Trojan.Ambler.Gen) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\{6F3107CE-566B-4BCA-882D-27549171FC21} (Trojan.Ambler.Gen) -> No action taken.
HKEY_CLASSES_ROOT\idid (Trojan.Sasfix) -> No action taken.
HKEY_CLASSES_ROOT\sp (TrojanProxy.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\sp (TrojanProxy.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_GOOGLEUPDATEBETA (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SPService (TrojanProxy.Agent) -> No action taken.

Заражённые параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost\netsvc (TrojanProxy.Agent) -> Value: netsvc -> No action taken.

Заражённые файлы:
c:\documents and settings\agent\application data\Sun\cczrz25.dll (Trojan.Ambler.Gen) -> No action taken.
c:\documents and settings\localservice\local settings\temporary internet files\Content.IE5\55H6K08J\20110331[1].exe (Trojan.Agent) -> No action taken.
c:\documents and settings\localservice\local settings\temporary internet files\Content.IE5\55H6K08J\20110411[1].exe (Trojan.Agent) -> No action taken.
c:\documents and settings\localservice\local settings\temporary internet files\Content.IE5\EWJ86UMX\20110413[1].exe (Trojan.Agent) -> No action taken.
c:\WINDOWS\system32\drivers\str.sys (Rootkit.Agent) -> No action taken.
c:\documents and settings\networkservice\local settings\application data\Google\Update\googleupdatebeta.exe (Trojan.Agent) -> No action taken.[/code]
19.04.2011, 14:29
tigr62

[QUOTE=thyrex;783864][URL="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в МВАМ[/URL] [B]только указанные строки[/B] [/QUOTE]
удалил
19.04.2011, 23:41
thyrex

Что с проблемой?
19.04.2011, 23:45
tigr62

[QUOTE=thyrex;784088]Что с проблемой?[/QUOTE]

Нет проблем :)
20.04.2011, 23:45
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]7[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]