Пропал рабочий стол

Здравствуйте
У меня на машине с win2k server следующая проблема - пропал рабочий стол. Кроме того - безопасный режим не работает, Ctrl+Alt+Del и Ctrl+Sift+Esc не работают, в реестре HKEY_LOCAL_MACH INESOFTWAREMicr osoftWindows NTCurrentVersio nWinlogon значение Shell равно Explorer.exe. Перечитв форумы в нете нашёл, что нужно пользоваться hijackthis и avz. Но так как безопасный режим и Ctrl+Alt+Del не работают, то нужно грузиться с LiveCD, а как запускать вышеуказанные програмы для работы с удалённым реестром не знаю. На одном из форумов прочитал, что hijackthis имеет возможность выбрать "Запустить с удаленным реестром", но или у меня не та версия (хотя сомневаюсь) или... А о avz с такой функцией я так ничего и не нашёл.
Система сама по себе работает, доступ к разшареным папкам и сервисам (кроме одного, который я перенёс на другую машину) есть. Не могу рисковать, так как стоит одна вещь, базы которой нельзя потерять (будет бо-о-о-льшой скандал). В общем, жду совета.

[size="1"][color="#666686"][B][I]Добавлено через 1 час 57 минут[/I][/B][/color][/size]

Я бы с радостью сделал, как написано в правилах
[QUOTE]вложите в сообщение файлы логов, полученных в процессе диагностики [B](AVZ - virusinfo_syscure.zip, AVZ - virusinfo_syscheck.zip, HJT - hijackthis.log)[/B][/QUOTE]
только подскажите, как мне это сделать ...

[QUOTE]только подскажите, как мне это сделать ...[/QUOTE]
Жмёте "Редактировать сообщение" - "Управление вложениями" - указываете путь к нужным файлам (см. "Обзор") - жмёте "Загрузить" - когда файлы загрузятся жмёте "Закрыть окно" - потом нажимаете "Сохранить изменения".

Уважаемый [B]Ingener[/B], дело не в том, как присоеденить вложения, а как запустить AVZ если вход на больную машину происходит с LiveCD.
В своём первом сообщении я детально описал проблему...

Загрузитесь в обычном режиме.
Нажмите сочетание клавиш win+u - откроется центр специальных возможностей - через него вы сможете перейти к нужной директории где лежат утилиты (например флешке) - запустите утилиты - сделайте логи по правилам и выложите здесь.

Уточняю своё первое сообщение - никакое сочетание клавиш не работает :(

[size="1"][color="#666686"][B][I]Добавлено через 1 час 44 минуты[/I][/B][/color][/size]

Никто не сталкивался с такой проблемой?

Озовитесь кто-нибудь!

С LiveCD производили полный скан системы? LiveCD использовался новый?
Какие ошибки возникают при загрузке в безопасном режиме? (или просто в перезагрузку уходит?)
Попробуйте это [url]http://virusinfo.info/showthread.php?t=51777[/url]

1 Подскажите пожалуйста чем производить полный скан системы?
2 Использовал LiveCD_iNFR@_CD_PE.6.4 старенький, но в нём есть возможность подгружать дополнительные драйвера (проблема на НР Рroliant ML350). Может подскажете чем его заменить?
3 При загрузке в безопасном аналогичная картина, что и в обычном - чёрный екран с надписями "безопасный режим" и ничего не работает.

Скачайте и запишите лайф си ди на незараженной системе. [url]http://www.freedrweb.com/livecd/[/url]
Загрузитесь с него. Сделайте полное сканирование. Там встроенная утилита имеется, разобраться не сложно. Затем попробуйте сделать логи.

К сожелению, эти дни занимался другой проблемой, к этой вернулся пару часов назад...
Загрузится с drweb_livecd не удалось, так как у меня скази диски и он просто их не увидел
Пробовал с другого livecd - InfR@ Live CD - запустить cureit - через некоторое время выдало синий екран
По ходу удалось переставить пароль админа ЕРД командером и запустить восстановление по второму R... результат всё тот-же...
Лазил по реестру, указанных здесь [url]http://virusinfo.info/showthread.php?t=51777[/url] ошибок не нашёл

В общем, запустился с другого Live CD - NervOS RC6 XP LiveCD 2008 в котором при работе с AVZ и HijackThis есть возможность запуска с удалённым реестром (может кто-то посоветует другой вариант Live CD, так как и относительно этого меня "терзают смутные сомненья") на всякий случай поставил галочку "Запускать автоматически все профили пользователей". Выполнение скрипта лечения/карантина и сбора вроде бы сработало (файл лога прилагается), а вот скрипт сбора информации мне никакого лога не дал :(. Также прилагается лог HijackThis.

Логи, сделанные из под лив сиди, бесполезны.

[QUOTE='mrsbc;535750']Загрузится с drweb_livecd не удалось, так как у меня скази диски и он просто их не увидел[/QUOTE]
Честно говоря не совсем понял. Live CD должен прекрасно отработать с любым интерфейсом\подключением дисков.

Докторовский Live CD не всё оборудование поддерживает, к сожалению.

[QUOTE=миднайт;537010]Логи, сделанные из под лив сиди, бесполезны. [/QUOTE]
Что мне тогда делать??? :sos:

[B]KAV Rescue Disc[/B] попробуйте.

[QUOTE=snifer67;537143][B]KAV Rescue Disc[/B] попробуйте.[/QUOTE]
Попробвать то я попробую...
Главное, чтобы не было облома, как и с докторовским диском...

[size="1"][color="#666686"][B][I]Добавлено через 54 минуты[/I][/B][/color][/size]


Слава Богу, запустился. Идёт проверка машины.

[size="1"][color="#666686"][B][I]Добавлено через 7 часов 18 минут[/I][/B][/color][/size]

В общем 7 часов прошли даром - KAV Rescue Disc ничего не нашёл... :(

Неужели единственный выход - "морг"?

Подождите немного. Надо посоветоваться.

Жду...
По ходу кое-что попробовал -
в ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon прописал DefaultUserName и добавил DefaultPassword, но заведомо неправильный...
Никаких изменений - система даже не ругнулась на неправильный пароль...

Экспортируйте ветку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon и прикрепите ее к сообщению.
Попробуйте загрузиться с live cd, найдите и скопируйте файлы userinit.exe и winlogon.exe и проверьте их на virustotal.com например. Результат сообщите. Замените файл userinit.exe на чистый из дистрибутива. Если после этого картина таже, переименуйте файл userinit.exe в userinit.dta, например, а на его место скопируйте полиморфик avz.exe и переименуйте его в userinit.exe, после попробуйте загрузиться и сделать логи.
Полиморфик - [url]http://www.z-oleg.com/avz.exe[/url]

Замена исходником ничего не дала...
Пока присылаю ветку и результаты проверки на virustotal (всё чисто, но на всякий случай прилагаю результат)
Играться с аморфиком буду уже с понедельника...

[QUOTE='mrsbc;530894']значение Shell равно Explorer.exe[/QUOTE]
А вы не забыли проверить наличие файла [I]Explorer.exe [/I]в папке C:\Winnt ?

[QUOTE='Bratez;539867']А вы не забыли проверить наличие файла Explorer.exe в папке C:\Winnt ? [/QUOTE]
Да нет, не забыл...


Загрузка с полиморфиком ничего не изменила...

Идёт совещание?

Да. Советуюсь с коллегами, простите что не быстро всё.

[QUOTE='mrsbc;530894']Система сама по себе работает, доступ к разшареным папкам и сервисам есть. [/QUOTE]
Т.е подключить ее реестр, посмотреть список процессов по сети можно.
есть ли возможность удаленного входа на эту машину?

[QUOTE='Kuzz;541972']Т.е подключить ее реестр, посмотреть список процессов по сети можно.
есть ли возможность удаленного входа на эту машину? [/QUOTE]
Реестр просматриваю с LiveCD, процессы просмотреть не могу (точнее не знаю чем можно)
Удалённо вхожу радмином, но полное управление (монитор, клава, мыша) дают тот же результат (пустой екран) посилка стр+алт+дел не дает результата, могу просматривать файлы.

[QUOTE='mrsbc;542045']процессы просмотреть не могу (точнее не знаю чем можно)[/QUOTE]
[CODE]tasklist.exe /S:_имя_машины_[/CODE]

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

[QUOTE='mrsbc;542045']Реестр просматриваю с LiveCD[/QUOTE]
В тот момент он не "живой"
А вот при работающей машине может быть и что-то интересное.

Собственно проблема где-то около winlogon.exe (полезно посмотреть запущен ли он)

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

Еще очень полезно присоединиться оснасткой "Просмотр событий" и почитать журналы системы.
Там как раз могут быть указания на сбоящие модуля

Имя образа PID Имя сессии № сеанса Память
========================= ====== ================ ======== ============
System Idle Process 0 0 16 КБ
System 8 0 212 КБ
smss.exe 224 0 396 КБ
csrss.exe 248 0 1*908 КБ
winlogon.exe 244 0 2*452 КБ
services.exe 300 0 6*616 КБ
lsass.exe 312 0 6*604 КБ
svchost.exe 492 0 3*820 КБ
SPOOLSV.EXE 520 0 5*620 КБ
DefWatch.exe 568 0 1*060 КБ
tcpsvcs.exe 612 0 5*816 КБ
svchost.exe 628 0 11*516 КБ
hidserv.exe 644 0 1*424 КБ
llssrv.exe 680 0 1*764 КБ
msftesql.exe 748 0 3*196 КБ
sqlservr.exe 820 0 49*500 КБ
r_server.exe 1044 0 2*628 КБ
mstask.exe 1060 0 2*908 КБ
ScktSrvr.exe 1116 0 2*772 КБ
sqlbrowser.exe 1172 0 1*700 КБ
clntpp.exe 1228 0 5*352 КБ
termsrv.exe 1264 0 2*168 КБ
UPSMON_Service. 1268 0 1*852 КБ
winmgmt.exe 1280 0 4*544 КБ
wins.exe 1336 0 4*188 КБ
dfssvc.exe 1364 0 1*436 КБ
dns.exe 1384 0 2*960 КБ
inetinfo.exe 1404 0 10*152 КБ
SQLAGENT90.EXE 600 0 2*952 КБ
svchost.exe 1848 0 3*308 КБ
dllhost.exe 1940 0 4*924 КБ

По поводу "Просмотр событий" скачал Adminpak для Windows Server, но к сожелению "не найден сетевой путь", хотя к службам подключилось...

Так.

Делаем такие правки в реестре:
[CODE]Windows Registry Editor Version 5.00

[HKEY_USERS\.DEFAULT\Control Panel\Desktop]
"ScreenSaveActive"="1"
"ScreenSaverIsSecure"="1"
"SCRNSAVE.EXE"="cmd.exe"
"ScreenSaveTimeOut"="300"


[/CODE]

Через 5 минут бездействия система попытается запустить "скринсейвер" - cmd.exe

Надеюсь, что дальше делать если это сработает понятно.

никакой реакции

А Вы перед этим консоль системы "потревожили" (чтоб таймаут запуска скринсейвера заново пошел)?

я перегрузил машину (точнее вкл/выкл)

А файл msgina.dll присутствует в системе/нормальный?

[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]

Если есть доступ к управлению сервисами, то можно запустить телнет и собрать лог AVZ:

[CODE]avz.exe Script=scan.scr[/CODE]
scan.scr:[CODE]begin
ExecuteStdScr(2);
end.[/CODE]

[QUOTE='Kuzz;543249']А файл msgina.dll присутствует в системе/нормальный?[/QUOTE]
Файл присутствует, по дате, вроде нормальный...
Запустил avz через телнет, но что-то он быстро сработал...
syscheck прилагается...

Теперь в тот же файл scan.scr вставляем:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\DOCUME~1\2EDF~1.KRU\LOCALS~1\Temp\trqvt.dat','');
DeleteFile('C:\DOCUME~1\2EDF~1.KRU\LOCALS~1\Temp\trqvt.dat');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Drivers32','midi9');
BC_ImportDeletedList;
ExecuteSysClean;
SetAVZPMStatus(True);
BC_Activate;
RebootWindows(true);
end.[/CODE]

Запускаем через телнет как предыдущий раз
После выполнения скрипта компьютер перезагрузится.

что-то оно не перегружается...
может вручную удалить trqvt.dat и внести изменения в реестре? Хотя 'C:\DOCUME~1\2EDF~1.KRU\LOCALS~1\Temp\trqvt.dat' - я такого почему-то не вижу... вижу только C:\DOCUME~1\2EDF~1.LOG

И к машине не могу подсоеденится радмином в режиме телнета...

[size="1"][color="#666686"][B][I]Добавлено через 2 часа 5 минут[/I][/B][/color][/size]

В общем, может зря, а может... прошло ведь 2 часа... сделал ему вкл/выкл и... :) пошли изменения - при входе запустилось стрл+алт+дел для выбора пользовтеля, я вошёл, на екране окно avz. Рабочего стола всё-так же нету. :( Зато система на клавиши реагирует. :)
Мои дальнейшие действия? Стандартно, как в правилах?

Да, дальше по правилам.


[QUOTE='mrsbc;543891']я вошёл, на екране окно avz.[/QUOTE]
Мы же им подменяли userinit.exe ))))

[QUOTE='Kuzz;544053']Мы же им подменяли userinit.exe )))) [/QUOTE]
было такое дело... там столько наделано, что я уже и забыл :)
вернуть назад? или пока оставить?

Лучше вернуть оригинальный userinit.exe
А после этого делать логи