Перестал грузится рабочий стол при входе в систему.
Printable View
Перестал грузится рабочий стол при входе в систему.
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\temp\acpnqhynq.dll','');
QuarantineFile('c:\temp\uprrkqihq.dll','');
QuarantineFile('c:\temp\ymhjgixuq.dll','');
QuarantineFile('c:\temp\hudjinraq.dll','');
QuarantineFile('c:\temp\amycvrcaq.dll','');
QuarantineFile('c:\temp\lpzyabhcq.dll','');
QuarantineFile('c:\temp\koeyubciq.dll','');
QuarantineFile('c:\temp\dellplitq.dll','');
QuarantineFile('c:\temp\tndfsnpkq.dll','');
QuarantineFile('c:\temp\eqxrqsleq.dll','');
QuarantineFile('c:\temp\xvryypfpq.dll','');
QuarantineFile('c:\temp\qgqcjrspq.dll','');
QuarantineFile('c:\temp\trncmajgq.dll','');
QuarantineFile('c:\temp\znpxigzwq.dll','');
QuarantineFile('c:\temp\dfvzxuriq.dll','');
QuarantineFile('c:\temp\wmlcwezxq.dll','');
QuarantineFile('c:\temp\sjaqgdjlq.dll','');
QuarantineFile('c:\temp\payuvgvzq.dll','');
QuarantineFile('c:\temp\ugiagtelq.dll','');
QuarantineFile('c:\temp\imbyjkiiq.dll','');
QuarantineFile('c:\temp\ttfztxfiq.dll','');
QuarantineFile('c:\temp\etxrahkiq.dll','');
QuarantineFile('c:\temp\ajnocontq.dll','');
QuarantineFile('c:\temp\ifamoipuq.dll','');
QuarantineFile('c:\temp\dxlenywrq.dll','');
QuarantineFile('c:\temp\bsycdblgq.dll','');
QuarantineFile('c:\temp\yhukgrujq.dll','');
QuarantineFile('c:\temp\iebpttxbq.dll','');
QuarantineFile('c:\temp\fvkspufaq.dll','');
QuarantineFile('c:\temp\cmcmngarq.dll','');
QuarantineFile('c:\temp\onailbpaq.dll','');
QuarantineFile('c:\temp\zdymxlgoq.dll','');
QuarantineFile('c:\temp\urzilqhmq.dll','');
QuarantineFile('c:\temp\wnuyzvrmq.dll','');
QuarantineFile('c:\temp\jdlsavzeq.dll','');
QuarantineFile('c:\temp\xgqezhkvq.dll','');
QuarantineFile('c:\temp\plqdbxraq.dll','');
QuarantineFile('c:\temp\swhleidcq.dll','');
QuarantineFile('c:\temp\wwfgshcrq.dll','');
QuarantineFile('c:\temp\enhvdjdaq.dll','');
QuarantineFile('c:\temp\fpzegmfrq.dll','');
QuarantineFile('c:\temp\fljdevppq.dll','');
QuarantineFile('c:\temp\wesjxpzuq.dll','');
QuarantineFile('c:\temp\buxxxashq.dll','');
QuarantineFile('c:\temp\isckjtdhq.dll','');
QuarantineFile('c:\temp\gxoxeucxq.dll','');
QuarantineFile('c:\temp\npjihbzgq.dll','');
QuarantineFile('c:\temp\zljquulcq.dll','');
QuarantineFile('c:\temp\dwnlvmdkq.dll','');
QuarantineFile('c:\temp\bfpuullhq.dll','');
QuarantineFile('c:\temp\avxnzaylq.dll','');
QuarantineFile('c:\temp\xfzojrxnq.dll','');
QuarantineFile('c:\temp\hejtqbqzq.dll','');
QuarantineFile('c:\temp\ymzsabbjq.dll','');
QuarantineFile('c:\temp\rsotjzekq.dll','');
QuarantineFile('c:\temp\vxbuhjoeq.dll','');
QuarantineFile('c:\temp\aqrzkxyrq.dll','');
QuarantineFile('c:\temp\nhahgxmhq.dll','');
QuarantineFile('c:\temp\ftlekamuq.dll','');
QuarantineFile('c:\temp\ttgokhjoq.dll','');
QuarantineFile('c:\temp\xyxaxrasq.dll','');
QuarantineFile('c:\temp\lvvlgfisq.dll','');
QuarantineFile('c:\temp\ghyutpbfq.dll','');
QuarantineFile('c:\temp\gfdfsoxfq.dll','');
QuarantineFile('c:\temp\fzujkugjq.dll','');
DeleteFile('c:\temp\fzujkugjq.dll');
DeleteFile('c:\temp\gfdfsoxfq.dll');
DeleteFile('c:\temp\ghyutpbfq.dll');
DeleteFile('c:\temp\lvvlgfisq.dll');
DeleteFile('c:\temp\xyxaxrasq.dll');
DeleteFile('c:\temp\ttgokhjoq.dll');
DeleteFile('c:\temp\ftlekamuq.dll');
DeleteFile('c:\temp\nhahgxmhq.dll');
DeleteFile('c:\temp\aqrzkxyrq.dll');
DeleteFile('c:\temp\vxbuhjoeq.dll');
DeleteFile('c:\temp\rsotjzekq.dll');
DeleteFile('c:\temp\ymzsabbjq.dll');
DeleteFile('c:\temp\hejtqbqzq.dll');
DeleteFile('c:\temp\xfzojrxnq.dll');
DeleteFile('c:\temp\avxnzaylq.dll');
DeleteFile('c:\temp\bfpuullhq.dll');
DeleteFile('c:\temp\dwnlvmdkq.dll');
DeleteFile('c:\temp\zljquulcq.dll');
DeleteFile('c:\temp\npjihbzgq.dll');
DeleteFile('c:\temp\gxoxeucxq.dll');
DeleteFile('c:\temp\isckjtdhq.dll');
DeleteFile('c:\temp\buxxxashq.dll');
DeleteFile('c:\temp\wesjxpzuq.dll');
DeleteFile('c:\temp\fljdevppq.dll');
DeleteFile('c:\temp\fpzegmfrq.dll');
DeleteFile('c:\temp\enhvdjdaq.dll');
DeleteFile('c:\temp\wwfgshcrq.dll');
DeleteFile('c:\temp\swhleidcq.dll');
DeleteFile('c:\temp\plqdbxraq.dll');
DeleteFile('c:\temp\xgqezhkvq.dll');
DeleteFile('c:\temp\jdlsavzeq.dll');
DeleteFile('c:\temp\wnuyzvrmq.dll');
DeleteFile('c:\temp\urzilqhmq.dll');
DeleteFile('c:\temp\zdymxlgoq.dll');
DeleteFile('c:\temp\onailbpaq.dll');
DeleteFile('c:\temp\cmcmngarq.dll');
DeleteFile('c:\temp\fvkspufaq.dll');
DeleteFile('c:\temp\iebpttxbq.dll');
DeleteFile('c:\temp\yhukgrujq.dll');
DeleteFile('c:\temp\bsycdblgq.dll');
DeleteFile('c:\temp\dxlenywrq.dll');
DeleteFile('c:\temp\ifamoipuq.dll');
DeleteFile('c:\temp\ajnocontq.dll');
DeleteFile('c:\temp\etxrahkiq.dll');
DeleteFile('c:\temp\ttfztxfiq.dll');
DeleteFile('c:\temp\imbyjkiiq.dll');
DeleteFile('c:\temp\ugiagtelq.dll');
DeleteFile('c:\temp\payuvgvzq.dll');
DeleteFile('c:\temp\sjaqgdjlq.dll');
DeleteFile('c:\temp\wmlcwezxq.dll');
DeleteFile('c:\temp\dfvzxuriq.dll');
DeleteFile('c:\temp\znpxigzwq.dll');
DeleteFile('c:\temp\trncmajgq.dll');
DeleteFile('c:\temp\qgqcjrspq.dll');
DeleteFile('c:\temp\xvryypfpq.dll');
DeleteFile('c:\temp\eqxrqsleq.dll');
DeleteFile('c:\temp\tndfsnpkq.dll');
DeleteFile('c:\temp\dellplitq.dll');
DeleteFile('c:\temp\koeyubciq.dll');
DeleteFile('c:\temp\lpzyabhcq.dll');
DeleteFile('c:\temp\amycvrcaq.dll');
DeleteFile('c:\temp\hudjinraq.dll');
DeleteFile('c:\temp\ymhjgixuq.dll');
DeleteFile('c:\temp\uprrkqihq.dll');
DeleteFile('c:\temp\acpnqhynq.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил.
Сделайте новые логи.
для возврата рабочего стола:
[code]begin
ExecuteRepair(6);
ExecuteRepair(9);
ExecuteRepair(16);
RebootWindows(true);
end.
[/code]
P.S., не забудьте карантин загрузить.
Выполнил 1-й скрипт. Файл с карантином отправил. Выполнил 2-й скрипт. Рабочий стол не появился.
Подробнее можете пояснить, что означает "не загружается рабочий стол"? AVZ и HJT вы запускаете через диспетчер задач? И логи, начиная с п. 10 правил, повторите, пожалуйста.
Попробую подробнее. При загрузки Windows появляется окно безопасноси и просит ввести Ctr+Alt+Del, после этого ввожу Имя и Пароль для входа в систему. После ввода пароля появляется пустой экран. Ни кнопки Пуск, ни иконок на рабочем столе не появляется. Только курсор на экране. При нажатии Ctr+Alt+Del запускаю диспетчер задач из него запускаю TotalCommander и уже из TC запускаю AVZ и HJT.
Новые логи
Тогда так попробуйте: [code]begin
ExecuteRepair(5);
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(9);
ExecuteRepair(16);
RebootWindows(true);
end.[/code]
Сделал. Компьютер перезагрузился, но не помогло :( Есть еще варианты?
керио файрвол удалить, достаточно одного фаэрвола от касперского.
Удалил Kerio WinRoute, перезагрузился, тоже самое.
А не удалён ли файл explorer.exe?
А где он должен быть?
[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]
В каталоге Windows есть такой файл
А если его (explorer.exe) попробовать запустить, что будет.
Ничего не произошло
Может посмотреть какие ошибки есть в административных логах
Прислать надо значит этот файл. Добавить в карантин и загрузить.
Попробовать применить таблетку №16 (Файл- восст. системы)
[quote=Geser;155057]Может посмотреть какие ошибки есть в административных логах[/quote]
Поскольку explorer не запускается, то через диспетчер задач - новая задача - eventvwr.msc , посмотрите, есть ли ошибки.
Попробовал применить сост. сист. №16 Ничего не помогло. Файл прислать не могу, т.к. не могу загрузить его в карантин. Не появляется он там, хотя пробовал и через Сервис-поиск на диске и через файл добавить карантин по списку. Не появляет этот файл в карантине.
[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]
В административных логах ошибки есть.
Не добавляется это хорошо, значит AVZ понимает, что файл чистый.
А что получается в защищ. режиме? Рабочий стол появляется.
Нет. В защищенном режиме рабочий стол тоже не появляется.
в реестре (через regedit) проверь:
[CODE]HKLM\software\microsoft\windows nt\current version\winlogon[/CODE] параметр Shell должен быть explorer.exe
Да, так и есть.
попробуй пока просто переименовать или скопировать explorer с другим именем и попытаться запустить.
Еще разок из AVZ восст. системы п.9 и п.16
Пробовал. Не получается.
А какие ошибки в административных логах?
В основном ругается на не возможность подключится к контроллеру домена и к каталогу AD в ПРИЛОЖЕНИЯХ и в Системе ругается на NTP сервер и на отсутствие доступа к контроллеру домена.
Но это, как я понимаю не то.
[QUOTE=ajrat;155192]В основном ругается на не возможность подключится к контроллеру домена и к каталогу AD в ПРИЛОЖЕНИЯХ и в Системе ругается на NTP сервер и на отсутствие доступа к контроллеру домена.
Но это, как я понимаю не то.[/QUOTE]
Не то. В лога ошибок апликаций тоже ничего интересного?
А это где посмотреть?
Там же 3 или 4 разных опции. Система, безопасность, апликации
У меня только, Приложение Безопасност и Система. Безопасность пуста, а что было в Приложении и Системе я написал выше.
[b]Geser[/b],
Как вы смотрите на:
[code]REG DELETE "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe"[/code]
и
[code]REG DELETE "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\iexplore.exe"[/code]?
Paul
В модулях расширения куча мусора. Может почистить
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
[QUOTE=p2u;155203][b]Geser[/b],
Как вы смотрите на:
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe"
и
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\iexplorer.exe"?
Paul[/QUOTE]
Честноо говоря не знаю :)
[size="1"][color="#666686"][B][I]Добавлено через 5 минут[/I][/B][/color][/size]
Выполните этот скрипт и повторите лог из п10 правил
[CODE]
begin
DeleteFile('c:\temp\ttgokhjoq.dll');
DeleteFile('c:\temp\ftlekamuq.dll');
DeleteFile('c:\temp\nhahgxmhq.dll');
DeleteFile('c:\temp\aqrzkxyrq.dll');
DeleteFile('c:\temp\vxbuhjoeq.dll');
DeleteFile('c:\temp\rsotjzekq.dll');
DeleteFile('c:\temp\ymzsabbjq.dll');
DeleteFile('c:\temp\hejtqbqzq.dll');
DeleteFile('c:\temp\xfzojrxnq.dll');
DeleteFile('c:\temp\avxnzaylq.dll');
DeleteFile('c:\temp\bfpuullhq.dll');
DeleteFile('c:\temp\dwnlvmdkq.dll');
DeleteFile('c:\temp\zljquulcq.dll');
DeleteFile('c:\temp\npjihbzgq.dll');
DeleteFile('c:\temp\gxoxeucxq.dll');
DeleteFile('c:\temp\isckjtdhq.dll');
DeleteFile('c:\temp\buxxxashq.dll');
DeleteFile('c:\temp\wesjxpzuq.dll');
DeleteFile('c:\temp\fljdevppq.dll');
DeleteFile('c:\temp\fpzegmfrq.dll');
DeleteFile('c:\temp\enhvdjdaq.dll');
DeleteFile('c:\temp\wwfgshcrq.dll');
DeleteFile('c:\temp\swhleidcq.dll');
DeleteFile('c:\temp\plqdbxraq.dll');
DeleteFile('c:\temp\xgqezhkvq.dll');
DeleteFile('c:\temp\jdlsavzeq.dll');
DeleteFile('c:\temp\wnuyzvrmq.dll');
DeleteFile('c:\temp\urzilqhmq.dll');
DeleteFile('c:\temp\zdymxlgoq.dll');
DeleteFile('c:\temp\onailbpaq.dll');
DeleteFile('c:\temp\cmcmngarq.dll');
DeleteFile('c:\temp\fvkspufaq.dll');
DeleteFile('c:\temp\iebpttxbq.dll');
DeleteFile('c:\temp\yhukgrujq.dll');
DeleteFile('c:\temp\bsycdblgq.dll');
DeleteFile('c:\temp\dxlenywrq.dll');
DeleteFile('c:\temp\ifamoipuq.dll');
DeleteFile('c:\temp\ajnocontq.dll');
DeleteFile('c:\temp\etxrahkiq.dll');
DeleteFile('c:\temp\ttfztxfiq.dll');
DeleteFile('c:\temp\imbyjkiiq.dll');
DeleteFile('c:\temp\ugiagtelq.dll');
DeleteFile('c:\temp\payuvgvzq.dll');
DeleteFile('c:\temp\sjaqgdjlq.dll');
DeleteFile('c:\temp\wmlcwezxq.dll');
DeleteFile('c:\temp\dfvzxuriq.dll');
DeleteFile('c:\temp\znpxigzwq.dll');
DeleteFile('c:\temp\trncmajgq.dll');
DeleteFile('c:\temp\qgqcjrspq.dll');
DeleteFile('c:\temp\xvryypfpq.dll');
DeleteFile('c:\temp\eqxrqsleq.dll');
DeleteFile('c:\temp\tndfsnpkq.dll');
DeleteFile('c:\temp\dellplitq.dll');
DeleteFile('c:\temp\koeyubciq.dll');
DeleteFile('c:\temp\fzujkugjq.dll');
DeleteFile('c:\temp\gfdfsoxfq.dll');
DeleteFile('c:\temp\ghyutpbfq.dll');
DeleteFile('c:\temp\lvvlgfisq.dll');
DeleteFile('c:\temp\xyxaxrasq.dll');
DeleteFile('c:\temp\lpzyabhcq.dll');
DeleteFile('c:\temp\amycvrcaq.dll');
DeleteFile('c:\temp\hudjinraq.dll');
DeleteFile('c:\temp\ymhjgixuq.dll');
DeleteFile('c:\temp\uprrkqihq.dll');
DeleteFile('c:\temp\acpnqhynq.dll');
ExecuteSysClean;
RebootWindows(true);
end.
[/CODE]
@[b]ajrat[/b]:
После скрипта [b]Geser[/b]'a, если проблема не исчезла, запустите, пожалуйста [b]regedit.exe[/b] из диспетчера задач и проверьте эту ветку:
HKLM\
SOFTWARE\
Microsoft\
Windows NT\
CurrentVersion\
[b]Image File Execution Options\[/b]
Передайте, кто там прописался. Особенно интересно если там либо explorer.exe либо iexplore.exe
Paul
@p2u да, есть и такой вариант лечения. Особенно, если эти ключи есть в реестре. :)
Запоздалый вопрос: файловая система какая на системном диске? NTFS или FAT32 ?
Файловая система NTFS. Скрипт Geser'а не помог. В ветке, которую просит посмотреть P2U нет explorer.exe и нет iexplorer.exe
Есть такое, может быть глупое, предложение:
1. проверить права доступа к папке Windows и ее подпапкам - должны присутствовать права у группы "Все" только на чтение
2. попробовать выполнить процедуру, о которой говорится в этой статье от microsoft: [url]http://support.microsoft.com/kb/256194[/url]
1. Группы ВСЕ у папки Windows нет. Есть только SYSTEM, Администраторы, Опытные пользователи, Пользователи, СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ.
2. Пробовал выполнить рекомендации по статье. Не тот случай. Нет тех файлов которые просят удалить.
[QUOTE=ajrat;155417]1. Группы ВСЕ у папки Windows нет. Есть только SYSTEM, Администраторы, Опытные пользователи, Пользователи, СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ.[/QUOTE]
Для XP это правильно.
В порядке бреда - уберите с обоих рабочих столов (личного и общего), а также из папок Авторагрузка обоих главных меню все ярлыки. Типа переместите куда-нибудь на хранение. Возможно, какой-то ярлык поломатый и вызывает падение проводника.