Не запускаются программы из автозагрузки

**LISS-13** · 16.08.2008, 20:23

Здравствуйте.

Хотел бы задать вопрос, быть может кто-то уже сталкивался с подобной проблемой.
Вчера на одном совершенно безобидном сайте через IE умудрился словить троян, два червя и 2 вируса (2 месяца не обновлял базы антирусные, за этот и поплатился). После обновления базы NOD32 он нашёл файл трояна (mscshl.dll) и 2 модифицированных win32/nuwar червя. Вроде бы всё благополучно удалил и почистил систему. На всякий случай ещё прогнал AVZ 4.30. Тот тоже больше не выявил никаких угроз. Довольный, перезагрузил системы и после перезагруза обнаружил, что ни одна программа из автозагрузки не запустилась. Зашел через командную строку в msconfig и там действительно оказался пустой список, за исключением 2-х разных приложений winhelp32.exe (gj flhtce C:\WINDOWS\system32\winhelp32.exe, который, как я понял, является тоже заражённым файлом, но антивири его не находят!!!) которые там висят из разных путей реестра:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Сообственно и всё, дальше список чистый, не смотря на то, что раньше там присутствовало ощутимо больше приложений. Дальше обратил внимание, что программы, находящиеся в Пуск/Программы/Автозагрузка там сохранились, но они тоже наотрез отказываются стартовать. Пробовал удалять, добавлять заново, закидывать новые приложения - ВСЁ БЕСПОЛЕЗНО. Ни одна из них не запускается.

Соответствеенно полез в инет искать обсуждения на эти темы, ничего особо путного не нашел за исключением путей в реестре, куда можно руками добавлять руками программы на автозагрузку.
Напоролся на следующий текст:

Пример:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\policies\Explorer\Run]

"1"="notepad.exe"

"2"="iexplore.exe"

В итоге получаем запуск Блокнота и Internet Explorer для всех пользователей.

Захожу по этому пути и пытаюсь повторить тот же трюк, но при попытке создать строковый параметр или параметр DWORD по аказанному адрусу на нужную программу, ресстр мне выдал окно Ошибка при создании параметра
с текстом "Не удаётся создать параметр. Ошибка при записи в реестр"

Кто-нибудь может подсказать как мне вообще решить эту проблему??? Я не думаю, что тут нужно какое-то сверхгениальное решение. Надеюсь на вашу помощь, форумчане!!!

P.S.: переустановку системы прошу не предлагать, т.к. это сейчас КРАЙНЕ НЕЖЕЛАТЕЛЬНЫЙ вариант!!!

Частично моя проблема схожа с этой: http://www.softboard.ru/index.php?showtopic=53486

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**V_Bond** · 16.08.2008, 21:12

http://virusinfo.info/showthread.php?t=1235

**LISS-13** · 17.08.2008, 04:32

Вот необходимые логи из AVZ и HiJackThis:

**Bratez** · 17.08.2008, 07:04

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\windows\SYSTEM32\webmin\winhelp32.bkp','');
 QuarantineFile('C:\windows\SYSTEM32\webmin\vmmreg32.bkp','');
 QuarantineFile('C:\windows\SYSTEM32\webmin\VIDEO.bkp','');
 QuarantineFile('C:\windows\SYSTEM32\VIDEO.sys','');
 QuarantineFile('C:\windows\SYSTEM32\winhelp32.exe','');
 QuarantineFile('C:\windows\system32\vmmreg32.dll','');
 DeleteFile('C:\windows\system32\vmmreg32.dll');
 DeleteFile('C:\windows\SYSTEM32\winhelp32.exe');
 DeleteFile('C:\windows\SYSTEM32\VIDEO.sys');
 DeleteFile('C:\windows\SYSTEM32\webmin\VIDEO.bkp');
 DeleteFile('C:\windows\SYSTEM32\webmin\vmmreg32.bkp');
 DeleteFile('C:\windows\SYSTEM32\webmin\winhelp32.bkp');
 DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=28205).
Сделайте новые логи, начиная с п.10 правил.

**LISS-13** · 17.08.2008, 15:33

Карантин выслал.

Вот новый комплект логов:

**V_Bond** · 17.08.2008, 15:42

авз Мастер поиска и устранения проблем - вібрать все устранить ...
выполните скрипт ...

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');
 DeleteService('VIDEO');
 DeleteFile('C:\windows\SYSTEM32\VIDEO.sys');
 DeleteFile('C:\windows\SYSTEM32\winhelp32.exe');
 DeleteFile('C:\windows\system32\vmmreg32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

повторите логи ...

**LISS-13** · 17.08.2008, 18:49

winhelp32.exe из автозагрузки пропал.

Вот последние логи. Ещё бы хотелось вернуть автозагрузку назад, чтобы она опять начала работать. Ну и для полноты картины языковую панель с панели задач, которая тоже пропала после этого случая )

**V_Bond** · 17.08.2008, 19:26

про языковую панель
поправить автозапуск

**LISS-13** · 17.08.2008, 21:57

Есть ещё одна маленькая незначительная проблема:
чёто не хочет удаляться раздел (вложенная папка в паке Run по пути в реестре HKCU\Software\Microsoft\Windows\CurrentVersion\). Я его для эксперимента создавал. Название этого раздела (папки) "Новый раздел #1". Через реестр удаляться наотрез не хочет. Выдаёт сообщение: не удаётся удалить Новый раздел #1. Ошибка при удалении раздела. Как с ним быть???

И ещё хотел уточнить: последние логи, которые я выкладывал чистые или есть вещи, вызывающие сомнение?

**V_Bond** · 17.08.2008, 22:07

логи чистые ....
насчет ветки реестра возможно она создавалась под другим пользователем .... просто дайте права на нее ...

**LISS-13** · 18.08.2008, 02:06

Благодарю за столь оперативную помощь!!!
С проблемой реестра разобрался. Проблема действительно была с разрешениями.

Ещё раз большое спасибо!!!

**kps** · 18.08.2008, 02:24

Выполните скрипт для восстановления папок автозагрузки

Код:

begin
RegKeyStrParamWrite('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders', 'Startup', '%USERPROFILE%\Главное меню\Программы\Автозагрузка');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders', 'Common Startup', '%ALLUSERSPROFILE%\Главное меню\Программы\Автозагрузка');
RebootWindows(true);
end.

**CyberHelper** · 22.02.2009, 07:09

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 26
В ходе лечения обнаружены вредоносные программы:
1. c:\\windows\\system32\\video.sys - Trojan-PSW.Win32.Agent.knd (DrWEB: Trojan.Siggen.172)
2. c:\\windows\\system32\\vmmreg32.dll - Trojan-PSW.Win32.Agent.kne (DrWEB: Trojan.Siggen.172)
3. c:\\windows\\system32\\webmin\\video.bkp - Trojan-PSW.Win32.Agent.knd (DrWEB: Trojan.Siggen.172)
4. c:\\windows\\system32\\webmin\\vmmreg32.bkp - Trojan-PSW.Win32.Agent.kne (DrWEB: Trojan.Siggen.172)
5. c:\\windows\\system32\\webmin\\winhelp32.bkp - Trojan-PSW.Win32.Agent.knc (DrWEB: Trojan.MulDrop.20735)
6. c:\\windows\\system32\\webmin\\winhelp32.exe - Trojan-PSW.Win32.Agent.knc (DrWEB: Trojan.MulDrop.20735)
7. c:\\windows\\system32\\winhelp32.exe - Trojan-PSW.Win32.Agent.knc (DrWEB: Trojan.MulDrop.20735)

Не запускаются программы из автозагрузки (заявка № 28205)

Опции темы