Ошибка загрузки локального профиля, заместо него - временный профиль

[fagler]

Случилось примерно в одно время на компьютере на работе и на моем домашнем. При очередном запуске ОС, стало появляться сообщение об ошибке загрузки локального профиля, про причине этого будет применен временный профиль. Причем заходил в систему под именем того же пользователя. Паролей к учетным записям нету. После входа, обнаруживался якобы первый запуск виндоуз. Ярлыки на рабочем столе были, только общие для всех пользователей. При запуске офиса, была просьба указать пользователя и т.п. При перезагрузке, все происходило заново. На жестком диске при проверке на обоих компьютерах обнаруживались ошибки... При проверке нодом в безопасном режиме, нашел трояна в System Volume Information и в одном exe-файле из дистрибутива.

[V_Bond]

выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DelBHO('{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}');
 QuarantineFile('msansspc.dll','');
 DeleteFile('msansspc.dll');
 DeleteFile('D:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил
повторите логи

[fagler]

После выполнения скрипта и перезагрузки, сообщения об ошибке загрузки профиля осталось

Лог AVZ не дают приложить, пишут, что этот файл я уже вкладывал в этой теме. Даже после переименовывания.

Сейчас только внимание обратил, в "D:\Program files" у меня отсутствует папка Mycent, в которой скриптом dll-файл удаляли...

[Rene-gad]

Лог AVZ не дают приложить, пишут, что этот файл я уже вкладывал в этой теме.

Вы не должны прикреплять имеющиеся логи повторно, а должны повторить действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепить к новому сообщению. Логи загружайте толЬко с именам по умолчанию.

Сейчас только внимание обратил, в "D:\Program files" у меня отсутствует папка Mycent,.

Там зловред был, которого Вам удалили. Вместе со шкуркой...

[fagler]

Там зловред был, которого Вам удалили. Вместе со шкуркой...

ясно, там просто в скрипте код
DeleteFile('D:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1. DLL');
как я понял удаляет именно файл а не всю папку целиком...

[fagler]

Прошло много времени уже, я могу расчитывать на чью-то помощь или тему можно закрывать и где-нибудь в другом месте счастья попытать?...

[Rene-gad]

Прошло много времени уже, я могу расчитывать на чью-то помощь

Да, если

Вы не должны прикреплять имеющиеся логи повторно, а должны повторить действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепить к новому сообщению. Логи загружайте толЬко с именам по умолчанию.

Где новые логи? Не забудьте обновить базы АВЗ.

[fagler]

После проверки avz и перезагрузки компьютера профиль пользователя загружается нормально. Думаю с моим компьютером все. Завтра попробую выложить логи второго компьютера с теми же признаками.

[V_Bond]

выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('D:\WINDOWS\system32\sdra64.exe','');
 DeleteFile('D:\WINDOWS\system32\sdra64.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил
повторите логи

[fagler]

Перед сканированием заметил, что файл, который нужно поместить в карантин и удалить - отсутствует. Скрытые файлы показываются.
Все забываю сказать, что не могу выгрузить nod, не предусмотрена функция такая. После всех логов пытался обратно включить восстановление системы на дисках в свойствах моего компьютера. Во время выполнения вылезла ошибка о невозможности данной операции.

[Rene-gad]

не могу выгрузить nod, не предусмотрена функция такая.

На символ НОД в трее (возле часов) наезжаем мышем, правая кнопка - выпадает попап-меню, выбраем Выйти/Отключить - не помню, как оно точно называется.

Во время выполнения вылезла ошибка о невозможности данной операции.

Без указания причины? Служба запущена?
Удалите папки System Volume information на всех дисках : http://support.microsoft.com/?scid=k...9531&x=15&y=12. Перегрузитесь и попробуйте.

В логах ничего подозрительного

[fagler]

папки "System Volume information" (SVI) практически чистые
Сам глазам не верю, но раньше при выпадении контекстного меню нода, было всего три пункта и не было "Отключить", а щас больше и есть отключение
По поводу отключения восстановления системы, после сообщение об ошибке галочка оставалась, но потом, когда я последний раз глядел ее не было. Щас вообще вкладки "Восстановление системы" нету, наверно связано с тем, что я установил доступ к "SVI". Думаю все хорошо будет, спасибо. Но у меня есть еще 2 проблемных компьютера на работе. Завтра вышлю логи одного из них.

[Rene-gad]

папки "System Volume information" (SVI) практически чистые

Не нужно их вычищать: их нужно удалить и перегрузиться. Системное восстановление должно появиться (если служба запускается, конечно).
Потом нужно восстановить права на SVI