Показано с 1 по 9 из 9.

Не запускается рабочий стол (заявка № 91610)

  1. #1
    Junior Member Репутация
    Регистрация
    01.10.2009
    Сообщений
    4
    Вес репутации
    53

    Cool Не запускается рабочий стол

    Проблема в следующем. Компьютер не у меня, а у знакомой. XP Prof. Где-то что-то подцепила.
    Висит экран приветствия и больше ничего. Через полминуты появляется wallpaper, но ни таскбара, ни рабочего стола нет. Ctrl+Alt+Del - в процессах висят два explorer.exe. Один убиваешь - винда продолжает грузиться. Долго бился почему два. В итоге нашел, что в HKCU (точный путь навскидку не спомню) в Shell была запись "explorer.exe,путь_до_какой-то_вирусни,explorer.exe". Строчку поправил до explorer.exe. Перезагрузился 4 раза - все отлично, комп грузится как надо. На пятый раз снова - "Приветствие" и замер. Ctrl+Alt+Del - explorer.exe в одном экземпляре. Убиваю его и запускаю через "Выполнить задачу..." - винда грузится.
    Прогнал Cureit в защищенном режиме - что-то нашел. Прогнал MalwareBytes Antimalware - еще что-то нашел.
    Что делать дальше - ума не приложу.
    Сейчас попробовал снять логи с ее компа удаленно через mail.Агент (я руководил ее действиями). Вроде что-то получилось. Единственное, не отключали антивирус (eset 4 smart security) - для нее это непосильная задача . Посмотрел логи - снова вирусня. Откуда она нафиг берется?? Сейчас висит в файлах вида 680.exe из Temp-папки пользователя
    Помогите, плиз. Два раза к ней уже ходил. У меня процент ремонтов компьютеров - близок к 100% за несколько лет, но тут такое, что волосы дыбом встают от исчерпавшихся мыслей.
    Да, кстати, Avast был криво удален, поэтому в логах он еще присутствует (убить бы его до конца).

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Отключите восстановление системы!
    Очистите временные файлы IE через Свойства обозревателя.

    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\Z9V5JW34\u[1].exe','');
    DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\Z9V5JW34\u[1].exe');
    QuarantineFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\Z9V5JW34\s[1].exe','');
    DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\Z9V5JW34\s[1].exe');
    QuarantineFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\234T8NWT\u[1].exe','');
    DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\234T8NWT\u[1].exe');
     QuarantineFile('C:\RECYCLER\S-1-5-21-2581271389-6672258508-414193846-8732\syscr.exe','');
     QuarantineFile('C:\Documents and Settings\Администратор\Application Data\ltzqai.exe','');
     QuarantineFile('L:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1015\svchost.exe','');
     QuarantineFile('c:\docume~1\9335~1\locals~1\temp\680.exe','');
     QuarantineFile('c:\docume~1\9335~1\locals~1\temp\65076.exe','');
     DeleteFile('c:\docume~1\9335~1\locals~1\temp\65076.exe');
     DeleteFile('c:\docume~1\9335~1\locals~1\temp\680.exe');
     DeleteFile('L:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1015\svchost.exe');
     DeleteFile('C:\Documents and Settings\Администратор\Application Data\ltzqai.exe');
     DeleteFile('C:\RECYCLER\S-1-5-21-2581271389-6672258508-414193846-8732\syscr.exe');
     DeleteFile('C:\WINDOWS\System32\Drivers\aswSP.SYS');
    DeleteFile('C:\WINDOWS\system32\07.exe');
    DeleteFile('C:\WINDOWS\system32\77.exe');
    DeleteFile('C:\WINDOWS\system32\86.exe');
    DeleteFileMask( 'c:\docume~1\9335~1\locals~1\temp', '*.*',true);
    DeleteFileMask( 'C:\Documents and Settings\Администратор\DoctorWeb\Quarantine', '*.*',true);
    BC_ImportAll;
    ExecuteSysClean;
     BC_DeleteSvc('dozaaa3hb8a');
     BC_DeleteSvc('Network Driver Interface');
     BC_DeleteSvc('yua0uqco6etb');
    BC_Activate;
    RegKeyParamDel('HKLM', 'Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved','{472083B0-C522-11CF-8763-00608CC02F24}');
    RegKeyParamDel('HKLM', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Taskman');
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил
    (загружать тут: http://virusinfo.info/upload_virus.php?tid=91610).
    Сделайте новые логи.
    Последний раз редактировалось Bratez; 13.11.2010 в 16:17.
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    01.10.2009
    Сообщений
    4
    Вес репутации
    53
    Выполнил. Через форму закачал случайно не тот файл (который получился после - Откройте меню "Файл"=>"Стандартные скрипты" и отметьте пункт "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info". Нажмите "Выполнить отмеченные скрипты".). Он сохранился под именем:
    Файл сохранён как 101113_150052_virusinfo_cure_4cde7df4b8542.zip
    Размер файла 176777
    MD5 db7ab0770eaf0cd71405116b60754754

    Файл virus.zip :
    Файл сохранён как 101113_160755_virus_4cde8dab6a120.zip
    Размер файла 72126
    MD5 edabbeab7bb7036adaa2d08ba1b7e7b2

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Пофиксите в HijackThis:
    Код:
    R3 - URLSearchHook: (no name) -  - (no file)
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
    O4 - HKLM\..\Run: [MSODESNV7] C:\WINDOWS\system32\msvmiode.exe
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    ClearQuarantine;
     QuarantineFile('C:\WINDOWS\system32\msvmiode.exe','');
     QuarantineFile('C:\Documents and Settings\Администратор\Application Data\ltzqai.exe','');
     DeleteFile('C:\Documents and Settings\Администратор\Application Data\ltzqai.exe');
     DeleteFile('C:\WINDOWS\system32\msvmiode.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Сделайте лог gmer.
    I am not young enough to know everything...

  6. #5
    Junior Member Репутация
    Регистрация
    01.10.2009
    Сообщений
    4
    Вес репутации
    53
    Если можно, то включите в скрипт удаление AVASTа, а то в логе видно, что он еще присутствует.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Выполните скрипт в AVZ:
    Код:
    Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
    var
    i : integer; 
    KeyList : TStringList;
    KeyName : string;                           
    begin
    RegKeyResetSecurity(ARoot, AName);
    KeyList := TStringList.Create;
    RegKeyEnumKey(ARoot, AName, KeyList);
    for i := 0 to KeyList.Count-1 do
     begin
     KeyName := AName+'\'+KeyList[i];
     RegKeyResetSecurity(ARoot, KeyName);
     RegKeyResetSecurityEx(ARoot, KeyName);
     end;
    KeyList.Free;
    end;
    Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
    var
     i : integer;
     KeyList : TStringList;
     KeyName : string;                           
    begin
     Result := 0;
     if StopService(AServiceName) then Result := Result or 1;
     if DeleteService(AServiceName,  not(AIsSvcHosted)) then Result := Result or 2;
     KeyList := TStringList.Create;
     RegKeyEnumKey('HKLM','SYSTEM', KeyList);
     for i := 0 to KeyList.Count-1 do
      if pos('controlset', LowerCase(KeyList[i])) > 0 then begin
       KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;                                     
       if RegKeyExistsEx('HKLM', KeyName) then begin
        Result := Result or 4;                  
        RegKeyResetSecurityEx('HKLM', KeyName);
        RegKeyDel('HKLM', KeyName);
        if RegKeyExistsEx('HKLM', KeyName) then               
         Result := Result or 8;                  
       end;
      end;                 
     if AIsSvcHosted then
      BC_DeleteSvcReg(AServiceName)
     else
      BC_DeleteSvc(AServiceName);
     KeyList.Free;
    end;
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\System32\gitntiep.dll','');
    DeleteFile('C:\WINDOWS\System32\gitntiep.dll');
    BC_ImportALL;
    ExecuteSysClean;
    BC_ServiceKill('pudpwoq');
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил, если будет не пуст.
    Сделайте новые логи.

    Цитата Сообщение от oam333 Посмотреть сообщение
    он еще присутствует
    В первом скрипте я удалял его драйвер aswSP.SYS, больше ничего не вижу.
    I am not young enough to know everything...

  8. #7
    Junior Member Репутация
    Регистрация
    01.10.2009
    Сообщений
    4
    Вес репутации
    53
    В общем не выдержал я. Так хотелось понять почему рабочий стол не загружается, но терпения не хватило. До конца почистил вирусню, поубивал все левое из драйверов, системных файлов, из реестра (на сколько осилил и на сколько хватило моих знаний) - признаков вирусов больше не обнаружено. Но рабочий стол так и не загружался (точнее загружался, но через 10-15 раз). Поставил SP3. Проблема ушла. Но осадок о том, что не узнал что же такое было, остался. Получилось, что SP3 - как пушкой по воробьям. Обидно.

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Цитата Сообщение от oam333 Посмотреть сообщение
    Получилось, что SP3 - как пушкой по воробьям.
    Нет, SP3 - это в любом случае на пользу. И последующие обновления тоже ставьте, от этого зависит стабильность и защищенность вашей системы.
    I am not young enough to know everything...

  10. #9
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 2
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\documents and settings\\администратор\\application data\\ltzqai.exe - Packed.Win32.Krap.ig ( DrWEB: Trojan.Inject.13166, BitDefender: Trojan.Generic.KDV.64114, NOD32: Win32/Bflient.K worm, AVAST4: Win32:Trojan-gen )
      2. c:\\windows\\system32\\msvmiode.exe - Email-Worm.Win32.Joleee.fjq ( DrWEB: Trojan.Spambot.9106, BitDefender: Worm.Generic.295017, NOD32: Win32/SpamTool.Tedroo.AN trojan, AVAST4: Win32:Trojan-gen )


  • Уважаемый(ая) oam333, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Не запускается рабочий стол
      От karbit3 в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 02.04.2011, 06:40
    2. Win 7 не запускается рабочий стол
      От ramzes50 в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 17.02.2011, 17:18
    3. Не запускается рабочий стол и пр.
      От zamaza в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 29.01.2010, 03:43
    4. Не запускается рабочий стол
      От sepryn в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 28.01.2010, 19:03
    5. Не запускается рабочий стол
      От Vas3350 в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 04.11.2009, 01:21

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01086 seconds with 17 queries