Папка Мои документы открывается при загрузке системы
 

Подскажите,пожалуйста,решение данной проблемы. ОС XP SP3, установлена на диск С, на компе 2 юзера, Мои документы открываются у обоих при старте

1. reg файл из топика http://forum.oszone.net/showthread.p...181#post980181 не помог
2. или Explorer.exe
3. Пуск - Выполнить - msconfig - Автозагрузка нет никакого параметра наподобие BluetoothAuthenticationAgent

4. ПО для Audigy не установлено, скрипт не подошел

Также userinit.exe в ключе HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon прописан правильно, запятая стоит одна

В системе установлен KIS 7 с последними базами,при проверке диска С было найдено и вылечено несколько файлов с вирусами. После этого просканил его при помощи cureit, вирусов не нашло. Логи полной проверки системы Kaspersky Virus Removal Tool и cureit выложу как только закончится сканирование системы.

Rexfist, Здравствуйте. У вас какая-то сборка ОС, возможно проблема ещё и из-за этого, многие системные файлы не прошли проверку по базе безопасных AVZ, рекомендую удалить всякие "украшательства" и установить официальный WindowsXP SP3
C:\WINDOWS\system32\DRIVERS\FStarForce.sys - проверьте на virustotal.com, результат сообщите.
Запустите HijackThis, нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked".
Запустите AVZ, далее в меню файл - выполнить скрипт, выделите и скопируйте текст ниже в окно выполнения скрипта AVZ, временно выключите антивирус, firewall и другое защитное программное обеспечение, отключите интернет (или включите временно брандмауэр windows), нажмите кнопку «Запустить».
Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт
Файл quarantine.zip отправьте на user15802[at]mail.ru, в письме укажите ссылку на тему.

Запустите в AVZ, Файл - Мастер поиска и устранения проблем, выберите все системные проблемы, выставьте степень опасности "Все проблемы", исправьте найденные проблемы. То же самое можно выполнить в категории проблемы "Настройки и твики браузера".
Для защиты от вирусов типа autorun.inf рекомендую отключить автозапуск

Повторите логи virusinfo_syscheck.zip (2-ой стандартный скрипт AVZ) и hijackthis

2 Pili
Спасибо что откликнулись. Стоит сборка ZverCD, уже около полутора месяцев. Данный глюк начал наблюдаться примерно пару дней назад,после того,как KIS 7 нашел и вылечи полдесятка вирусов на диске С при очередной проверке. ПО новое не ставилось,соответственно,проблема с вирусом,который был,скорее всего,занесен на флешке. Результат проверки на virustotal.com:
http://www.virustotal.com/ru/analisi...103d86ef831292
Скрипты выполнил, проблемы исправил, пока результата нет. Единственное - при полной проверке системы в безопасном режиме утилитой CureIt было найдено и удалено 2 вируса,один из них в system 32

а почему бы вопросы у них на форуме не позадавать. Их глюки - их ответы.

Rexfist, странно, что карантин получился таким большим, к сожалению с fileshare.in.ua я скачать не могу, файл C:\WINDOWS\system32\iiffGyAP.dll отдельно можете запаковать с паролем virus и прислать на user15802[at]mail.ru
По логам AVZ и hijackthis больше ничего зловредного. Украшательства вы так и не удалили, официальный SP3 не установили...
С помощью CureIt систему проверяли?

Обновите Java Runtime Environment (JRE)
Скачайте JavaRA здесь или здесь
Распакуйте, запустите, выберите "Remove Older Versions",
Далее нажмите "Search For Updates", выберите "Update Using Sun Java's Website" и "Open Webpage"
Альтернативный вариант - после удаления старой версии скачайте и установите последнюю версию Java Runtime Environment (JRE) с сайта производителя.

Скачайте Malwarebytes' Anti-Malware здесь, здесь или здесь. Установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.

Скачайте SDFix, загрузитесь в безопасном режиме, запустите утилиту (запустить RunThis.bat - подтвердить, нажав "Y"), после окончания сканирования скопируйте (Ctrl+A, Ctrlv+C) текст из C:\Report.txt и вставьте (Ctrl+V) в следующее сообщение, если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\Report.txt и прикрепите к сообщению.

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.
Можете установить Recovery Console по инструкции (на англ.яз) - how-to-use-combofix и здесь - скачайте установочный файл для своей ОС (например Windows XP с пакетом обновления 2 (SP2) - для Windows XP SP3 использовать также этот файл) на рабочий стол, закройте все остальные приложения и мышкой перенесите установочный файл на иконку ComboFix, подтвердите лицензионное соглашение и установите Microsoft Recovery Console. Доп. см. Программа для Windows XP Professional с пакетом обновления 2 (SP2): Установочные диски для установки с гибкого диска
1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте (Ctrl+A, Ctrlv+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению
Как использовать ComboFix - how-to-use-combofix (на англ.яз.) и здесь

2 Pili
Спасибо за то, что стараетесь мне помочь.
По пунктам:
1. К сожалению, файла C:\WINDOWS\system32\iiffGyAP.dll в данном каталоге нет. Да и на диске С его не наблюдается.
2. Насчет украшательств - честно говоря,я не совсем понял,о чем идет речь. Удалить встроенные темы? Официальный SP3 стоит ли ставить поверх существующего? Если да,то скиньте,пожалуйста,ссылочку на сайт microsoft, где его можно скачать.
3. 4. Java Runtime Environment (JRE) скачал и установил
5. Лог Malwarebytes' Anti-Malware прикладываю сюда
6. SDFix выдал при окончании проверки в безопасном режиме сообщение о перезагрузке и просьбе запустить RunThis.bat и нажать F при следующей загрузке системы. После перезагрузки(в обычном режиме) выполнил все,как он написал,и получил отчет Report.txt, который также прикладываю сюда.
7. Скачал и установил ComboFix и Microsoft Recovery Console. Лог также присутствует

Он удален скриптом и должен быть в карантине AVZ (AVZ-файл-просмотр карантина)
VistaDriveIcon, RocketDock, CursorXP
Поверх, ссылка была во 2-м посте WindowsXP SP3
По логу МВАМ
Повторите ещё раз сканирование и удалите найденное.
Для файлов C:\WINDOWS\system32\user32.DLL, c:\windows\system32\dllcache\user32.dll не сошлись сигнатуры, возможно они патченные, скопируйте файлы с чистой системы (установка SP3 должна также заменить эти файлы)
Включите показ скрытых файлов и файлы
проверьте на virscan.org или virustotal.com
C:\WINDOWS\System32\preh - это у вас что?
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
временно выключите антивирус, firewall и другое защитное программное обеспечение
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.


Когда сохранится новый отчет ComboFix, выложите C:\ComboFix.txt в сообщение
Сделайте новый лог Hijackthis.

Карантин AVZ:

Украшалки удалил, SP3 поставил.
Проверка системных файлов на вирусы:
http://www.virustotal.com/ru/analisi...3939a87b153611
http://www.virustotal.com/ru/analisi...541685ffeee15b
http://www.virustotal.com/ru/analisi...4a19988bc6fa38
http://www.virustotal.com/ru/analisi...c5f241ca0878cf
C:\WINDOWS\System32\preh - не знаю,что это.Но удалилось без проблем.

Проблема решена. Правда,не знаю,как именно. В одном уверен точно - дело было не в кривом сервис паке, т.к. даже с официальным при запуске системы вылетала данная папка. Pili еще раз спасибо за Ваши советы.

Файлы
рекомендую запаковать с паролем virus и отправить на анализ по адресу newvirus@kaspersky.com

По логу HJT можете пофиксить строчки
Они остались от сборки (имхо кривой)
По логам больше придраться не к чему.
Для предотвращения заражения, рекомендую не работать за компьютером с правами администратора, отключить неиспользуемые службы, отключить автозапуск со съемных носителей, не использовать Internet Explorer или отключить в нем ActiveX, пользоваться браузером Opera или Firefox c плагином NoScript и AdBlock Plus
Советую прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista" и следовать рекомендациям, описанным в этой книге.
Полезная информация (на англ. яз):
Malware_Prevention:_Prevent_Re-infection
Malware Removal and Prevention Overview

Результаты проверки:

Rexfist, отлично :) свежий зловред.
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
временно выключите антивирус, firewall и другое защитное программное обеспечение
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.


Когда сохранится новый отчет ComboFix, выложите C:\ComboFix.txt в сообщение.
Скачайте OTViewIt сохраните на рабочий стол и запустите, выберите File Age: 90 Days, поставьте галочку Scan All Users, нажмите Run Scan, когда закончится процесс сканирования, откроются два файла OTViewIt.txt и Extras.txt , скопируйте (Ctrl+A, Ctrl+C) текст из этих файлов и вставьте (Ctrl+V) в следующее сообщение, если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте полученные логи C:\OTViewIt.txt и C:\Extras.txt и прикрепите к сообщению.

Обновил базы Касперского,через пару часов после отправки вируса на эл. почту newvirus@kaspersky.com и просканил system32. Нашло и удалило nbDX.dll :)

В папке C:\WINDOWS\system32 ? В вы CFScript.txt не выполняли?
Можете ещё проверить файлы на virustotal.com или virscan.org