Не грузится рабочий стол Vista Home - Компьютерный форум OSzone.net

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)

- - Не грузится рабочий стол Vista Home (http://forum.oszone.net/showthread.php?t=168585)

Aldy	26-02-2010 11:43 1356382

Не грузится рабочий стол Vista Home

После вируса перестал загружаться рабочий стол. Почистил с загрузочного диска Аваста. После выбора пользователя при загрузке пустой стол и курсор мыши. Через комбинацию из трех клавиш и менеджер задач загрузил explorer. Рабочий стол появился, но не работало восстановление системы ("запрещено групповой политикой") и regedit ("запрещено администратором системы") и не запускался nod32. Включил встроенную учетку администратора. В ней все нормально. Перепробовал все советы с этого форума и с других источников. Заработало восстановление системы и антивирус, но под учеткой пользователя по прежнему не грузится раб. стол и не работает regedit, хотя дал права администратора и в реестре все нужные ветки прописаны. Восстановил систему к предыдущей автоматически сохраненной точке, ничего не изменилось. При попытке восстановления к более ранним точкам выдает ошибку, что востановление невозможно.

okshef

26-02-2010 11:50 1356387

Aldy, загрузитесь в проблемный профиль и представьте логи, согласно этих правил.

Aldy	27-02-2010 13:20 1357308

Вложений: 3

Пытался выполнить указанные действия, но не удалось.
1. Не устанавливается драйвер расширенного мониторинга процессов.
2. В проблемном профиле 3 скрипт вылетает сразу после начала работы. В профиле админа 3 скрипт вроде бы начинает работу, но окно AVZ становится неактивным, в заголовке окна появляется надпись "не отвечает", при этом в диспетчере задач появляется процесс taskeng.exe, который занимает ~30-40% ЦП и постоянно растет занимаемое им место в памяти (на 1,5 Гб я его отключил).
Удалось выполнить только HiJackThis и 2 скрипт под админом и под проблемным профилем.

И еще в первом сообщении я ошибся, nod32 в пользовательском профиле не запускается ("Не удалось запустить приложение, поскольку его параллельная конфигурация неправильна"). Вроде бы данная проблема лечится переустановкой ++Redistributable... , но почему тогда под админом работает?

Прикрепляю отчеты HiJackThis и двух вторых скриптов.

okshef

27-02-2010 14:54 1357397

Aldy, логи AVZ не те: нужны архивы из папки LOG в папке с программой. Вирусы есть (были) - переношу в лечение. Файлы

Цитата:

>>> C:\Windows\system32\userinit.exe ЭПС: подозрение на Файл с подозрительным именем (CH) (высокая степень вероятности)
>>> C:\Windows\system32\cmd.exe ЭПС: подозрение на Файл с подозрительным именем (CH) (высокая степень вероятности)
>>> C:\Windows\system32\comres.dll ЭПС: подозрение на Файл с подозрительным именем (CH) (высокая степень вероятности)
>>> C:\Windows\system32\sens.dll ЭПС: подозрение на Файл с подозрительным именем (CH) (высокая степень вероятности)
>>> C:\Windows\system32\svchost.exe ЭПС: подозрение на Файл с подозрительным именем (CH) (высокая степень вероятности)
>>> C:\Windows\system32\regedit.exe ЭПС: подозрение на Файл с подозрительным именем (CH) (высокая степень вероятности)

сами патчили?

iskander-k

27-02-2010 15:13 1357419

Aldy, Скачайте Kaspersky Virus Removal Tool http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/ и просканируйте ваш комп.

И дайте нужные логи.
# virusinfo_syscure.zip и virusinfo_syscheck.zip из каталога AVZ\LOG, если использовалась утилита AVZ

Aldy	27-02-2010 16:05 1357448

Вложений: 2

Цитата:

Цитата okshef

сами патчили? »

Комп не мой, попросили полечить. Система предустановленная, думаю что её не трогали.

Логи могу дать только syscheck, как уже писал в предыдущем посте.

Запустил касперского, но вчера я по полной прогнай CureIt и вычистил кучу вирусни.

thyrex

27-02-2010 18:53 1357549

Выполнить в проблемной учетке. Утилиты запускать от имени Администратора по правой кнопке мыши

Пофиксить в HiJack

Код:

F2 - REG:system.ini: Shell=explorer.exe rundll32.exe bxwjh

F2 - REG:system.ini: UserInit=C:\Windows\system32\userinit.exe

O2 - BHO: MS Media Module - {2B29CB8C-ECF8-5BFB-D529-6C36212D95FB} - (no file)

O2 - BHO: MS Media Module - {C89E07B6-D518-A5C3-32E6-EDE0572E11F7} - (no file)

Выполните скрипт в AVZ

Код:

begin

SearchRootkit(true, true);

SetAVZGuardStatus(True);

QuarantineFile('\\?\globalroot\systemroot\system32\GnjPjfd.exe','');

 QuarantineFile('C:\Windows\system32\regedit.exe','');

 DeleteFile('\\?\globalroot\systemroot\system32\GnjPjfd.exe');

 DeleteFile('C:\Windows\system32\regedit.exe');

BC_ImportAll;

ExecuteSysClean;

BC_Activate;

ExecuteRepair(6);

ExecuteRepair(16);

ExecuteRepair(17);

RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);

RebootWindows(true);

end.

Компьютер перезагрузится.

Выполните скрипт в AVZ

Код:

begin

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');

end.

quarantine.zip из папки AVZ отправьте через форму http://support.kaspersky.ru/virlab/helpdesk.html. В строке "Подробное описание возникшей ситуации:" напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Полученный ответ сообщите здесь.

Сделайте новые логи

Aldy	27-02-2010 19:15 1357567

Это уже откладывается до понедельника.

Aldy	01-03-2010 12:00 1358696

Пофиксил в HiJack указанные ветки.
Под проблемной учеткой скрипт AVZ вылетает. В событиях пишет сбойный модуль ntdll.dll. Под админом - виснет.

thyrex

01-03-2010 15:53 1358867

Лог HiJack сделайте из разных учеток

Aldy	01-03-2010 18:30 1358965

Вложений: 2

Два лога: под админом и под юзером.

thyrex

01-03-2010 21:39 1359100

Скачайте OTM by OldTimer или с зеркала и сохраните на рабочий стол.
Запустите OTM (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)
временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)

Код:

:Processes

explorer.exe



:Services



:Files

C:\Windows\system32\regedit.exe

C:\Windows\system32\system32\GnjPjfd.exe



:Reg



:Commands

[purity]

[emptytemp]

[start explorer]

[Reboot]

В OTM под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!".

Компьютер перезагрузится.

После перезагрузки откройте папку "C:\_OTM\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), прикрепите его к следующему сообщению.

Aldy	02-03-2010 14:22 1359497

Вложений: 1

Готово

thyrex

02-03-2010 15:23 1359544

Что сейчас с проблемой?

Aldy	02-03-2010 17:04 1359626

Всё то же самое. Ещё забыл упомянуть один момент: не запоминается разрешение экрана (под всеми учетками) и при загрузке всегда 640х480.

Aldy	04-03-2010 14:29 1361157

Создал новую учетку с обычными правами. При попытке входа в нее сначала выдает приветствие "Добро пожаловать", а затем через некоторое время "Завершение сеанса" с вываливанием в экран выбора пользователя.
Поменял на админские права. Получил те же глюки, что и в проблемном профиле, но regedit грузится.

thyrex

04-03-2010 16:33 1361241

Попробуйте проверить http://virusinfo.info/showthread.php?t=51777

Время: 23:21.