[решено] При загрузке ошибка запуска Mrshield.exe
 

подскажите: при запуске компа проблемы:
Выбираю пользователя(он один), ввожу пароль и комп подвисает гдето секунд на 20 с картиной ввода пароля на экране, а потом это резко меняется на рабочий стол со всеми програмами,которые в автозапуске(типа квип и пр.) и 2мя окнами об ошибках:

С:\WINDOWS\Mrshield.exe
Отказано в доступе к указаному устройству, пути или файлу. Возможно, у вас нет нужных прав доступа к этому обьекту.

и

Редактор реестра
Редактирование реестра защищено администратором системы.

Что это вообще такое?

последствия вирусов очевидно, когда проверялсь последний раз?

Сначала восстановите возможность открытия редактора реестра.
Затем в нем проверьте наличие параметров, в значениях которых присутствует это имя файла, например в этих разделах:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Ну и излюбленный прием вирусописателей: в разделе реестра HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon значение параметра Shell должно быть только explorer.exe и ничего более

Сет, в дополнение к вышесказанному загрузитесь в безопасном режиме и выполните полную проверку с помощью Dr.Web CureIT! (бесплатный сканер, не требует установки).

После перезагрузки запустите HijackThis, нажмите Do a system scan and save a logfile и выложите hijackthis.log.

В ветке \Policies такого \Explorer\Run и быть не должно, если я не ошибаюсь...
Да,как раз после проверки появилось.
Проверил сразу - ничего подозрительного
За это спасибо,я совсем забыл :)
после этого комп грузится нормально,вот только ошибка с реестром выпадает всеравно.
Побаиваюсь, если чесно :dont-know
им и пользуюсь уже месяца 3, обновляю перед каждой проверкой :)

по умолчанию - нет, после некоторых вирусов - вполне
чего? там ничего страшного нет :)

не хотите твикеров так в политиках поправьте, в той же теме путь я указывал

А еще можно взять альтернативный редактор реестра, например RegWorks - если с реестром приходится часто работать, то очень рекомендую, лишнего ничего практически, но по сравнению со стандартным редактором реестра дает несколько преимуществ, таких как удобный поиск, адресную строку, отмену последних изменений и т.д.

так, это что -то новенькое..
Сделал я только это:
после перезагрузки перестала функционировать сеть. Тоест подключение есть, но сеть не видет. Не пингуется.
Просканировал.Прикрепил.Во время сканирования HijackThis Нод обнаружил и удалил файл С:\WINDOWS\Mrshield.exe, хотя до этого его вообще не мог найти в системе...Что с сетью-то делать..?

Забыл :)

это совсем не связанные вещи... серьезно, параметр Shell только лишь определяет запуск оболочки, то есть explorer...

Да я как человек немного разбирающийся понимаю, что это бред, но не могу понять,чего сеть перестала роботать...

может из-за этого? мало ли что там еще зверь наделал..
перестала работать локалка или интернет, или и то и другое?
а что у вас из файерволлов установлено?

а, вижу.. аутпост не пробовали выгрузить и потом проверить что с сетью?

Trojan-Downloader.Win32.VB.agi

MRSHIELD.EXE это Backdoor.SdBot.gen
Сет,
- Cкачайте CureIT и запустите полную проверку всех дисков в безопасном режиме. Перезагрузитесь в обычный режим.
- Скачайте AVZ и HijackThis и распакуйте архивы avz4.zip и HiJackThis.zip в отдельные папки.
- Отключите восстановление системы, закройте все программы, включая антивирусные программы и firewall, оставьте запущенным только Internet Explorer.
- Запустите AVZ и обновите базы (Файл - Обновление баз). Выберите из меню Файл -Стандартные скрипты и поставьте галку напротив 3-го скрипта и нажмите "Выполнить отмеченные скрипты". После выполнения скрипта обязательно перезагрузите компьютер.
- Запустите AVZ. Выберите из меню Файл - Стандартные скрипты, поставьте галку напротив 2-го скрипта и нажмите "Выполнить отмеченные скрипты".
- Запустите HijackThis. В появившимся бланке, с пользовательском соглашением, нажмите на кнопку I Accept.. Нажмите на кнопку "Do a system scan and save a logfile". Заархивируйте полученный лог.
- Вложите в сообщение файлы логов (zip файлы из каталога AVZ\LOG и HijackThis), всего должно быть 3 файла: virusinfo_syscure.zip, virusinfo_syscheck.zip, hijackthis.zip

"Либо найдите какой-либо твикер поддерживающий такую опцию и через него снимите ограничение, например: fitW (fine tuning of Windows)
там есть группа параметров Безопасность, подгруппа Система и там опция запрета редактирования реестра."
Установил, там не стояла галочка "запретить" включил - выключил,перегрузил - ошибка не исчезла
Не работают только локальная сеть, с инетом все впорядке, проверил.
Выгрузить не могу,нет прав :biggrin:
Так, перегрузился,зашол в безопасном режиме с загрузкей сетевых драйверов под админом - тоже самое..."ни одна из служб доступа к сети не смогла обработать заданый сетевой путь"

Файлы в общих сетевых папках открываются медленно или только для чтения, либо появляется сообщение об ошибке - или недолечен или он успел настараться...

попробуйте остальные способы плиз

sysfldr.dll Trojan/Backdoor
Пофиксите в HJT
И есть зловредный сервис
O23 - Service: Microsoft register shield - Unknown owner - C:\WINDOWS\Mrshield.exe
и это может оказаться только верхушкой айсберга

Блин,меня директор выгоняет - хочет домой, надо офис закрывать! :not-me:
До понедельника никак не получится добратся сюда...
Надеюсь послезавтра вы мне поможете добить эту тему.

Сет, самое главное "пофиксить", но это сразу после лечения вирусов
ставить все SP после SP1 и все обновления.

Так, я отключил востановление, попытался повыгружать программы - дофига процесов висит, попытался повыгружать - так мне отказано в доступе...Странно, я ведь зашол под админом :dont-know
Удалил фаервол - зароботала сеть.
- выполнил. Прикрепил.Раскажите,как,пожалуста...

Сет, Что значит "пофиксить с помощью HijackThis", логи сейчас посмотрю

Сет, вместо лога HiJackThis.log вы выложили саму программу HiJackThis.exe :)

А, как фиксить - нашол...Профиксил, перезагрузил - сообщение о реестре все равно выпадает. А, Нод сообшил при старте, что файл http://79.143.178.6/22222.exe - возможно модифицырованый Win32/Statik троян.
Я зделал поиск по имени файла и нашол его в C:\WINDOWS\Temp
Удалил его, темп очистил. При следующей загрузке снова тоже сообщение нода о том же файле. Походу,его что-то создает. Как узнать,что?

Как это саму програму?А,точно :)
Сори,меня тут просто отвлекали :)
Вот,вылаживаю

Выполните в AVZ скрипт, на время выполнения скрипта отключите антивирус
после перезагрузки, выполните ещё один скрипт
quarantine.zip из папки AVZ выложите на ifolder.ru или slil.ru или другой файлообменник, ссылку лучше в ПМ.
Пофиксите в HJT
Повторите все логи,

Так,все зделал...При загрузке Нод уже не ругается по поводу вируса..Что с реестром посоветуете делать?

Сет, логи старые, сделайте новые логи.
после лечения поменяйте все пароли, они скорее всего ушли. Диск E это у вас что?
C:\WINDOWS\system32\sysfldr.dll Backdoor.Win32.SdBot.cpr
поищите через AVZ - сервис - поиск файлов, если найдутся, добавьте в карантин вручную и выложите ещё раз так же

Диск Е - это сидюк. Там диск какой-то умник положил,я не заметил, сори.
Ничего нету.
Сделал новые логи. Щас загружаю на файлообменник.
Паролей на винде не стояло. На квипе поменять?

Пришел ответ из ЛК
мы их уже удалили
пофиксите
возможно придется переустанавливать аську (рекомендую qip - qip.ru)
по логам зловредов больше не видно.
Выполните скрипт
Или, вместо выполнения этого скрипта, запустите в AVZ Мастер поиска и устранения проблем, выберите все системные проблемы и исправьте найденные проблемы.
Отключите не нужные сервисы, гуглтулбар можно снести, если не критично.
что из этого не нужно?
Сделайте лог исследования системы и лог HJT (virusinfo_syscheck.zip, hijackthis.zip), вложите в тему (теперь не надо на файлообменник)
Советую прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista" и выполнить рекомендации описанные в ней.

зы. пароли поменять все, у вас был пинч!

ставьте SP2 и все обновления после него! Рекомендую поставить фаервол.

Профиксил.
Сообщение реестра перестало выходить после удаления Нода. Установил - снова стало выпадать при загрузке.
Зделал все,как сказано,решил проверить - поставил Нод поновой - снова выпадает сообщение реестра...
Как же без антивируса? :)

логи чистые
что из этого не нужно?
что за сообщение? скрин выложит можете?
а вообще, рекомендую на Avira перейти, потому что нод у вас не понятно чем занимался
ещё можете удалить Picture Package и пофиксить
восстановление системы теперь можно снова включить
Для спокойствия, ещё можете найти c:\program files\media key\magickey.exe и самостоятельно проверить на virustotal.com, скорее всего окажется чистым

служба SSDPSRV (Служба обнаружения SSDP);служба Alerter (Оповещатель);служба Schedule (Планировщик заданий) - отключил
Прикрепил скриншот
Антивирус определяет начальство(по стоимости:))
Нужен,говорят

Хмм... avz не видит, что редактирование реестра запрещено, скорее всего это глюк самого NOD, на всякий случай можете выполнить скрипт AVZ
перезагрузится и переустановить нод, кстатиAvira AntiVir PE free, но на англ. яз.

Ну, до этого стоял Касперский, скорее всего это его отголоски были...Но нам уже не суждено узнать - вчера вечером подошол шеф(начальник IT отдела, порылся в реестре и теперь винда виснет при загрузке :biggrin: ), так что буду все сносить...Pili, огромное спасибо, ты ввел меня в большой AVZ, если так можно сказать,это был очень познавательный и увлекательный урок для меня! Огромное спасибо Blast, за первую помощь.

Сет, пожалуйста :)
винду лучше сразу ставь с интегрированным SP2 и все обновления после SP2

Сет, всегда пожалуйста, рад, что тема была для вас полезной и интересной :)

Винду поставлю свою, полную.
До новых встречь! :up