|
Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » [решено] Не загружается рабочий стол и панель задач |
|
|
[решено] Не загружается рабочий стол и панель задач
|
(*.*) Сообщения: 36497 |
Профиль | Сайт | Отправить PM | Цитировать
Привет, коллеги
Симптом в названии темы. Кроме того, не запускаются стандартные приложения из диспетчера задач (ком. строку запустил, удерживая CTRL + Новая задача). Первоначальная инспекция выявила, что в разделе реестра winlogon для параметра userinit помимо explorer прописан system32\sdra64.exe. Дальше смотреть не стал, запустил Cureit. Помимо заражения проблема может усугубляться тем, что юзер самостоятельно проверил систему с помощью AVZ, а увидев уведомление о трояне, под корень снес в папке Windows какую-то папку Но с этим будем разбираться после проверки. Спасибо за внимание к проблеме! |
|
------- Отправлено: 09:53, 25-03-2009 |
Ветеран Сообщения: 3487
|
Профиль | Сайт | Отправить PM | Цитировать Приветствую.
C помощью ATF Cleaner почистить временные файлы. В HijackThis выделить значения и нажать Fix Checked Цитата:
Цитата:
Цитата:
Назначенное задание C:\WINDOWS\system32\time.cmd известно? Странно наличие Outpost вместо антивируса. Лучше бы наоборот. Vadikan, Severny, приветствую. Severny, сорри, но я пока убрал из скрипта, ввиду спорного вопроса о зловрдности файлов DeleteService('MHNDRV'); DeleteService('symlcbrd'); DeleteFile('C:\WINDOWS\system32\drivers\symlcbrd.sys'); DeleteFile('C:\WINDOWS\system32\DRIVERS\mhndrv.sys'); DeleteFile('c:\windows\ehome\mcrdsvc.exe'); добавил в скрипт карантин этих файлов и ExecuteRepair(9); C:\WINDOWS\system32\DRIVERS\mhndrv.sys - http://www.virustotal.com/analisis/9...62d0f99d94838a symlcbrd.sys - http://www.virustotal.com/analisis/3...e933d52485da2d Pili. |
|||
------- Последний раз редактировалось Pili, 25-03-2009 в 11:55. Отправлено: 10:30, 25-03-2009 | #2 |
Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети. Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля. |
Dr. Piligrim Сообщения: 2443
|
Профиль | Отправить PM | Цитировать Дополню. На время скрипта Outpost лучше отключить, временно можно включить брандмауэр windows.
В логах остатки от Symantec, можно удалить утилитой Norton Removal Tool, AGAVA AntiSpy не очень полезен, можно удалить. Рекомендую обновить Adobe Acrobat и Java (по логам jre1.6.0_03) Скачайте JavaRA здесь или здесь Распакуйте, запустите, выберите "Remove Older Versions", Далее нажмите "Search For Updates", выберите "Update Using Sun Java's Website" и "Open Webpage" Альтернативный вариант - после удаления старой версии скачайте и установите последнюю версию Java Runtime Environment (JRE) с сайта производителя. Рекомендую проверить систему дополнительно с помощью Malwarebytes' Anti-Malware Скачайте MВАМ здесь, здесь, здесь или здесь. Установите, обновите базы, выберите Perform Full Scan (Провести полную проверку), нажмите Scan (Проверить), после сканирования выберите Ок и далее Show Results (Показать результаты), нажмите "Remove Selected" (удалить выделенные, внимание - проверьте то, что удаляете). После удаления откройте лог и скопируйте в сообщение. Логи сканирования можно посмотреть во вкладке Logs (Отчеты), выбрав отчет и нажав кнопку Open (Открыть). Сделайте новые логи virusinfo_syscheck.zip (2-ой стандартный скрипт AVZ) и hijackthis |
------- Отправлено: 12:20, 25-03-2009 | #3 |
(*.*) Сообщения: 36497
|
Профиль | Сайт | Отправить PM | Цитировать Спасибо за ответы! Попробую ответить по нескольким пунктам, пока выполняю инструкции
Установлена XP MCE ОЕМ. Поэтому MHNDRV, наверное, все-таки системная служба. Это же касается mcrdsvc.exe. Мне еще предстоит найти соотв. установочный диск для проверки sfc... А symlcbrd.sys - скорее всего остатки Symantec. Цитата Severny:
Цитата Severny:
Цитата Pili:
По поводу MBAM вопрос. Можно ли обновить базы на одном компьютере, а потом перенести программу на флэшке на зараженный? Мне кажется, я потеряю больше времени, пытаясь подключить ноут к сети. В нем нет служб Workstation и TCP/IP NetBIOS Helper Service - это только навскидку заметил, в логах полно ошибок о запуске служб и загрузке драйверов. А решать эти вопросы, наверное, стоит после того, как заражения будут устранены. |
|||
------- Отправлено: 18:22, 25-03-2009 | #4 |
Dr. Piligrim Сообщения: 2443
|
Профиль | Отправить PM | Цитировать Vadikan, по поводу отключения Outpost - это для того чтобы AVZ отработал корректно - самозащита Outpost хорошая, но попробовать можно
Цитата:
mhndrv.sys - на VI что-то часто удаляют, по 2458497d.sys - гугл ничего не знает, цифровые подписи у файлов есть? В общем файлы из карантина можно в вирлаб на проверку, например на newvirus@kaspersky.com в архиве с паролем virus и ещё можно в вирлаб DrWeb, что-то из файлов, например 2458497d.sys, можно заранее проверить virustotal.com |
||
------- Отправлено: 19:41, 25-03-2009 | #5 |
Ветеран Сообщения: 3487
|
Профиль | Сайт | Отправить PM | Цитировать |
------- Отправлено: 22:27, 25-03-2009 | #6 |
(*.*) Сообщения: 36497
|
Профиль | Сайт | Отправить PM | Цитировать Прикрепляю логи AVZ и HJT. Проверкой MBAM займусь попозже, она неспешная. Рабочий стол появился, как и следовало ожидать Посмотрим, что там еще порушилось попутно...
Цитата Pili:
Цитата Pili:
Java удалю руками. ATF странный рез-т выдал - мол удалил 35,828 mb - я испугался даже Карантин отправил на оба адреса. Спасибо! |
||
------- Отправлено: 23:02, 25-03-2009 | #7 |
(*.*) Сообщения: 36497
|
Профиль | Сайт | Отправить PM | Цитировать upd - ответ от касперского
Цитата:
Malwarebytes' Anti-Malware 1.34 Версия базы данных: 1893 Windows 5.1.2600 Service Pack 3 20.03.2009 5:45:15 mbam-log-2009-03-20 (05-45-15).txt Тип проверки: Полная (C:\|D:\|) Проверено объектов: 216957 Прошло времени: 2 hour(s), 27 minute(s), 40 second(s) Заражено процессов в памяти: 0 Заражено модулей в памяти: 0 Заражено ключей реестра: 3 Заражено значений реестра: 1 Заражено параметров реестра: 1 Заражено папок: 2 Заражено файлов: 19 Заражено процессов в памяти: (Вредоносные программы не обнаружены) Заражено модулей в памяти: (Вредоносные программы не обнаружены) Заражено ключей реестра: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{d5792aa9-d373-4039-8670-2cdab6a71f15} (Trojan.Lop) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\WakeNet (Trojan.Adware) -> Quarantined and deleted successfully. Заражено значений реестра: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\UID (Malware.Trace) -> Quarantined and deleted successfully. Заражено параметров реестра: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Not selected for removal. Заражено папок: C:\Program Files\Microsoft Common (Trojan.Agent) -> Not selected for removal. C:\WINDOWS\system32\lowsec (Spyware.StolenData) -> Quarantined and deleted successfully. Заражено файлов: C:\WINDOWS\system32\lowsec\local.ds (Spyware.StolenData) -> Quarantined and deleted successfully. C:\WINDOWS\system32\lowsec\user.ds (Spyware.StolenData) -> Quarantined and deleted successfully. C:\WINDOWS\system32\lowsec\user.ds.lll (Spyware.StolenData) -> Quarantined and deleted successfully. C:\WINDOWS\system32\shell31.dll (Trojan.Agent) -> Not selected for removal. C:\WINDOWS\system32\cmnocfg.xml (Stolen.Data) -> Quarantined and deleted successfully. C:\WINDOWS\system32\cmnocfg.xml.tmp0 (Stolen.Data) -> Quarantined and deleted successfully. C:\WINDOWS\system32\basewracp32.dll (Trojan.Downloader) -> Not selected for removal. C:\WINDOWS\system32\sfxzmtforum.dll (Malware.Trace) -> Not selected for removal. C:\WINDOWS\system32\sfxzmtsmt.dll (Malware.Trace) -> Not selected for removal. C:\WINDOWS\system32\sfxzmtsmtspm.dll (Malware.Trace) -> Not selected for removal. C:\WINDOWS\system32\sfxzmtwbmail.dll (Malware.Trace) -> Not selected for removal. C:\WINDOWS\system32\pfxzmtaim.dll (Malware.Trace) -> Not selected for removal. C:\WINDOWS\system32\pfxzmtforum.dll (Malware.Trace) -> Not selected for removal. C:\WINDOWS\system32\pfxzmtgtal.dll (Malware.Trace) -> Not selected for removal. C:\WINDOWS\system32\pfxzmticq.dll (Malware.Trace) -> Not selected for removal. C:\WINDOWS\system32\pfxzmtsmt.dll (Malware.Trace) -> Not selected for removal. C:\WINDOWS\system32\pfxzmtsmtspm.dll (Malware.Trace) -> Not selected for removal. C:\WINDOWS\system32\pfxzmtwbmail.dll (Malware.Trace) -> Not selected for removal. C:\WINDOWS\system32\pfxzmtymsg.dll (Malware.Trace) -> Not selected for removal. |
|
------- Последний раз редактировалось Vadikan, 26-03-2009 в 09:03. Причина: mbam Отправлено: 00:27, 26-03-2009 | #8 |
Dr. Piligrim Сообщения: 2443
|
Профиль | Отправить PM | Цитировать Vadikan, по логу AVZ, интересует файл C:\WINDOWS\System32\drivers\2458497d.sys - в карантин не попал, возможно от AVPTool и прошел по базе безопасных, но на вския случай можно поискать вручную (можно через FAR или AVZ - проверить на virustotal.com и можно в вирлаб в архиве с паролем virus.
По логу MBAM Цитата:
Цитата:
pfxzmtsmt.dll, sfxzmtsmt.dll и остальные, по symantec например, от Trojan.Mespam, поэтому думаю можно удалять. По поводу удаления остатков Symantec, AVZ возможно не все показывает, т.к. часть файлов может быть в базе безопасных, к тому эе драйвер symlcbrd - работает, часть от Norton Antivirus, лучше чистить утилитой, но если хотите, можно почистить скриптом begin SearchRootkit(true, true); SetAVZGuardStatus(True); StopService('symlcbrd'); QuarantineFile('C:\WINDOWS\system32\drivers\symlcbrd.sys',''); DeleteFile('C:\WINDOWS\system32\drivers\symlcbrd.sys'); DeleteService('symlcbrd'); BC_ImportDeletedList; ExecuteSysClean; BC_DeleteSvc('symlcbrd'); BC_Activate; RebootWindows(true); end. Цитата Vadikan:
Если C:\WINDOWS\System32\drivers\2458497d.sys окажется чист, то по логам avz и hjt придраться больше не к чему и если проблемы какие-то остались, можно провериться другими утилитами. |
|||
------- Отправлено: 10:35, 26-03-2009 | #9 |
(*.*) Сообщения: 36497
|
Профиль | Сайт | Отправить PM | Цитировать Спасибо за помощь!
Цитата Pili:
Цитата Pili:
Цитата Pili:
Интересно, что ESET при установке обнаруживает AVAST, но я не вижу его на диске и в HKLM\Software. |
|||
------- Отправлено: 23:33, 26-03-2009 | #10 |
|
Участник сейчас на форуме | Участник вне форума | Автор темы | Сообщение прикреплено |
| |||||
Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
[решено] Не загружается рабочий стол | keysha | Microsoft Windows Vista | 15 | 15-10-2010 21:05 | |
[решено] После смены пользователя не загружается рабочий стол | Ardi | Лечение систем от вредоносных программ | 18 | 07-01-2010 23:25 | |
[решено] После удаления какого-то раздела реестра не загружается рабочий стол | BMW09121985 | Microsoft Windows 2000/XP | 12 | 14-03-2009 20:18 | |
Интерфейс - [решено] Добавление папки или ярлыка в Мой компьютер, Панель управления, Рабочий стол | Apel | Microsoft Windows 2000/XP | 10 | 29-07-2008 23:38 | |
[решено] Не загружается Рабочий стол | kumian | Microsoft Windows NT/2000/2003 | 15 | 25-12-2006 10:18 |
|