Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] После смены пользователя не загружается рабочий стол (http://forum.oszone.net/showthread.php?t=162606)

Ardi 06-01-2010 23:36 1312859
После смены пользователя не загружается рабочий стол
 
Здравствуйте!
Проблема в заголовке.
WinXP, поставил СП3, критические обновления.
Загружается все нормально, но после смены пользователя - голые обои. Диспетчер вызывается, но проводник и другие команды запускать не дает. Пишет, что то вроде не имеете прав, хотя загружается админ. В процессах видны и ДрВеб и Аутпост. А проводника нету((
На вири проверял - ничего. Такая же проблема была на старой системе - при перелогине проводник загружался через раз.
В ключе HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell параметр explorer.exe.

Заранее благодарю!

okshef 06-01-2010 23:45 1312867
Ardi, сначала прочтите XP загружается без рабочего стола и меню Пуск, а если ни один рецепт не поможет, представьте логи согласно этих правил.

Ardi 07-01-2010 00:08 1312898
Проверил быстрой проверкой от MBAM:
Заражено параметров реестра:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowSearch (Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.

okshef 07-01-2010 00:11 1312904
И что? Разве вы сделали все, о чем было написано в предыдущем сообщении?

Ardi 07-01-2010 00:32 1312925
И что? Разве вы сделали все, о чем было написано в предыдущем сообщении?
-------------
Нет, сейчас буду выполнять. Просто так сказал...

okshef 07-01-2010 00:33 1312927
Цитата:
Цитата Ardi
Просто так »
вашу тему закроют за невыполнение правил.

iskander-k 07-01-2010 00:45 1312940
Цитата:
Цитата Ardi
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowSearch (Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken. »
Подобная запись ключа встречается во многих сборках.


У вас максимум два поста для логов или закрою тему.

Ardi 07-01-2010 00:48 1312945
Цитата:
Цитата okshef
вашу тему закроют за невыполнение правил. »
Не судите строго!

AVZ сработал!!!!!!!! Восстановил рабочий стол. Благодарю за подсказку!
А с зараженным ключом - удалить его? Можно прямо из регедит'а?

Если позволите, завтра понаблюдаю, и отмечу тему решенной??

___ С Рождеством!!!_____

okshef 07-01-2010 00:52 1312948
Ardi, как говорил Винни-Пух: "Это ж-ж-ж - неспроста". Представьте логи и спите спокойно, тем более AVZ у вас уже есть.

Ardi 07-01-2010 00:56 1312953
Вы правы, okshef.

Надо перестраховаться. Благодарю! Пойду делать логи

iskander-k 07-01-2010 00:58 1312955
Цитата:
Цитата Ardi
AVZ сработал!!!!!!!! Восстановил рабочий стол. Благодарю за подсказку! »
Раз АВЗ сработал - давайте логи сюда.
Цитата:
Цитата Ardi
А с зараженным ключом - удалить его? Можно прямо из регедит'а? »
Можно и удалить , но лучше через МБАМ - потом можно будет восстановить(если понадобится )

Ardi 07-01-2010 01:44 1312980
Вложений: 1
Вот логи:

Ardi 07-01-2010 08:39 1313037
А вот еще результаты проверки AVP Tool:
Обнаружено: Net-Worm.Win32.Kido.ih.

Объекты были в папке Infected Д-ра Веба, но сам антивирусник почему то молчал.

Ardi 07-01-2010 13:39 1313204
Свежие новости от МБАВ:
Код:
Заражено процессов в памяти: 0
Заражено модулей в памяти: 0
Заражено ключей реестра: 0
Заражено значений реестра: 0
Заражено параметров реестра: 1
Заражено папок: 0
Заражено файлов: 3

Заражено процессов в памяти:
(Вредоносные программы не обнаружены)

Заражено модулей в памяти:
(Вредоносные программы не обнаружены)

Заражено ключей реестра:
(Вредоносные программы не обнаружены)

Заражено значений реестра:
(Вредоносные программы не обнаружены)

Заражено параметров реестра:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowSearch (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.

Заражено папок:
(Вредоносные программы не обнаружены)

Заражено файлов:
C:\Distr\Crack_WinXP-SP2-SP3\Crypt.dll (Hacktool) -> Quarantined and deleted successfully.
D:\Program Files\Total Commander\Plugins\arc\Default.sfx (Malware.Packer) -> Quarantined and deleted successfully.
D:\Program Files\Total Commander\Soft\fitW\fitW.exe (Malware.Packer) -> Quarantined and deleted successfully.
-----------
Пробовал пролечить от Net-Worm.Win32.Kido, но КК ничего не видит. (Модификация "ih"??)

okshef 07-01-2010 14:05 1313224
Цитата:
Цитата Ardi
Объекты были в папке Infected Д-ра Веба »
значит DrWEb отработал и в свое время перехватил. По логам - ничего страшного не вижу, но дождитесь вердикта более опытных хелперов.

Ardi 07-01-2010 14:30 1313242
Цитата:
Цитата okshef
ничего страшного не вижу »
Спасибо! Дождусь.

thyrex 07-01-2010 18:34 1313407
Плохого не увидел

Ardi 07-01-2010 20:04 1313483
Цитата:
Цитата thyrex
Плохого не увидел »
Ясно. У меня тоже вроде претензий к компутеру не стало. Что ж, можно помечать решенной?

Спасибо, что делаете доброе дело, помогая другим!!!

Ardi 07-01-2010 23:25 1313672
Вывод (как я понял): если при смене пользователя не загружается рабочий стол, а в логах чисто, видимо предыдущие вири "регистрировались как отладчики процесса explorer.exe и их удаление приводило к блокировке запуска explorer.exe". :up:
Поможет АВЗ: http://z-oleg.com/secur/advice/adv1103.php

Еще раз благодарю!!! Helpers :up: :hi:


Время: 21:33.

Время: 21:33.
© OSzone.net 2001-