Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Проблема с экспоререом. Не запускается. (http://forum.oszone.net/showthread.php?t=116656)

Arkey 09-09-2008 08:35 894291
Проблема с экспоререом. Не запускается.
 
Вложений: 1
Эксплорер не запускается после того как вылечил вирусы сначало CureIt'ом затем Нодом. Однако его можно вызвать Диспетчером задач. Записи в реестре проверил.

Ключ \"shell\"=\"explorer.exe\" в ветке реестра [HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon] присутствует

Этого в реестре нету:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe

Также сделал как говорил Petya V4sechkin. Не помогло.

Вот мои логи сделанные AVZ и HiJack'ом:

Severny 09-09-2008 09:09 894311
Пофиски в HijackThis следующие значения
Код:
F2 - REG:system.ini: Shell=C:\WINDOWS\explorer.exe
F2 - REG:system.ini: UserInit=c:\windows\system32\oembios.exe,
O4 - HKLM\..\Run: [WMDM PMSP Service] C:\WINDOWS\system32\cssrss.exe
В AVZ меню Файл-Выполнить скрипт. Скопируй код и нажми "Запустить".
Код:
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
 QuarantineFile('C:\WINDOWS\system32\valeria1.exe','');
 QuarantineFile('C:\WINDOWS\system32\sysproc64\sysproc32.sys','');
 QuarantineFile('C:\WINDOWS\system32\valeriaplay.exe','');
 QuarantineFile('c:\windows\system32\oembios.exe','');
 QuarantineFile('C:\WINDOWS\system32\oembios.exe','');
 QuarantineFile('C:\WINDOWS\system32\cssrss.exe','');
 DeleteFile('C:\WINDOWS\system32\cssrss.exe');
 DeleteFile('C:\WINDOWS\system32\oembios.exe');
 DeleteFile('C:\WINDOWS\system32\sysproc64\sysproc32.sys');
 DeleteFile('c:\windows\system32\oembios.exe');
 DeleteFile('C:\WINDOWS\system32\valeriaplay.exe');
 DeleteFile('C:\WINDOWS\system32\valeria1.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(8);
ExecuteRepair(16);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки выполни еще скрипт и получившийся карантин вышли в PM.
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Это твой файл?
Код:
Finupr\NETLOGON\Logon_all.vbs
Повтори все логи.

Arkey 09-09-2008 09:35 894331
Цитата:
Цитата Severny
Это твой файл?
Код:
Finupr\NETLOGON\Logon_all.vbs »
Ага, мой. Сетевые диски подключает. Сделаю, отпишу.

Вааще плохо стало. Теперь как только пользователь входит в систему, сразу же он из нее выходит. Нет возможности воздействовать на процесс.
Зря снесли

F2 - REG:system.ini: Shell=C:\WINDOWS\explorer.exe

Это полный путь к Эксплореру. Как восстановить теперь?
В безопасном тоже самое.

Severny 09-09-2008 10:06 894354
Проверь наличие файла userinit.exe в папке c:\windows\system32. Видимо вирусы (или антивирусы) его удалили.
Если есть возможность (из другой ОС или LiveCD) проверить и восстановить запись в реестре
Код:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\WINDOWS\system32\userinit.exe,"
Цитата:
Цитата Arkey
Это полный путь к Эксплореру. Как восстановить теперь? »
Explorer здесь не причем.

Arkey 09-09-2008 10:08 894357
Как проверить?
Из лайф CD у меня только Ubuntu :biggrin: .

BartPE нашел. (ушел смотреть)
Как мне восстановит эту запись с BartPE?

Arkey 09-09-2008 10:32 894375
Так, userinit.exe в Sustem32 нету, зато есть userini.exe и 11 штук valeria2.exe - valeria12.exe (первую мы снисли). userinit.exe можно взять с другого дистра?

Severny 09-09-2008 10:33 894376
Цитата:
Цитата Arkey
Так, userinit.exe в Sustem32 нету »
Копируй со здоровой машины. Или я сейчас выложу.
Все valeria удали.

Скорее всего поможет переименование userini.exe в userinit.exe.

Arkey 09-09-2008 10:51 894390
Severny, Большое спасибо. Все заработало. Куда там надо кликнуть, чтоб поблагодарить? (UPD, разобрался, уже.)

Severny 09-09-2008 10:52 894391
Arkey, Логи нужно повторить. Рад, что пашет.

Arkey 09-09-2008 11:01 894396
У меня рабочий день закончился, до завтра.

Arkey 10-09-2008 02:38 895165
Вложений: 1
Отправляю логи. Карантин выслал на PM.

Arkey 10-09-2008 02:38 895166
Вложений: 1
Два раза пост запостил. Первый раз чет файлы не прикрепились, показалось.

Severny 10-09-2008 08:32 895249
Так вроде чисто, только в точках восстановления системы зараза найдена.
По правилам system restore нужно отключать, чтобы их удалить.

Arkey 10-09-2008 09:24 895282
Хм. Значит точки восстановления все таки зло. Отключу
Ну, тогда все ОК.

Severny 10-09-2008 13:07 895421
Цитата:
Цитата Arkey
Отключу »
Не, ну после удаления старых точек восстановления и после лечения от вирусов system restore можно обратно включить.


Время: 10:31.

Время: 10:31.
© OSzone.net 2001-