» Вирус повредил аккаунт входа в систему

Вопрос знатокам: на компе ось - WinXPSP3, комп на работе (выхода в инет нет). Посредством флэшки или SDкарты на ось проник вирус (произошла самопроизвольная перезагрузка системы в момент, когда установленный КАV2009 получил команду на удаление обнаруженного им подозрительного процесса). Считаю что антивирь не справился со своей задачей. Загружал alkid live cd, свежий сканер DrWeb, Kaspersky Rescue disk из них только доктор Веб нашёл 3 вируса (все по классификации Веба начинались c алиаса Tool..) - удалил всё что он нашёл. К сожалению кардинально ситуацию это не изменило - по прежнему система развёртывается до состояния обоев рабочего стола без отображения ранее существовавших ярлыков, а также без панели задач и меню "Пуск". Всё что у меня получается сделать после загрузки системы - вызвать диспетчер задач (Ctrl+Alt+Del). Все кто сталкивался с чем нибудь подобным - откликнитесь. Похоже что вирус удалить мне удалось, но эта сволочь что-то повредила когда проникла на комп, как восстановить разрушенное?
Да, я знаю лучше всё снести и установить ось заново, но перестановка системы и установка заново всех необходимых программ - это куча времени и сил. Может кто-нибудь знает более короткий путь решения данной ситуации (без переустановки системы)?

unyqUm

Цитата:

Вопрос знатокам: на компе ось - WinXPSP3, комп на работе (выхода в инет нет). Посредством флэшки или SDкарты на ось проник вирус (произошла самопроизвольная перезагрузка системы в момент, когда установленный КАV2009 получил команду на удаление обнаруженного им подозрительного процесса). Считаю что антивирь не справился со своей задачей. Загружал alkid live cd, свежий сканер DrWeb, Kaspersky Rescue disk из них только доктор Веб нашёл 3 вируса (все по классификации Веба начинались c алиаса Tool..) - удалил всё что он нашёл. К сожалению кардинально ситуацию это не изменило - по прежнему система развёртывается до состояния обоев рабочего стола без отображения ранее существовавших ярлыков, а также без панели задач и меню "Пуск". Всё что у меня получается сделать после загрузки системы - вызвать диспетчер задач (Ctrl+Alt+Del). Все кто сталкивался с чем нибудь подобным - откликнитесь. Похоже что вирус удалить мне удалось, но эта сволочь что-то повредила когда проникла на комп, как восстановить разрушенное?
Да, я знаю лучше всё снести и установить ось заново, но перестановка системы и установка заново всех необходимых программ - это куча времени и сил. Может кто-нибудь знает более короткий путь решения данной ситуации (без переустановки системы)?

вставить устаночный диск и попробовать написать в диспечере задач команду sfc /scannow должно помочь

naPaBo3

Цитата:

http://support.microsoft.com/kb/310747/

Спасибо, но как запустить командную строку в моей ситуации? Через Диспетчер задач-Файл-Новая задача? А это разве одно и тоже что и Пуск-Выполнить?
Заранее извиняюсь за "детские" вопросы, просто в такую ситуацию раньше никогда не попадал, боюсь "наломать дров".

andrew1692

Цитата:

вставить установочный диск

- а если это был Reanimator EE, ничего?

unyqUm
можеш так, можно пробовать cmd.exe

Цитата:

что и Пуск-Выполнить

почти

Цитата:

"вставить установочный диск" - а если это был Reanimator EE, ничего?

хз можно попробовать хуже не будет

Спасибо. В понедельник буду у компа, о результатах отпишу.

Командную стороку не обязательно запускать, достаточно просто в диспетчере задач выбрать файл-новая задача-sfc /scannow нажать ок, после чего появится меню с сообщением типа сейчас будет проверка системных файлов да/нет выбираешь да и ждешь окончания.

А если из диспетчера задач запустить руками explorer - запускается?
Попробуй проверить эту ветку реестра:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe
Параметр "Debugger"
Если есть удали всю ветку или переименуй. Иногда сам вирус удаляется а хвосты в реестре остаются.

naPaBo3
Цитата:

Командную стороку не обязательно запускать...

спасибо. Будем пробовать.

zvAndrey
Цитата:

А если из диспетчера задач запустить руками explorer - запускается?

это как? Наверное через Файл-НоваяЗадача-Обзор?
Цитата:

Иногда сам вирус удаляется а хвосты в реестре остаются.

Во-во, есть у меня именно на это подозрения.
Цитата:

Если есть удали всю ветку

- зачем? её что, всю целиком вирус мог создать?

Цитата:

это как? Наверное через Файл-НоваяЗадача-Обзор?

Да. Можно просто - навая задача и там просто ввести - explorer.

Столкнулся с похожей проблемой, со слов хозяйки после установки Касперыча случилась такая же фигня
(при на компе стоял уже nod)...
Вызывается только taskmgr, как в Обычном так и в Безопасном режиме аналогично - чистый Рабочий стол, запускал explorer, через время выгружается, но проги можно загрузить, пробовал totalcmd и другие, rstrui запускается, процесс висит, окно не появляется, хотел удалить nod - msiexec остановлен, при запуске выбивает ошибку, глянул event логи, системный сосвсем чистый, в программах без проблем...
Запустил в руткит режимах avz, gmer, прогнал, всё чисто, хотел через procexp глянуть - его выбило!
Жму на reset (по другому система никак не реагирует), из erd проверил ещё и drweb'om 5 (все базы последние) - чисто, прогнал chkdsk - нет ошибок, причём следов Каспера в системе вообще НЕТ, останавливаю все службы и выключаю загрузку дров nod'a, проверил ещё все пути автозагрузок (в винде тоже через autoruns просмотрел) - чисто, ничего лишнего! Перезагружаюсь, тож самое... Запускаю sfc часть файлов копирует, на остальные "вставлен не тот диск"... запускаю установку винды, поиск - старой системы не видит... опять из erd восстанавливаю точку перед установкой nod'a, переписал explorer, перезагружаю - тож самое...
Темнело, плюнул, восстановил образ!
Но хотелось бы конечно разобраться, в чём проблема, на будущее, чтобы пополнить свой запас знаний!-)

unyqUm,а что творится в безопасном режиме? такие же траблы или не?
попробуй через консоль восстановления Avz полечить систему

12tyjstul
Цитата:

а что творится в безопасном режиме?

пока не пробовал - завтра буду у этого компа.
Цитата:

попробуй через консоль восстановления Avz полечить систему

это как? Посредством alkid livecd? Я просто Avz вообще не юзал - чем он хорош? Он вроде больше не обновляется?

Цитата:

это как? Посредством alkid livecd? Я просто Avz вообще не юзал - чем он хорош? Он вроде больше не обновляется?

avz можно и через диспетчер задач запускать. Запусти его (главное версию 4.30 скачай) обнови базы:Файл - Обновление баз.
Затем в меню:Файл-Исследование системы. Ставь птичку "Создать zip архив с протоколом". Запускаешь. Результат в виде этого архива через файлообменник сюда выложи. Поглядим. Еще в качестве бонуса можешь Hijackthis лог сделать и так же выложить.

ЗЫ Если будешь плясать с LiveCD то там эти утилитки надо запускать через контекстное меню "Запуск с удаленным реестром" в учетке "Администратор".

Цитата:

обнови базы:Файл - Обновление баз

как я обновлю - комп на котором всё это произошло без инета. Может где то в инете есть архив со свежими базами?

unyqUm

Когда с инета скачаешь эту утилитку и распакуешь на флеху, на том компе с инетом и обновишь её. Главное чтоб на флехе была она распакована из архива!! А то некоторые личности умудряются в архиве обновить и запустить проверку

unyqUm,относитетельно обновления баз тебе ответили.
что же "консоли восстановления",то я немного ошибся в формулировке. В Авз в файл-восстановление системы надо смотреть. Лайв-сиди тебе и не понадобится,раз ты можешь запустить диспетчер задач,то сможешь с той винды и авз запустить (через файл-новая задача).
Авз переодически обновляется. А чем крута эта прога, так это тем, что она позволяет восстанавливать систему после деструктивных действий вирусов\руткитов да и вообще дает +10 к мозгу и +20 к крутости при умении ее использовать

01pump
Цитата:

Когда с инета скачаешь эту утилитку и распакуешь на флеху, на том компе с инетом и обновишь её

я что-то недопонимаю - эту утилиту что можно не устанавливать на винду?! Неужели просто, как портативную версию, распаковать на хард и всё? И потом обновить её (при наличии уже ранее установленного другого антивиря)?

unyqUm
http://z-oleg.com/avz4.zip
Вот что сделать для пользования ею:
1) Скачать хоть на флешку
2) Распаковать из архива обязательно чтоб получиласть папка avz4!!!
3) Открыть эту папку и запустить файл avz.exe
4) Дальнейшие операции с ней производить при отключенном штатном антивире во избежание конфликтов
Эта утилита не устанавливается в винду.

Еще AVPTool можете тоже попробовать!

На ноуте была та же трабла- рабстол без ярлыков и панели. Если точно помню, то скачал
на другом компе с www.freedrweb.com файл DrWeb CureIt, нарезал на диск.
На ноуте из БИОС запустил( нашелся 1 вирус). Далее из командной строки запустил
"chkdsk c:/r" И все!

Цитата:

AVPTool можете тоже попробовать

а этот сканер чем в данной ситуации мне поможет, если уж КАV2009 не справился?

Цитата:

"chkdsk c:/r"

что это за команда (её функция)?

unyqUm
возможно поврежден файл explore.exe, проверь. Он должен находтся в папке Windows.
Если его нет, надо восстановить из дистрибутива.

На крякнутой висте сп1 слетатет волпепер и просит зонаго ключи!У кого нибудь были подобные траблы

Цитата:

что это за команда (её функция)?

восстановление(ремонт) файловой системы

[q][/q]
прочитал тему проблема в том что при удалении вируса антивирус удалил заражённый файл [more]exsplorer.exe; это вполне штатная ситуация, антивирус просто выполнил свою работу, а вот винда нет точнее средство защиты системных файлов нет т.е. при удалении фаила exsplorer.exe она должна была его тудже востановить но не зделала этого в этом есть и вина сис админа[/more] для ручного востановления необходимо проделать следующее [more]желательно если вы умеете пользоваться тотал командером если нет то я в кратце разжую, что не поймете переспросите. короче ищете на любом компе установленный тотал заходите в папку куда он установлен и копируете папку с ним (с уже установленным тоталом) на флешку; все идем к сломаному компу вставляем флешку с тоталом, запускаем комп и открываем диспетчер задач через contrl+alt+del запускаем новую задачу вручную: выбираем флешку папку с тоталом ищем главный исполняющий файл тотала выбираем его и запускаем. теперь в верхней строке ищем вкладку вид/расширенные параметры и в ней ставим галочки показывать скрытые и системные файлы(2 галки), все теперь перед нами два списка будем работать сначала в левой области выбираем диск с системой все открылся список с папками на системном диске заходим и открываем папку /windows/systems32/ . все переходим в правую область програмы тотал в ней переходим в папку /windows/systems32/dllcash(ддл хэш) и ищеш в ней файл exsplorer.exe и просто зажав его левой кнопкой мыши в правой области проги торьтала перетаскиваешь фаил exsplorer.exe в левую область(/windows/system32/) и заменяешь если он там есть что наврятли.всё перегружаешся и радуешся эфекту[/more]; пока все зделай это и напиши о результатах. да и еще нивкоем случае ничего не удаляй из реестра проверено на практике только систему снесёшь окончательно. да и еще оставь на компе один антивирус лучше кис 8 вроде всё жду результатов.

2 unyqUm
Попробуй из taskmgr запусти остнастку lusrmgr.msc (Лoкaльныe пoльзoвaтeли и гpуппы) в Пользователях создай нового с правами админа, попробуй Завершить сеанс текущего пользователя, если не выйдет, перегружай, после исчезновения лого окон со строкой загрузки, жми и удерживай shift, появится список пользователей, выбирай вновь созданного, если не сработает, загружайся в regedit в ветке измени значение параметра

Код: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
SetValue "DefaultUserName"="new"

unyqUm

Цитата:

Image File Execution Options\explorer.exe
- зачем? её что, всю целиком вирус мог создать?

Этой ветки по умолчанию в системе нет. Через нее можно запустить процесс под внешним отладчиком и это часто используют трояны для запуска. Если сам модуль трояна удалить, то основной процесс, в данном случае explorer вобще невозможно запустить. Винда ругается на отсутствие его, при этом сам файл explorer.exe на диске есть. Это легко проверить если попробовать запустить его из диспетчера задач - Файл-НоваяЗадача...

Потому я и писал удали эту ветку если есть.

zvAndrey ты оказался на 100% прав (просто попадание в глаз белке с 1000м!). Я удалил из HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe только explorer.exe (вместе с параметром "Debugger") и алиллуйя сразу же появились все ярлыки и кнопка Пуск!
zvAndrey спасибище тебе огроменное!
P.S.:
Цитата:

при этом сам файл explorer.exe на диске есть. Это легко проверить если попробовать запустить его из диспетчера задач - Файл-НоваяЗадача...

перед корректировеой реестра пытался так сделать, но винда сказала что не может найти explorer. Ну да ладно, это уже не имеет значения.
Я вот только до конца не понял - Image File Execution Options и всё его содержимое тоже удалить или оставить как есть на данный момент?

Нет, только ветку explorer.exe. Её не должно быть в XP. Можешь так же пройтись по остальным модулям, если есть параметр Debugger удалить его. Возможно твой троян не только к эксплореру прописался.