Вернуться   Компьютерный форум > Компьютеры > Программы > Безопасность
 
 
Опции темы
Старый 22.01.2010, 17:52   #1
Новичок
 
Регистрация: 22.01.2010
Сообщений: 14
Репутация: 0
По умолчанию Не грузится рабочий стол. Проверьте лог, плиз

Загрузился с LiveCD (с ERD который). Тут лог1 и лог2
mamba вне форума  
Старый 22.01.2010, 17:55   #2
Специалист
 
Регистрация: 01.01.2009
Сообщений: 13,209
Репутация: 415
По умолчанию

mamba,

И зачем такие логи?

Лучше обьясните что происходит при загрузке в Безопасном режиме и собственно что в обычном режиме с рабочим столом? Диспетер задач фунциклирует?

Если уж взялись за LiveCD то с его помощью в удаленном реестре проверьте значение параметра Userinit в ключе
HKEY_LOCAL_MACHINE_X (где Х буква вашего системного диска) \SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
а так же что прописано в параметре AppInit_DLLs в HKEY_LOCAL_MACHINE_ X(где X буква вашего диска) \SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
01pump вне форума  
Старый 22.01.2010, 18:24   #3
Новичок
 
Регистрация: 22.01.2010
Сообщений: 14
Репутация: 0
По умолчанию

В безопасном режиме только курсор мыши. На всякие клавиатурные комбинации не реагирует.

Если уж взялись за LiveCD то с его помощью в удаленном реестре проверьте значение параметра Userinit в ключе
HKEY_LOCAL_MACHINE_X (где Х буква вашего системного диска) \SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

c:\windows\system32\userinit.exe,

а так же что прописано в параметре AppInit_DLLs в HKEY_LOCAL_MACHINE_ X(где X буква вашего диска) \SOFTWARE\Microsoft\Windows NT\CurrentVersion\Window

C:\WINDOWS\system32\unicode.nls:QRNluC

Судя по всему, последнее?
mamba вне форума  
Старый 22.01.2010, 18:29   #4
Специалист
 
Регистрация: 01.01.2009
Сообщений: 13,209
Репутация: 415
По умолчанию

mamba,
Совершенно верно
Найдите этот файл C:\WINDOWS\system32\unicode.nls:QRNluC и удалите его, а так же удалите значение параметра AppInit_DLLs C:\WINDOWS\system32\unicode.nls:QRNluC
после чего перезагрузитесь и выполните в обычной винде стандартный скрипт №2 (virusinfo_syscheck.zip) и лог hijackthis
01pump вне форума  
Старый 22.01.2010, 18:57   #5
Новичок
 
Регистрация: 22.01.2010
Сообщений: 14
Репутация: 0
По умолчанию

Да, все загрузилось. Файла причем я с таким именем не нашел по указанному пути, по параметр реестра очистил. Сейчас лог сделаю.

---------- Добавлено в 17:57 ---------- Предыдущее сообщение было написано в 17:41 ----------

Вот, присылаю свои Логи

hijack по старой ссылке новый лог

Последний раз редактировалось mamba; 22.01.2010 в 19:05.
mamba вне форума  
Старый 22.01.2010, 19:02   #6
Специалист
 
Регистрация: 01.01.2009
Сообщений: 13,209
Репутация: 415
По умолчанию

mamba,
Где лог hijackthis ?
01pump вне форума  
Старый 22.01.2010, 19:08   #7
Новичок
 
Регистрация: 22.01.2010
Сообщений: 14
Репутация: 0
По умолчанию

уже выложил, чуть выше ссылка
mamba вне форума  
Старый 22.01.2010, 19:11   #8
Специалист
 
Регистрация: 01.01.2009
Сообщений: 13,209
Репутация: 415
По умолчанию

mamba,
Запустите снова avz: Файл-Выполнить скрипт- в открывшееся окно внимательно вставьте текст:


Код:
 
begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('A00C3C4A6B0BA798');
DeleteFile('C:\Documents and Settings\Administrator\Desktop\A00C3C4A6B0BA798\A00C3C4A6B0BA798');
DeleteFile('C:\WINDOWS\system32\unicode.nls:QRNluC');
ExecuteSysClean;
RebootWindows(true);
end.
затем нажмите "Запустить" ПРОИЗОЙДЕТ ПЕРЕЗАГРУЗКА!!!
После перезагрузки выполните в avz стандартный скрипт №2 и пришлите архив virusinfo_syscheck.zip
01pump вне форума  
Ads
Старый 22.01.2010, 19:23   #9
Новичок
 
Регистрация: 22.01.2010
Сообщений: 14
Репутация: 0
По умолчанию

Все сделал. Лог здесь
mamba вне форума  
Старый 22.01.2010, 21:52   #10
Специалист
 
Регистрация: 01.01.2009
Сообщений: 13,209
Репутация: 415
По умолчанию

mamba,
Небольшое лиричесоке отступление:
Еще скачайте утилитку http://exfile.ru/74254 Распакуйте. Запустить программу .После автоматической экспресс-проверки нажать "Scan". После окончания проверки сохранить его лог (нажать на кнопку Save) и через файлообменник выложите сюда.
01pump вне форума  
Старый 25.01.2010, 12:38   #11
Новичок
 
Регистрация: 22.01.2010
Сообщений: 14
Репутация: 0
По умолчанию

Спасибо за помощь. Просканировал GMER'ом. Лог тут
mamba вне форума  
Старый 25.01.2010, 12:51   #12
Специалист
 
Регистрация: 01.01.2009
Сообщений: 13,209
Репутация: 415
По умолчанию

mamba,
И снова в бой

Код:
 
begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\A00C3C4A6B0BA798');
 RegKeyResetSecurity('HKLM', 'SYSTEM\ControlSet002\Services\A00C3C4A6B0BA798'); 
 RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Services\A00C3C4A6B0BA798');
 RegKeyDel('HKLM', 'SYSTEM\ControlSet002\Services\A00C3C4A6B0BA798'); 
 DeleteService('A00C3C4A6B0BA798');   
 DeleteFile('C:\Documents and Settings\Administrator\Desktop\A00C3C4A6B0BA798\A00C3C4A6B0BA798');     
 ExecuteSysClean;
 RebootWindows(true);
end.
После перезагрузки выполните в avz стандартный скрипт №2 и пришлите архив virusinfo_syscheck.zip
01pump вне форума  
Старый 25.01.2010, 14:19   #13
Новичок
 
Регистрация: 22.01.2010
Сообщений: 14
Репутация: 0
По умолчанию

Похоже, не удалился сервис.
Лог AVZ
Лог GMER
mamba вне форума  
Старый 25.01.2010, 14:28   #14
Специалист
 
Регистрация: 01.01.2009
Сообщений: 13,209
Репутация: 415
По умолчанию

mamba,
Через LiveCD на десктопе учетки Администратора поищите это
C:\Documents and Settings\Administrator\Desktop\A00C3C4A6B0BA798\A0 0C3C4A6B0BA798

Если найдете то удалите.

ЗЫ Подправил скрипт. Попробуйте его выполнить

Код:
 
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\A00C3C4A6B0BA798');
RegKeyResetSecurity('HKLM', 'SYSTEM\ControlSet002\Services\A00C3C4A6B0BA798'); 
RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Services\A00C3C4A6B0BA798');
RegKeyDel('HKLM', 'SYSTEM\ControlSet002\Services\A00C3C4A6B0BA798'); 
DeleteService('A00C3C4A6B0BA798'); 
DeleteFile('\??\C:\Documents and Settings\Administrator\Desktop\A00C3C4A6B0BA798\A00C3C4A6B0BA798'); 
ExecuteSysClean;
RebootWindows(true);
end.
После перезагрузки новые логи (в том числе hijackthis)
01pump вне форума  
Старый 25.01.2010, 18:01   #15
Новичок
 
Регистрация: 22.01.2010
Сообщений: 14
Репутация: 0
По умолчанию

Грухнул сервис и папку руками (там прав доступа не было (NTFS)). Пришлось поковыряться. Но, вроде, грохнул. Теперь логи
mamba вне форума  
 


Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход

Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Рабочий стол murzi4ka Windows XP 7 25.01.2011 16:18
Рабочий стол Vampir_138 Windows XP 24 15.12.2010 18:21
РАБОЧИЙ СТОЛ sergei-garant Windows XP 37 31.10.2010 21:46
Рабочий стол Вячеславв Windows 7 1 26.07.2010 12:09
Слишком долго грузится рабочий стол spelkin Неисправности, настройка 13 04.07.2010 12:41
рабочий стол Yury196 Windows XP 2 01.07.2010 10:41
Рабочий стол ! BloodyfeaR Общение по интересам 76 10.12.2009 17:18
Рабочий Стол igoryanich Windows Vista 4 31.10.2009 20:00
Рабочий стол. Пельмешка Windows XP 3 15.09.2009 12:47
Рабочий стол GIGO Безопасность 16 06.08.2009 07:32
рабочий стол Ilsoyar Windows Vista 8 31.07.2009 00:09


Текущее время: 09:53. Часовой пояс GMT +4. Powered by vBulletin® Version 5.8.9
Copyright ©2000 - 2016, Jelsoft Enterprises Ltd.