отключен рабочий стол, панель задач и панель управления

[Roman-buh]

отключен рабочий стол, панель задач и панель управления

Здравствуйте!
Прошу вашей практической помощи:
После атаки неизвестным вирусом было полностью заблокировано управления системой (без рекламных модулей и т.п.).
Проверка Live CD на вирусы не принесла успеха.
Частично восстановил работоспособность ОС ручным изменением параметров shell и userinit.
Теперь мне доступно меню Пуск. Все остальное по прежнему заблокировано.
При щелчке по панели задач появляются сообщения:

"Операция отменена вследствие действующих для компьютера ограничений. Обратитесь к администратору сети." (при щелчке по систиемному времени)

"Диспетчер задач отключен администратором" (при Ctrl+Alt+Del)

Как еще можно восстановить эти самые права?

з.ы. Проблем с работой нет, файлы не провреждены

Изменение в групповых политика описанные на форуме не помогают.
У меня уже установлено значение "не задана"

 

[Fenyks]

В реестр войти можете?

 

[Roman-buh]

В реестр войти можете?

Да, реестр доступен.

 

[Strage_297]

Скачайте AVZ, запустите.
AVZ > Файл > Выполнить скрипт:

begin
ExecuteRepair(5);
ExecuteRepair(6);
ExecuteRepair(11);
end.

 

[Fenyks]

В разделе [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] нужно найти параметр REG_DWORD DisableTaskMgr и установить его значение 0

 

[Roman-buh]

Помошник, спасибо огромное.
Рабочий стол и панель задач активировались.

Единственная проблема осталась:
Рабочий стол снова становится неактивным (исчезают все значки и т.п.) как только открываешь какое-нибудь окно или "Свернуть все окна". Возращается только через "Свернуть все окна"

Как такое исправить?

---------- Добавлено в 20:16 ---------- Предыдущее сообщение было написано в 20:09 ----------

В разделе [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] нужно найти параметр REG_DWORD DisableTaskMgr и установить его значение 0

выдает "Не удается открыть Policies. Ошибка при открытии раздела"

 

[Strage_297]

У Вас остались скорее всего вирусы.
Выполните.
Только выполните не 3-й стандартный скрипт а 2-ой и прикрепите к сообщению.

 

[Roman-buh]

http://exfile.ru/147490

и протокол сканирования http://exfile.ru/147493 какой для них будет приговор?

---------- Добавлено в 21:10 ---------- Предыдущее сообщение было написано в 20:33 ----------

http://exfile.ru/147494
извиняйюсь, не правильно сделал в первый раз

 

[Strage_297]

Выполните скрипт:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\msconsol.exe','');
DeleteFile('C:\WINDOWS\system32\msconsol.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Help');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Повторите 2-й стандартный скрипт, прикрепите к сообщению. +

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) . Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

 

[Roman-buh]

лог http://exfile.ru/147525

скрин http://exfile.ru/147524

После перезагрузки все вроде нормально стало (значки не исчезают, загружаются без зависания).
Однако, указанные выше на скирне вирусы находит.
Стоит ли их удалять? (другие антивирусы ничего подозрительного не находят).

 

[Strage_297]

Roman-buh,

Повторите 2-й стандартный скрипт, прикрепите к сообщению

Удалите в MBAM:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> Value: option_1 -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> Value: option_2 -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> Value: option_3 -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Help (Backdoor.Bot) -> Value: Help -> No action taken.
c:\documents and settings\Admin\local settings\Temp\0.531710068101898.exe (Spyware.Passwords.XGen) -> No action taken.
c:\program files\common files\keylog.txt (Malware.Trace) -> No action taken.
c:\WINDOWS\Temp\NOD1.tmp (Spyware.OnlineGames) -> No action taken.

 

[Roman-buh]

http://exfile.ru/147619

 

[Roman-buh]

http://exfile.ru/147679 лог MBAM

 

[Strage_297]

Выполните скрипт:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Temp\_uninst_setup_9.0.0.722_03.01.2011_16-34.exe.bat','');
 DeleteFile('C:\Documents and Settings\Admin\Local Settings\Temp\_uninst_setup_9.0.0.722_03.01.2011_16-34.exe.bat');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Удалите в MBAM:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> Value: option_1 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> Value: option_2 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> Value: option_3 -> Quarantined and deleted successfully.
c:\documents and settings\Admin\local settings\Temp\0.531710068101898.exe (Spyware.Passwords.XGen) -> Quarantined and deleted successfully.
c:\program files\common files\keylog.txt (Malware.Trace) -> Quarantined and deleted successfully.
c:\WINDOWS\Temp\NOD1.tmp (Spyware.OnlineGames) -> Quarantined and deleted successfully.

Повторите логи.

 

[Roman-buh]

Удалите в MBAM:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> Value: option_1 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> Value: option_2 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> Value: option_3 -> Quarantined and deleted successfully.
c:\documents and settings\Admin\local settings\Temp\0.531710068101898.exe (Spyware.Passwords.XGen) -> Quarantined and deleted successfully.
c:\program files\common files\keylog.txt (Malware.Trace) -> Quarantined and deleted successfully.
c:\WINDOWS\Temp\NOD1.tmp (Spyware.OnlineGames) -> Quarantined and deleted successfully.

Повторите логи.

MBAM не находит больше такого.
лог http://exfile.ru/147706

находит зараженными только вот эти кусты

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

 

[Strage_297]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Это трогать не надо, это оповещения системы безопасности Windows, хотя они отключены, но не страшно.

2-й стандартный скрипт AVZ подготовьте.

 

[Roman-buh]

скрипт №2 http://exfile.ru/148213

 

[Strage_297]

скрипт №2 http://exfile.ru/148213

В логе чисто.
Что с проблемой?


P.S.Модераторы, удалите этот пост.
Или забаньте спамера.

 

[Roman-buh]

пока больше проблем не возникало. Благодарю за помощь!!!

Методом исключения нашел источник вирусняка.
Как ни удивительно, это не обменник, и не ресурс "сомнительного содержания", а сайт ФК (т.е. организации).
Больше ни ногой туда...