При загрузке системы вылазит папка "Администратор"

[imported_Wasp]

При загрузке системы вылазит папка "Администратор"

После удаления трояна, при загрузке системы стала вылазить папка "Администратор".

Что сделано:
Прошелся двумя вирусами - ничего не обнаружили!
Автозагрузка не причем - пробывал все отключать!
В HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon параметр Userinit в норме - "C:\WINDOWS\system32\userinit.exe," - без кавычек, с запятой.

Что посоветуете?

 

[Люсико]

Wasp, создать тему в разделе Безопасность и выложить ссылки на логи по инструкции...раз уж вы

Прошелся двумя вирусами

...

 

[imported_Murzilka]

У меня была такая же проблема. Возможно этот способ вам поможет. Проверьте HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell "shell=explorer.exe". Нет ли после explorer.exe еще чего-либо? Быть не должно. У меня после действий вируса там были прописаны "Мои документы". Удалила лишние записи, перезагрузила и проблема решилась.

 

[imported_Wasp]

В HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell значение параметра в норме - "Explorer.exe"

Перед тем как выложить логи, хочу отметить:

В этой же папке Winlogon нашел параметр "a0f4741c", который имеет значение "ы*AЈ2…ҐізС=*tЈЌ‘ґoЩТ‰Ћ№Кй‰бЩіIIыд©a¬«™k
”јѓ)»‘і©щAЇ?W№$±ia?ЙсФOo‰{A';¬'D4<QЫ7Ѓмt№Й±з‰WTЧ“б,Ѓdѓчд,њдяkd‘[D»Y”G‰¤;9”!?<a¤·G‘Пл!ыЙWЃ,T{q¤D”I©1©пw)TIй”‘© јгGﱬџCЩщЙЊь„QЏмЬя±d±„ф4§$гCI‰$џ[)ЇTwяQ‘Q'Yс”a[Ч1!УЗ!Чббto1w1ЬЗD„)‘s$Њ‡УФЫ№йЊ"
Насколько я понимаю этот параметр здесь лишний? Может ли в этом быть причина?

 

[imported_Murzilka]

Возможно, причина в этом. У меня, естественно, такой записи нет. Я могу скинуть скрин своей папки Winlogon для сравнения. Напишите, если нужно. А на вирусы на всякий случай все равно проверьтесь по рекомендованной выше инструкции.

 

[imported_Wasp]

Удаление параметра "a0f4741c" ни к чему не привело - папка "Администратор" все также появляется при загрузке!
Отсюда вопрос - нужно ли воссоздать этот параметр, либо его удаление правомерно?

Murzilka, скрин не надо!

 

[imported_Murzilka]

Если это не вызывает проблем, думаю, что воссоздавать не надо. Посмотрите еще здесь HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options. Не прописано ли там чего? Перед удалением или изменением сохраняйте параметры реестра.
Вот в этих разделах ничего нет, что может отвечать за загрузку папки "Администратор"?
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersionRunServices
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowCurrentVersionRunServicesOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

---------- Добавлено в 16:15 ---------- Предыдущее сообщение было написано в 16:04 ----------

Вам лучше обратиться в раздел "Безопасность". Там обязательно помогут.
Еще как вариант, можно сделать восстановление системы на момент, когда все было нормально. Если, конечно, восстановление не отключено.

 

[imported_Wasp]

В HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options все чисто!
В остальных каталогах тоже ничего подозрительного!

Делаю логи!

 

[OlegSh]

В списке автозагрузки найдите либо пустую ссылку, либо сслыку на несуществующий софт и удалите ее. MSConfig вам поможет)))

 

[imported_Wasp]

Спасибо за отзывы! Проблема оказалась в разделе реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run, откуда удалил параметр "MSConfig" со значением "C:\Documents and Settings\Администратор\Рабочий стол\Неиспользуемые ярлыки\msconfig.exe /auto". Путь значения указывает на ярлык к MSConfig, расположенный на рабочем столе.