Вирус удалил папку автозагрузки,рабочий стол не запускается

[Стего]

Вирус удалил папку автозагрузки,рабочий стол не запускается

Проблема-Есть жёсткий диск с операционкой XP,при его запуске появляется фоновый рисунок рабочего стола без ярлыков и чего либо другого,после появляется экран с кнопкой"Администратор",при её нажатии на миг снова мелькает фоновый рисунок и снова кидает на экран с кнопкой,диспетчер задач не открывается ни в обычном режиме ни в безопасном но при двух попытках вызвать диспетчер задач появляется предложение ввести пароль(хотя никакого пароля на компе не стояло).Если ничего не написать в поле пароля и нажать кнопку ОК то снова появляется на миг фоновый рисунок и обратно кидает на экран с кнопкой.Написание чего-либо в поле пароля делает пароль не верным и нажатие ОК выдаёт ошибку о неправильности пароля.

У меня есть ещё один жёсткий диск с которого пишу эту тему сейчас,раньше он видел диск о котором было написано выше как"Локальный диск I",сейчас он его не видит,при попытке ручного перехода к папке(допустим I:\Program files)ничего не находит,в реестре попытка написать I:\WINDOWS\regedit.exe также безуспешна,не может найти такого пути.

Подробности возникновения проблемы-Началось всё с того что рекламный баннер заблокировал мне вход на рабочий стол диска"I"(на себе он зовётся"C",с этого диска на котором я сейчас он всегда отображался как"I").Я зашёл с диска"С",запустил Dr.Web Cureit сканировать диск"I",обнаружил Trojan Downloader в автозагрузке,когда я нажал вылечить была удалена вся папка автозагрузки....потом я поискал файлы на диске"I"что по дате появились именно во время проявления рекламного баннера и удалил около дюжины подозрительных файлов обнаруженных во временных файлах интернета,Temporary,Temp,Cookie.Поискал файлы Desktop.ini и удалил те что нашёл(Думал что проблема в настройках рабочего стола).После и возникла эта проблема.Прошу,посоветуйте способ восстановить автозагрузку рабочего стола.

 

[OlegSh]

Первое что надо проверить/сделать:
0. Грузимся с LiveCD (INFR@-CD)
1. Пуск - Выполнить - regedit - Ок
2. Ставим курсор на HKEY_LOCAL_MACHINE
3. Файл - Загрузить куст - C:\Windows\system32\Config\ и выбираем файл Software - вписываем например 123
4. Идем HKEY_LOCAL_MACHINE - 123 - SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
5. Ищем параметр Userinit (в правой части окна) и его значение должно быть такое C:\WINDOWS\system32\userinit.exe, если не так - исправляйте на именно такое (дубль клик на параметре Userinit) , причем обратите внимание после userinit.exe обязательно запятая, а вместо диска С: - имя вашего системного диска (но скорее всего именно С). Там же смотрим параметр Shell, его значение должнo быть Explorer.exe (если не так,то двойной клик на Shell вписываем Explorer.exe)
6. Поднимаемся наверх и ставим курсор на HKEY_LOCAL_MACHINE - 123
7. Файл - выгрузить куст
8. Перезагружаем компьютер,вытащив CD из дисковода

Если не помогло, то делаем так:
1. Снимаем образ текущей системы (пусть даже нерабочей)
2. Грузимся с ERD для Windows XP и восстанавливаемся из точки отката на дату, предшествующую появлению проблеме

Если не помогло:
1. Снимаем образ текущей системы (пусть даже нерабочей) (если уже сняли - больше не надо)
2. Пытаемся выполнить: http://pchelpforum.ru/b40780/e432/

 

[Стего]

Скачал этот-Windows XP LiveCD Reversion 5.3 [Русский].Вот только болванку чтобы Live записать мне занесут вечером только.

Что значит снять образ с текущей системы?.И что такое ERD?.Способ откатать Ось есть даже если она сама не открывается?.

не существует программ которые могли бы просто вернуть на место папку автозагрузки с файлом Desktop.ini?.(ведь насколько я понимаю именно это удаление вызвало проблемы).Проверял реестр когда диск I ещё был рабочий,значения Юсеринит и Шел были в норме,их переписал на всякий и проверял тщательно.Вот тут нашёл раздел с похожей проблемой,посмотрите-
http://forum.xakep.ru/m_1947693/mpage_1/key_/tm.htm#1947704

парень удалил юсеринит и занёс его обратно прогой-ERD Commander
В моём случае такой способ уместен?.Очень благодарен за то что обратили внимание)).

Да и потом,я могу каким-то образом с диска на котором сейчас нахожусь всё-таки обнаружить пострадавший?.То что у меня два физических диска не даёт совсем никаких преимуществ?.

 

[дормидонд]

лайве , едр дают примерно 70 % гарантии , что восстановят . а 100% даёт это - советую сразу http://pchelpforum.ru/b40780/e432/

 

[OlegSh]

Что значит снять образ с текущей системы?

http://pchelpforum.ru/b34516/e383/

.И что такое ERD

Это "Emergency Repair Disk" - диск аварийного восстановления. Быть может в сборке LiveCD уже есть инструменты по восстановлению системы из точки отката, даже если система не работает.

не существует программ которые могли бы просто вернуть на место папку автозагрузки с файлом Desktop.ini?

Существует. На этом же LiveCD обязательно присутствуют программы для восстановления удаленной информации. Только вряд ли это поможет. Вы можете сами руками создать папку Автозагрузка. И файл Desktop.ini тут тоже не при чем.

парень удалил юсеринит и занёс его обратно прогой-ERD Commander

Для чего это в вашем случае? Userini.exe работает.

В моём случае такой способ уместен?

Вряд ли это принесет какой-либо положительный результат. Возможно только усугубит ситуацию, т.к. вам придется искать userinit точно такой же системы как ваша (вплоть до сервис-пака)

я могу каким-то образом с диска на котором сейчас нахожусь всё-таки обнаружить пострадавший?

А загрузившись с LiveCD его не видно? Смотрите, есть ли он в БИОСе?

 

[OlegSh]

дормидонд, дай ему, плиз, ссылку на livecd которым ты пользуешься (в котором уже есть на рабочем столе ярлык для восстановления из точки отката)

---------- Добавлено в 12:22 ---------- Предыдущее сообщение было написано в 12:16 ----------

Удалённая папка автозагрузки?

Я считаю, что нет! Может у кого-то и есть другое мнение. Это обычная папка, просто при ее наличии, система берет из нее файлы для запуска без участия пользователя (ярлыки, программы, документы, да хоть что, если оно имеет свои файловые ассоциации в системе)...

почему у меня эта фигня случилась?

Мне кажется, что вероятных причин две:
1. Вирус
2. Неисправности HDD

Еще один совет. После того, как вы загрузитесь с LiveCD и ваш "больной" HDD будет виден, произведите проверку его разделов на файловые ошибки (Мой компьютер - ПКМ на диске I - Свойства - Сервис - Выполнить проверку - галку на автоматическое исправление ошибок - Ок)

 

[дормидонд]

это маленький вариант ( но ,что надо , всё есть ) http://letitbit.net/download/9354.91510121bde41ae9d4d481c93/SV_MicroPE.2k10.Plus.Pack.1.5.1_conty9.iso.html

на летибите жмём : скачать за 1час 57мин - спасибо не надо - скачать с ожиданием 60 сек.....

а это полный вариант , того же лайве http://nnm-club.ru/forum/viewtopic.php?t=282876

 

[Стего]

Пока что болванок нет,вечером будут но за варианты спасибо большое.Насчёт причин такого сбоя я думаю про папку потому что остальное не кажется более вероятным.Вирус был обычным рекламным баннером который блочит рабочий стол,сбой в харде именно в день возникновения вируса тоже маловероятен.Диск перестал засекаться и с него не получается загрузиться именно с того момента как была удалена папка автозагрузки.

Насчёт загрузки с Лайва пока его нет не получится,а вот с биоса...можете описать детально потому что тут я вообще не шарю.Ф1 в начале,так?.

 

[дормидонд]

может я упустил . в в безопасном режиме грузиться пробовали ? в начале загрузки жмём НЕ ПЕРЕСтавая F8 .

 

[OlegSh]

а вот с биоса...можете описать детально

В процессе включения компьютера обычно появляется заставка вашей материнской платы. В самом низу обычно записаны клавиши и их функции (типа F11 - boot menu), вот это найдите и в процессе включения компьютера надо жмакать эту клавишу часто, быстро, но кратковременно (т.е. не задерживая ее в нажатом положении) до появления меню устройств для загрузки. Вот там виберите свой CD-привод и Enter. (Обычно клавиши такие: F8, F11, ESC)

 

[Стего]

Безопасный режим пробовал,всё тоже самое но без настроек вга.Ничего не меняется,диспетчер молчит.Windows+R тоже не срабатывают.

Биос сейчас попробую загрузить

 

[дормидонд]

а флешка есть и комп умеет грузиься с флешки ? если оба да - то этот лайве и на флешке работает . в биосе поглядите есть ли слово USB.

 

[OlegSh]

была удалена папка автозагрузки.

Еще раз хочу сказать, что рабочий стол грузится не из папки Автозагрузка. За это отвечают userinit и ваш параметр shell (вероятнее всего explorer.exe)/ Еще в процессе участвуeт logonUI.exe

 

[Стего]

Логонуи я тоже проверял.Перед сбоем я проверял Ран и Винлогон в реестре.Всё было в порядке.По вашим словам это вирус внёс сбой,именно тогда когда проявился и как только был удалён стало понятно что он натворил куда больше чем просто вымогал деньгу.Значит это вирус.

Флешки нет)).Комп старый.Не для игр.В том и беда что данные ценные на том харде.Так бы форматнул давно

 

[дормидонд]

Вирус был обычным рекламным баннером который блочит рабочий стол

а раб стол он откуда блочит ? из системной папки sistem32 . это один из самых хреновых вирей .

 

[Стего]

IDE-0:WDC WD1600AAJB-22WRAO
Вот как запуск назвал мой хренанутый диск))

 

[OlegSh]

Ну, это уже прогресс! Значит ваш

хренанутый диск

система видит!
Что с LiveCD?

 

[Стего]

Будет вечером,USB порты есть,флешки нету.

 

[дормидонд]

как болванку писать знаете ? надо писать именно образ изо ( не извлекат файлы ) . открываем образ изо в ультра изо - инструменты - записать образ CD - записать и пишем .

 

[Стего]

Я много болванок писал,в том числе оперативная система которая сейчас больна была установлена подобным способом.Я неро Пользую.Плохо?