Здравствуйте!
Проблема в заголовке.
WinXP, поставил СП3, критические обновления.
Загружается все нормально, но после смены пользователя - голые обои. Диспетчер вызывается, но проводник и другие команды запускать не дает. Пишет, что то вроде не имеете прав, хотя загружается админ. В процессах видны и ДрВеб и Аутпост. А проводника нету((
На вири проверял - ничего. Такая же проблема была на старой системе - при перелогине проводник загружался через раз.
В ключе HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell параметр explorer.exe.

Заранее благодарю!

Ardi, сначала прочтите XP загружается без рабочего стола и меню Пуск (http://forum.oszone.net/thread-102540.html), а если ни один рецепт не поможет, представьте логи согласно этих (http://forum.oszone.net/post-717373-2.html) правил.

Проверил быстрой проверкой от MBAM:
Заражено параметров реестра:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowSearch (Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.

И что? Разве вы сделали все, о чем было написано в предыдущем сообщении?

И что? Разве вы сделали все, о чем было написано в предыдущем сообщении?
-------------
Нет, сейчас буду выполнять. Просто так сказал...

Просто так »
вашу тему закроют за невыполнение правил.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowSearch (Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken. »
Подобная запись ключа встречается во многих сборках.


У вас максимум два поста для логов или закрою тему.

вашу тему закроют за невыполнение правил. »
Не судите строго!

AVZ сработал!!!!!!!! Восстановил рабочий стол. Благодарю за подсказку!
А с зараженным ключом - удалить его? Можно прямо из регедит'а?

Если позволите, завтра понаблюдаю, и отмечу тему решенной??

___ С Рождеством!!!_____

Ardi, как говорил Винни-Пух: "Это ж-ж-ж - неспроста". Представьте логи и спите спокойно, тем более AVZ у вас уже есть.

Вы правы, okshef.

Надо перестраховаться. Благодарю! Пойду делать логи

AVZ сработал!!!!!!!! Восстановил рабочий стол. Благодарю за подсказку! »
Раз АВЗ сработал - давайте логи сюда. А с зараженным ключом - удалить его? Можно прямо из регедит'а? »
Можно и удалить , но лучше через МБАМ - потом можно будет восстановить(если понадобится )

Вот логи:

А вот еще результаты проверки AVP Tool:
Обнаружено: Net-Worm.Win32.Kido.ih.

Объекты были в папке Infected Д-ра Веба, но сам антивирусник почему то молчал.

Свежие новости от МБАВ:
Заражено процессов в памяти: 0
Заражено модулей в памяти: 0
Заражено ключей реестра: 0
Заражено значений реестра: 0
Заражено параметров реестра: 1
Заражено папок: 0
Заражено файлов: 3

Заражено процессов в памяти:
(Вредоносные программы не обнаружены)

Заражено модулей в памяти:
(Вредоносные программы не обнаружены)

Заражено ключей реестра:
(Вредоносные программы не обнаружены)

Заражено значений реестра:
(Вредоносные программы не обнаружены)

Заражено параметров реестра:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowSearch (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.

Заражено папок:
(Вредоносные программы не обнаружены)

Заражено файлов:
C:\Distr\Crack_WinXP-SP2-SP3\Crypt.dll (Hacktool) -> Quarantined and deleted successfully.
D:\Program Files\Total Commander\Plugins\arc\Default.sfx (Malware.Packer) -> Quarantined and deleted successfully.
D:\Program Files\Total Commander\Soft\fitW\fitW.exe (Malware.Packer) -> Quarantined and deleted successfully.


-----------
Пробовал пролечить от Net-Worm.Win32.Kido, но КК ничего не видит. (Модификация "ih"??)

Объекты были в папке Infected Д-ра Веба »
значит DrWEb отработал и в свое время перехватил. По логам - ничего страшного не вижу, но дождитесь вердикта более опытных хелперов.

ничего страшного не вижу »
Спасибо! Дождусь.

Плохого не увидел

Плохого не увидел »
Ясно. У меня тоже вроде претензий к компутеру не стало. Что ж, можно помечать решенной?

Спасибо, что делаете доброе дело, помогая другим!!!

Вывод (как я понял): если при смене пользователя не загружается рабочий стол, а в логах чисто, видимо предыдущие вири "регистрировались как отладчики процесса explorer.exe и их удаление приводило к блокировке запуска explorer.exe". :up:
Поможет АВЗ: http://z-oleg.com/secur/advice/adv1103.php

Еще раз благодарю!!! Helpers :up: :hi: