За последние пару недель пришлось чинить два завирусованных компа с одинаковыми проявлениями заразы.
Винда (XP) стартует, заходит в профиль пользователя, но ни Проводник, ни Диспечер задач не запускается. Есть только обоя и всё. В safe mode то же самое под всеми аккаунтами.
На обоих компах получилось запустить Internet Exoplorer через диалог справки Narrator'а, а из него уже запустить с флешки AVZ и на одной из машин - autoruns. SDFix запускаться отказался напрочь (cmd не запускается, так же как regedit, taskmgr и всё остальное).
На первом AVZ как под safe, так и в обычном режиме сразу перегружал машину, на втором не нашел ничего страшного.
Через autoruns получилось на втором компе найти заразу - атозапуск из дополнительных NTFSных потоков в файлах c:\windows\explorer.exe и c:\windows\desktop.ini (имена потоков, по всей видимости, выбраны случайно при заражении).
Перегрузился с загрузочного CD от Sysinternals, перезаписал explorer.exe и грохнул desktop.ini. Комп ожил.
Последующий прогон системы SDFix'ом и антивирами ничего страшного не выявил.
Да, еще один момент. После того, как система завелась, отказался грузиться установленный NOD. В системном журнале оказалась запись о том, что весь каталог NOD'а был запрещен через системную "Политику ограниченного использования программ". В secpol.msc при этом какие-либо записи отсутствовали начисто. Вылечилось только через реестр.
В общем, если столкнетесь с аналогичными проявлениями - пропробуйте для начала autoruns'ом порыться, ну и explorer.exe переписать. Вдруг поможет.
|