->

вторник, 31 мая 2011 г.

Убитый вирус - убитый рабочий стол. Исправляем.

Уж много было сообщений о том, что после уничтожения вируса (удаления файла антивирусом или вручную) исчезает рабочий стол. Или еще поинтереснее вариант: появляется выбор пользователей, который ранее не отображался, но при входе пользователем все возвращается вновь к окну логина за какие то пару секунд.
Счастливый случай свел меня с такой ситуацией, и наконец то я смог покопаться в системе с конкретной целью. Рассмотрим один из возможных вариантов отсутствия рабочего стола на его законном месте...
Итак, что было:
Мной был очень удачно подхвачен вирус, который вел себя вполне незаметно для меня (поэтому не знаю откуда он взялся).
Выдало его сообщение DRWeb-а о том, что заблокировал   trojan.siggen2.31929 в файле lsass.exe (исходное имя файла Dyoobulu.exe), который находится в папке "Documents And Settings\Application Data". Файл LSASS.exe по идее системный, но лежать ему надо исключительно в папке system32 или в крайнем случае в dllcache, так что если увидите его в другом месте, то будьте уверены, что на вашем компьютере есть самостоятельная разумная жизнь :).
После объявления войны антивирус предложил удалить файл и затребовал перезугрузку, с чем я согласился, поскольку удаляться файл просто так не хотел.
После перезагрузки я увидел предложение выбрать пользователя для входа в систему, чего обычно не было. Ввел пароль и сразу получил выход из системы и вновь предложение залогиниться.
"Вот оно!!", подумал я, потирая руки.
Не буду дальше изливаться словами, расскажу посуше, как избавился от напасти.
Загрузился с компашки AlKid.
Проверка реестра в обычных местах winlogon (ключи shell и userinit) не дала значимых результатов. Удаление ссылок на вирус так и оставило меня без доступа к рабочему столу.
Сделал поиск в реестре по имени файла (lsass.exe) и нашел ссылку в ключе:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
"RTHDBPL"="D:\\Documents and Settings\\Admin\\Application Data\\SystemProc\\lsass.exe"
Я специально в названии ключа выделил 3 последних слова. Я такие способы запуска вирусов не встречал. Удалил ссылку, но рабочий стол все равно был не доступен.
Тогда я снова вернулся в ветку winlogon и тут меня порвало.
Вот что было в userinit:
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,D:\\Documents and Settings\\Admin\\Application Data\\lsass.exe"
Так уж сложилось что система у меня стоит на диске "D". Ну бывает. А вирус ссылку на стандартный userinit.exe прописал как на диск "С". Собственно поэтому логина нормального и не получалось.
Так что, если у вас случилась такая же ситуация с автоматическим выходом к выбору пользователя, то проверьте реестр или нахождение файла userinit.exe на его месте (в папке system32).
Еще один вариант решения: если у вас есть доступ к рабочему столу, но нет на нем ярлыков, то попробуйте нажать комбинацию клавиш "Win+R". При этом откроется окно запуска программ из командной строки. Туда необходимо вписать "explorer.exe" и нажать кнопку "ОК". У меня на картинке модифицированное окно запуска программ, так что не бойтесь, если увидите немного другое окно.
И еще один вариант: Ту же самую вещь можно проделать через диспетчер задач (alt+ctrl+del, или shift+ctrl+esc). В нем есть та же возможность запустить приложение, кнопка "Новая задача".
Если такие варианты сработают, значит еще не все потеряно.

P.S. Еще раз кратко.
За рабочий стол отвечает explorer.exe.
За логин отвечает userinit.exe.
Если у вас возникают проблемы с логином или с рабочим столом - ищите причину в реестре по соответствующим названиям файлов, или смотрите на сами файлы, чтобы они были родные для системы, а не замененные.