вирус и его последствия

[vaverka]

Здравствуйте, уважаемые форумяне!!

.Включаю компьютер и не могу войти в систему: появляется приветствие ( как при нормальной загрузке) , затем вдруг появляется иконка (а её никогда не было,т.к.

я единственный пользователь своего компа), я кликаю по иконке , появляется сообщение "сохранение параметров ", т.е. система выгружается, не загрузившись. И так несколько раз. Я вижу, что изменились параметры входа в систему, и понимаю, что что-то не так. Скорее всего вирус.

Загружаюсь в безопасном режиме, сканирую (нерезидентным сканером CureIt)- он ничего не находит. Я ему не верю. И запускаю антивирусную программу , установленную на моём компьютере. И точно!!!! Вирус!!! троян по имени userinit.exe., притом лечению не подлежит, надо удалять. Рядом с ним прописан его ,бывший адрес:Windows\sistem32\. Я его не удаляю, а оставляю на карантине.Счастливая, что избавилась от напасти, загружаюсь в нормальном режиме и опять не могу зайти в систему, те же выходки. Иду опять в безопасный режим , а теперь уже и в безопасном режиме не могу загрузиться. В результате -переустановила систему. Потеряла некоторые данные, но к счастью не все, т.к. у меня два логических диска. На одном (С) система, на другом (D)- всё то, без чего не живётся , не дышится :-))). Но адресная книга и переписка утеряны безвозвратно.

Что я сделала неправильно? (помимо того, что не выполнила резервное копирование, с помощью которого можно было бы восстановить систему)?

[ser208]

По адресу windows\system32 лежит системный файл userinit.exe, отвечающий за вход в систему (можете убедиться сейчас на переустановленной системе).

Его помещение в карантин, т.е. удаление из места назначения и привело к невозможности загрузки.

Был ли он заражен (или заменен) -- вопрос открытый.

Нужно было хотя бы перед удалением системного файла обзавестись его "здоровой" копией из инета допустим.

Интересно узнать название антивируса, которому Вы безраздельно доверяете и который установлен у Вас на компе.

Подозреваю, что это Panda :blush2:

З.Ы. для сохранения переписки на будущее обзаведитесь portable-почтовиком, который хранит все данные у себя в директории и поставьте его на диск D.

Ну или html-почта (gmail, rambler, mail). Тут уж хоть сгорит или утонет комп. Переписка будет цела.

Изменено 24 февраля, 2008 пользователем ser208

[vaverka]

По адресу windows\system32 лежит системный файл userinit.exe, отвечающий за вход в систему (можете убедиться сейчас на переустановленной системе).

[quot

По этому адресу лежит файл просто userinit без exe...вот это меня и смутило. Я рассуждала так

(по-чайниковски) :) - после завершения проверки, после того , как вредоносный файл был помещен на карантин, я открыла папку windows\system32 и убедилась, что файл userinit (без exe) преспокойненько там лежит. Ага, обрадовалась я. значит вредоносный (userinit.exe) изолирован , а системный (userinit) остался....вот я сейчас и загружусь быстренько.

Да не тут-то было... Каким-то образом изменился системный файл. Вот это мне и хотелось бы понять, почему при удалении вируса я не смогла войти в систему, хотя системный файл остался на месте.

А как обзавестись здоровой копией, если нет доступа в Интернет? Это же мероприятие неплановое, от которого седин прибавляется. Кто же мог знать , что я не смогу войти в систему? Я накануне вечером работала в нете допоздна и всё у меня было нормально.

Антивирус бесплатный AVG Free.., добросовестный дядечка, пользуюсь много лет. Первый раз такая бяка. Это уже не в первый раз, когда он обнаруживает, а именитый доктор веб-не обнаруживает вирусы.

Срочно сообщите , что такое portable-почтовик и где его взять. Почему же Вы мне раньше не сказали. :blush2:

[ser208]

По этому адресу лежит файл просто userinit без exe...вот это меня и смутило.

Тут все просто. Зайти Мой компьютер -- Сервис -- Свойства папки -- Вид -- снять галочку с "Скрывать расширения для зарегистрированных типов файлов". Все файлы станут с расширениями. В том числе и userinit.

Антивирус бесплатный AVG Free.., добросовестный дядечка, пользуюсь много лет. Первый раз такая бяка. Это уже не в первый раз, когда он обнаруживает, а именитый доктор веб-не обнаруживает вирусы.

Был один товарищ, говорил, что CureIt ничего не находит. Полгода назад он скопировал его с диска, что с игровым журналом шел. Невдомек, что утилита обновляется каждый день.

Срочно сообщите , что такое portable-почтовик и где его взять.

Зарегистрируйтесь на mail.ru, что тут голову ломать.

А так есть The Bаt, Mozilla Thunderberd

Изменено 24 февраля, 2008 пользователем ser208

[Matias]

А как обзавестись здоровой копией, если нет доступа в Интернет?

А что мешает загрузиться с установочного диска Windows, войти в консоль восстановления и заменить зараженный userinit.exe чистым?

[Loader]

vaverka: мне кажется просто слетела лицензия с винды. Активируй систему и будет тебе счастье.

[vaverka]

А что мешает загрузиться с установочного диска Windows, войти в консоль восстановления и заменить зараженный userinit.exe чистым?

[Matias!!! у меня так всё запущено... в смысле знаний...sorry...я и загрузилась с установочного диска(вошла в BIOS выбрала 1st boot device-СD-ROM). В результате получила новую систему с поностью обновлёнными файлами., так что о замене какого-то конкретного файла речь уже и не шла.

А где находится консоль восстановления и чем она может быть полезна в таких случаях?

To Loader!!! разве может слететь то, чего никогда и не было. :mad: Винда ведь нелицензионная.

To Ser208.... я конечно чайник, но про обновление знаю и сканировала со свежими базами, где-то за число 15 или 16 февраля этого года ( дата сканирования -23 февраля этого года)

[Тролль]

vaverka:

Срочно сообщите , что такое portable-почтовик и где его взять.

Есть вариант и просто в настройках Outlook Express (или другого почтовика) указать папку на другом диске для хранения почты. С адресной книги можно время от времени делать резервную копию, это также есть в OE (экспорт адресной книги), хотя я просто переместил ее тоже на диск D - только это уже делается настройкой в реестре ( HKEY CURRENT USER\Software\Microsoft\WAB\WAB4\Wab File Name ), там путь к файлу Имя_пользователя.wab, содержащему адресную книгу, этот файл нужно переместить куда-нибудь на диск D и тут же в настройках реестра соответственно изменить путь к файлу.

Избранное IE также лучше хранить на D. Нормально оно хранится как C:\Documents and Settings\Имя_пользователя\Избранное, это тоже можно изменить в реестре в HKEY_CURRENT_USER\ SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Shell Folders, но проще просто перетащить эту папку куда-нибудь на диск D, Windows сама заметит перемещение этой папки и внесет изменение в реестр самостоятельно.

Вообще все эти папки и файлы у меня лежат в отдельной папке на D, которую я время от времени копирую на винчестер для резервных копий (рабочие винчестеры тоже иногда, хотя и редко, отказывают с потерей информации). Можно, конечно, использовать и перезаписываемый DVD или CD.

P.S. "в настройках реестра" означает просто изменить путь в указанном параметре реестра.

[Loader]

vaverka:

To Loader!!! разве может слететь то, чего никогда и не было. 1eye.gif Винда ведь нелицензионная.

об этом и речь идет. Нелицензионная винда зашла в интернет, узнала о том что она нелицензионная и помахала ручкой.

Если в безопасном режиме зайдешь в нее - 90% что это так... Ну а там сам думай что с ней делать.... обсуждение кряков здесь запрещено

[ser208]

90% что это так...

Здесь ты немного попутал userinit и winlogon (wgalogon).

[vaverka]

Всем спасибо за науку!!!

Уважаемый Троль!!! Я всё сделала, как Вы учили...перенесла папку избранного на диск D , а также изменила в реестре путь к адресной книге ОЕ (саму книгу тоже поместила на диск D). Но это всё работало до тех пор, пока я не установила Оперу.

В опере избранное хранится по адресу C:\Documents and Settings\ирина\Application Data\Opera\Opera\profile\opera6.adr. Поскольку я уже умная (Вами обученная :-))),

я думаю, что в реестре нужно также изменить путь к избранному браузера Опера. Но проблемма в том, что я не представляю, где в реестре это может находиться. Или я неправильно понимаю? Вот Вам и ещё один вопрос (если не возражаете): как искать в реестре те или иные параметры? Как, например, в данном случае...новый браузер установила, а где его найти в реестре не знаю. Пыталась искать в реестре через меню "правка"-найти-найти далее....безрезультатно...

[ser208]

Всем спасибо за науку!!!

Уважаемый Троль!!! Я всё сделала, как Вы учили...

Во время установки Опера нужно было вместо "Стандартная" отметить " по выбору". А там изменить путь на D:\, а главное " для одного пользователя".

Тогда папка с настройками и профилями будет в самой папке с Оперой, а не в C:\Documents and Settings\.

Если не лень, то переустанови.

Изменено 6 марта, 2008 пользователем ser208

[vaverka]

:blush2:

Мне конечно не лень. только это самое простое решение.Хочется понять как работать с реестром.Кроме того ,диск D перезагружается очень редко. поэтому там со всременем будут всякие ошметки от оперы. а на диске С всё-таки раз в полгода навожу порядок(переустанавливаю систему)

[ser208]

Мне конечно не лень. только это самое простое решение.Хочется понять как работать с реестром.Кроме того ,диск D перезагружается очень редко. поэтому там со всременем будут всякие ошметки от оперы. а на диске С всё-таки раз в полгода навожу порядок(переустанавливаю систему)

Да нет в реестре Оперы. Она хранит свои настройки в файлах *.ini. В том ее и прелесть. Если ты переустанавливаешь систему, то все настройки, почта и т.п. у тебя уже готовы к работе на новой системе. Бросила значок из диска D: на новый рабочий стол и работаешь дальше, как будто систему не переустанавливала.

Бесплатный совет -- поменьше посещать реестр.

Ошметки от Оперы -- это кеш. Почистить можно из самой Оперы.

Изменено 8 марта, 2008 пользователем ser208

[vaverka]

Бесплатный совет -- поменьше посещать реестр.

Советом воспользуюсь, но не потому, что бесплатный, а потому, что дельный.

Оперу переставила.

Не осуждай новичков за странные представления: это всё недостаток знаний. Поймите, что нет ничего странного в этом -просто это та или иная степень знания. Мне кажется. что любой вопрошающий уже достоин уважения. а не осуждения. Ведь тысячи людей ничего не хотят знать вообще, тыкают мышью как попало и не забивают себе голову. А есть такие, кто хочет что-то знать, кто не выносит, компьютерного самоуправства, когда не ты управляешь компьютером, а он тобою. Пока ещё мой компьютер управляет мною , а не я им. Но это -временно...потому, что на этом форуме есть такие люди , как ты ..спасибо тебе

[ser208]

С праздником тебя.

Даже не знаю, что посоветовать. Но уж точно не изучать реестр. Достаточно представления о нем, что к чему и как с ним работать.

Лучше начинать следить за процессами, какой к чему относится, какие службы выполняются и т.д.

Со временем беглого взляда на диспетчер задач будет достаточно, чтобы определить, что запущено, как работает и что лишнее.

Ну и читать побольше.

Привыкать, прежде чем задавать вопрос, пытаться найти все возможное в сети.

Так быстрее все будет запоминаться.

[vaverka]

Спасибо за поздравления!!!

Ты попал точно в десятку... Я много читаю на этом форуме и много нашла полезного, за что я раньше платила деньги.( а здесь бесплатно, только не ленись). Так вот в одном каком-то посте было упомянуто, что имеется справочник процессов Windows.

Где можно этот справочнок скачать? Если знаешь. подскажа, буду очень бдагодарна. (типа подарка к 8 Марта) :)

[ser208]

http://www.softboard.ru/index.php?showtopic=13260

Пользуйся поиском смелее.

Изменено 9 марта, 2008 пользователем ser208

[Matias]

Так вот в одном каком-то посте было упомянуто, что имеется справочник процессов Windows.

Где можно этот справочнок скачать?

Справочник по процессам и службам Windows XP можно скачать с OSzone.

[Тролль]

Тот же справочник можно скачать и с Софтодрома: Список служб Windows XP 4.7. По правилам и просто в порядке поддержки Софтодрома предпочтение при выдаче ссыллок должно отдаваться своему софт-порталу. На самом деле там практически только список служб, а список процессов со ссылками на их объяснения и классификацией был приведен Old men в топике FAQ по процессам и службам, там же есть ссылки на offline справочники и прочая полезная информация по этим вопросам.

[ser208]

По моей ссылке кто-нибудь перейти пробовал?

Там и то, и другое имеется :g:

[vaverka]

Во время установки Опера нужно было вместо "Стандартная" отметить " по выбору". А там изменить путь на D:\, а главное " для одного пользователя".

Тогда папка с настройками и профилями будет в самой папке с Оперой, а не в C:\Documents and Settings\.

Если не лень, то переустанови.

Переустановила оперу на диск D и теперь имею следующую проблему (не критическаую, но неудобство в пользовании):

-когда опера была на диске C, то, получая почту и кликая на любой ссылке в полученном сообщении прямо в Outlook Express или в MailWasher (cортировщик спама), можно было открыть оперу прямо из почтовой программы.

А после переустановки на диск d , кликая по ссылкам , открыть оперу невозможно. Это оооочень неудобно.!!! Нужно сначала запустить оперу, затем скопировать ссылку из сообщения , вставить в адресную строку оперы и только тогда откроется нужное.

Можно ли эту проблему исправить?

[Loader]

vaverka: поставь ее как браузер по умолчанию. Возможно придется сначала сопоставить все с IE а потом вернуться к опере

[vaverka]

vaverka: поставь ее как браузер по умолчанию. Возможно придется сначала сопоставить все с IE а потом вернуться к опере

LOader!!!!! Пожалуйста, объясни, что значит сопоставить всё с IE? Что нужно сопоставить? Где в опере можно отметить её как браузер по умолчанию.?