lamauser Опубликовано 26 февраля, 2008 Жалоба Поделиться Опубликовано 26 февраля, 2008 Всем привет. Вчера обнаружил у себя в логе, на домашнем компе F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe Поскольку с ним уже сталкивался. То не долго думая прошолся SDFix. Однако сам ntos.exe не удалился…поэтому решил воспользоваться AVZ. был использован следующий код. beginSearchRootkit(true, true);SetAVZGuardStatus(true);RegKeyParamDel('HKEY_USERS', '.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run', 'userinit');RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Userinit');DelAutoRunByFileName('ntos.exe');SysCleanAddFile('ntos.exe');DeleteFile('C:\WINDOWS\system32\ntos.exe');BC_Activate;ExecuteSysClean;RebootWindows(true);end. Однако, все прошло не совсем гладко, код выполнился, комп перезагрузился, но не загрузился. Сейчас ситуация такова, включаем, идет загрузка системы, окошко с выбором пользователя, щелкаем на администратор(больше пользователей нет), идет загрузка параметров, фоновая картинка рабочего стола, выход пользователя…картинка с выбором пользователя…на все про все 1-2 секунды. Пробиться в систему не удалось ни в сейф моде, не путем восстановления последней удачной конфы…..везде сразу выкидывает на меню выбора пользователя… Систему конечно снести не проблема, но не хочется, может, посоветуете чего? :doh: Ссылка на комментарий Поделиться на другие сайты Поделиться
ser208 Опубликовано 26 февраля, 2008 Жалоба Поделиться Опубликовано 26 февраля, 2008 (изменено) Тебе надо ключи реестра восстановить, те, что ты удалил. Userinit у тебя подгрузиться не может. Сделать это можно из под LiveCD, в котором можно ветки реестра подгружать (ERD Commander, к примеру) или из под параллельно загруженной системы. В последний раз встретился с ntos.exe, который прикрывался и восстанавливался подмененным sptd.sys. Без удаления оного вылечиться не удавалось. Вирус постоянно мутирует. Обычные способы лечения не проходят. Если удастся восстановить загрузку -- покажи логи. З.Ы. Может быть fixboot поможет? Врядли. Изменено 26 февраля, 2008 пользователем ser208 Ссылка на комментарий Поделиться на другие сайты Поделиться
Pili Опубликовано 26 февраля, 2008 Жалоба Поделиться Опубликовано 26 февраля, 2008 (изменено) попробуйте так откройте блокнот, скопируйте в него текст ниже и сохраните как reg файл Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]"Userinit"="C:\\WINDOWS\\system32\\userinit.exe," Примените этот файл. Если невозможно отредактировать реестра на этом компе, отредактируйте его, загрузившись с загрузочного диска (напр. BartPE http://www.nu2.nu/pebuilder/) 1. Запустите regedit и выделите раздел HKEY_USERS. 2. Выберите в меню программы File - Load Hive (Файл - Загрузить куст) и перейдите к папке, где находится реестр вашей Windows (обычно C:\Windows\System32\Config). 3. Выделите файл SOFTWARE без расширения и нажмите Open (Открыть). 4. Введите имя для раздела, который вы загрузили, например, MyHive. Теперь, если к примеру вам нужен параметр HKLM\SoftWare\Microsoft\Windows NT\Winlogon\Userinit - это будет: HKEY_USERS\MyHive\Microsoft\Windows NT\Winlogon\Userinit закончив редактирование, обязательно выгрузите раздел. Для этого выделите ветку MyHive и выберите в меню программы File - Unload Hive (Файл - Выгрузить куст). Изменено 26 февраля, 2008 пользователем Pili Ссылка на комментарий Поделиться на другие сайты Поделиться
lamauser Опубликовано 26 февраля, 2008 Автор Жалоба Поделиться Опубликовано 26 февраля, 2008 спасибо, вечером запасусь кофе и буду шаманить... :doh: Ссылка на комментарий Поделиться на другие сайты Поделиться
lamauser Опубликовано 26 февраля, 2008 Автор Жалоба Поделиться Опубликовано 26 февраля, 2008 http://www.nu2.nu/pebuilder/) а ссылочку не битую мона?) Ссылка на комментарий Поделиться на другие сайты Поделиться
Loader Опубликовано 26 февраля, 2008 Жалоба Поделиться Опубликовано 26 февраля, 2008 держи Ссылка на комментарий Поделиться на другие сайты Поделиться
lamauser Опубликовано 26 февраля, 2008 Автор Жалоба Поделиться Опубликовано 26 февраля, 2008 закончив редактирование BartPE есть. 1,2,3 понятно 4 не очень. можно чуть подробнее, что именно необходимо сделать в пункте 4, дабы избежать ненужных телодвижений в области, в которой мало понимаешь. :doh: Ссылка на комментарий Поделиться на другие сайты Поделиться
Pili Опубликовано 26 февраля, 2008 Жалоба Поделиться Опубликовано 26 февраля, 2008 ссылка не битая, я по ней ходил, проверял. по 4-му п. что не понятно? В MyHive будет реестр вашего компа, его и править, HKEY_USERS\MyHive\Microsoft\Windows NT\CurrentVersion\Winlogon Ссылка на комментарий Поделиться на другие сайты Поделиться
lamauser Опубликовано 27 февраля, 2008 Автор Жалоба Поделиться Опубликовано 27 февраля, 2008 ссылка не битая, я по ней ходил, проверял. The requested URL was not found on this server. откройте блокнот, скопируйте в него текст ниже и сохраните как reg файл сделал, никаких изменений не последовало отредактируйте его, загрузившись с загрузочного диска (напр. BartPE) сделал, теперь при загрузки выдает *винлогон.ехе обратился с участку памяти, память не может быть прочтена*, перезагрузка.. замена winlogon.exe с родного дистриба поможет? или это я косо в реестре поковырялся? ссылка не битая, я по ней ходил, проверял. по 4-му п. что не понятно? В MyHive будет реестр вашего компа, его и править, HKEY_USERS\MyHive\Microsoft\Windows NT\CurrentVersion\Winlogon он должен быть таким? winlogon Ссылка на комментарий Поделиться на другие сайты Поделиться
Pili Опубликовано 27 февраля, 2008 Жалоба Поделиться Опубликовано 27 февраля, 2008 The requested URL was not found on this server. у меня http://www.nu2.nu/pebuilder/ открыватся нормально сделал, никаких изменений не последовало надо применить reg файл сделал, теперь при загрузки выдает *винлогон.ехе обратился с участку памяти, память не может быть прочтена*, перезагрузка.. замена winlogon.exe с родного дистриба поможет? или это я косо в реестре поковырялся? он должен быть таким? winlogon нет, см. тут и ещё тема тут "Userinit"="C:\\WINDOWS\\system32\\userinit.exe," - запятая в конце winlogon.exe д.б. в %systemroot%\system32\ а не где нибудь в Documents and Settings если winlogon.exe патченный, попробуйте sfc /scannow - потребуется дистрибутив windows Ссылка на комментарий Поделиться на другие сайты Поделиться
lamauser Опубликовано 27 февраля, 2008 Автор Жалоба Поделиться Опубликовано 27 февраля, 2008 надо применить reg файл разумеется, появляется сообщение-даные внесены в реестр...никаких видимых эфектов нет. "Userinit"="C:\\WINDOWS\\system32\\userinit.exe," - запятая в конце она и в первой рекомендации была вроде. winlogon.exe д.б. в %systemroot%\system32\ а не где нибудь в Documents and Settings это был скрин рабочего компа, для примера, дома все через новый куст делал нет, см. тут сделаю Ссылка на комментарий Поделиться на другие сайты Поделиться
Pili Опубликовано 27 февраля, 2008 Жалоба Поделиться Опубликовано 27 февраля, 2008 разумеется, появляется сообщение-даные внесены в реестр...никаких видимых эфектов нет. это был скрин рабочего компа, для примера, дома все через новый куст делал по вашему скриншоту видно, что вы не загружали куст ) вот этим RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Userinit'); вы вероятно удалили [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]"Userinit"="C:\\WINDOWS\\system32\\userinit.exe," и применение reg файла д.б. помочь выход пользователя…картинка с выбором пользователя…на все про все 1-2 секунды. Где вы применяли reg файл, если комп у вас не загружается? Или успели за 1-2 сек? :1eye: Ссылка на комментарий Поделиться на другие сайты Поделиться
lamauser Опубликовано 27 февраля, 2008 Автор Жалоба Поделиться Опубликовано 27 февраля, 2008 по вашему скриншоту видно, что вы не загружали куст ) вот этим да нет же, этот скрин сделал на работе, что бы спросить..а дома все делал через загрузку куста) и применение reg файла д.б. помочь Где вы применяли reg файл, если комп у вас не загружается? Или успели за 1-2 сек? :doh: фаил создал вчера на рабочем компе..принёс на дискете домой, скопировал на диск С,и применил :no: сообщение о добовлениее в ресстр было вчера) и это вчера не помогло, яж с работы домой не побегу проверять, начальство не оценит :1eye: все разумеется под Windows Pe дома происходило) Ссылка на комментарий Поделиться на другие сайты Поделиться
Pili Опубликовано 27 февраля, 2008 Жалоба Поделиться Опубликовано 27 февраля, 2008 все разумеется под Windows Pe дома происходило) Загрузившись с WinPE reg файл применяли? И куда по вашему данные с рег файла должны записаться? :1eye: Надо его применять, загрузившись с диска С, хотя бы в безопасном режиме (если успеете) Ссылка на комментарий Поделиться на другие сайты Поделиться
lamauser Опубликовано 27 февраля, 2008 Автор Жалоба Поделиться Опубликовано 27 февраля, 2008 Загрузившись с WinPE reg файл применяли? И куда по вашему данные с рег файла должны записаться? :) Надо его применять, загрузившись с диска С, хотя бы в безопасном режиме (если успеете) ну там идея была такова, в реестр вин ПЕ оно всяк не пропишется, а вдруг Марс по отношению к Венере сегодня в зените, и пропишется куда надо :D Машину прогрузил в нормальном режиме. логи если нужны еще логи, говорите..сделаем ;) Ссылка на комментарий Поделиться на другие сайты Поделиться
Pili Опубликовано 27 февраля, 2008 Жалоба Поделиться Опубликовано 27 февраля, 2008 (изменено) lamauser: ну что, поздравляю, похоже вы загрузились с домашнего компа и теперь не занимаетесь самолечением :D логи сейчас посмотрю а логи не те, нужны рез-ты след. операций - Запустите AVZ и обновите базы (Файл - Обновление баз). Выберите из меню Файл -Стандартные скрипты и поставьте галку напротив 3-го скрипта и нажмите "Выполнить отмеченные скрипты". После выполнения скрипта обязательно перезагрузите компьютер. - Запустите AVZ. Выберите из меню Файл - Стандартные скрипты, поставьте галку напротив 2-го скрипта и нажмите "Выполнить отмеченные скрипты". - Запустите HijackThis. В появившимся бланке, с пользовательском соглашением, нажмите на кнопку I Accept.. Нажмите на кнопку "Do a system scan and save a logfile". Заархивируйте полученный лог. - Вложите в сообщение файлы логов (zip файлы из каталога AVZ\LOG и HijackThis), всего должно быть 3 файла: virusinfo_syscure.zip, virusinfo_syscheck.zip, hijackthis.zip Изменено 27 февраля, 2008 пользователем Pili Ссылка на комментарий Поделиться на другие сайты Поделиться
lamauser Опубликовано 27 февраля, 2008 Автор Жалоба Поделиться Опубликовано 27 февраля, 2008 lamauser: ну что, поздравляю, похоже вы загрузились с домашнего компа и теперь не занимаетесь самолечением ;) эм....эт как получится :D файла: virusinfo_syscure.zip, virusinfo_syscheck.zip, hijackthis.zip тык Ссылка на комментарий Поделиться на другие сайты Поделиться
Pili Опубликовано 27 февраля, 2008 Жалоба Поделиться Опубликовано 27 февраля, 2008 lamauser: Вложите в сообщение файлы логов со slil.ru у меня зависает закачка 187.2KB скачивалось более 3 мин и архив битым в итоге оказался, если сюда не можете, тогда лучше на ifolder Ссылка на комментарий Поделиться на другие сайты Поделиться
lamauser Опубликовано 27 февраля, 2008 Автор Жалоба Поделиться Опубликовано 27 февраля, 2008 тогда лучше на ifolder http://ifolder.ru/5524591]ifolder[/url] мдя..косячок со вставкой ссылки, но главное чтоб скачалось) Ссылка на комментарий Поделиться на другие сайты Поделиться
Pili Опубликовано 27 февраля, 2008 Жалоба Поделиться Опубликовано 27 февраля, 2008 (изменено) ну вот не зря скрипт лечения выполнили, :D C:\Documents and Settings\Администратор\admin.exe >>>>> Trojan-Downloader.Win32.Tiny.nj успешно удален выполните скрипт beginSearchRootkit(true, true);SetAVZGuardStatus(True);ClearQuarantine;QuarantineFile('C:\TMP\tmp4A.tmp','');QuarantineFile('C:\TMP\tmp6.tmp','');QuarantineFile('C:\WINDOWS\system32\CCRFG.SYS','');QuarantineFile('C:\Temp\catchme.sys','');BC_ImportAll;BC_Activate;RebootWindows(true);end. Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. Файл quarantine.zip выложить на ifolder.ru или другой файлообменник и дать ссылку на него в ПМ, в теле письма указать ссылку на тему. удалите всё из C:\TMP\ 9. Мастер поиска и устранения проблем >> Таймаут завершения служб находится за пределами допустимых значений запустите в AVZ Мастер поиска и устранения проблем, выберите все системные проблемы и исправьте найденные проблемы Изменено 27 февраля, 2008 пользователем Pili Ссылка на комментарий Поделиться на другие сайты Поделиться
ser208 Опубликовано 27 февраля, 2008 Жалоба Поделиться Опубликовано 27 февраля, 2008 sptd.sys в карантине не помешал бы. Ссылка на комментарий Поделиться на другие сайты Поделиться
ТроПа Опубликовано 27 февраля, 2008 Жалоба Поделиться Опубликовано 27 февраля, 2008 Не нужно этот от диамона или алкоголя. Ссылка на комментарий Поделиться на другие сайты Поделиться
lamauser Опубликовано 28 февраля, 2008 Автор Жалоба Поделиться Опубликовано 28 февраля, 2008 запустите в AVZ Мастер поиска и устранения проблем, выберите все системные проблемы и исправьте найденные проблемы я таким образом Таймаут завершения служб раз в неделю исправляю, его постоянно опять сбрасывает, толи веб..толи спайбот... рекомендации выполню вечером :D Ссылка на комментарий Поделиться на другие сайты Поделиться
lamauser Опубликовано 28 февраля, 2008 Автор Жалоба Поделиться Опубликовано 28 февраля, 2008 выполните скрипт выполнил Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт неа, завис, на Пожалуйста подождите закрытие сетевых подключений, через 5 минут ребутнул принудительно Файл quarantine.zip выложить на ifolder.ru или другой файлообменник и дать ссылку на него в ПМ, в теле письма указать ссылку на тему. через минуту будет удалите всё из C:\TMP\ все не удалось, активно сопротивляются DF2AF2.tmp, DF2BBE.tmp,DF30DE.tmp запустите в AVZ Мастер поиска и устранения проблем, выберите все системные проблемы и исправьте найденные проблемы сделано sptd.sys в карантине не помешал бы. как его туда запихать? запихаем Ссылка на комментарий Поделиться на другие сайты Поделиться
lamauser Опубликовано 28 февраля, 2008 Автор Жалоба Поделиться Опубликовано 28 февраля, 2008 все не удалось, активно сопротивляются DF2AF2.tmp, DF2BBE.tmp,DF30DE.tmp в безопасном удалил... жду результатов по карантину Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Для публикации сообщений создайте учётную запись или авторизуйтесь
Вы должны быть пользователем, чтобы оставить комментарий
Создать учетную запись
Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!
Регистрация нового пользователяВойти
Уже есть аккаунт? Войти в систему.
Войти