Перейти к содержанию
СофтФорум - всё о компьютерах и не только

Рекомендуемые сообщения

Всем привет.

Вчера обнаружил у себя в логе, на домашнем компе

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe

Поскольку с ним уже сталкивался. То не долго думая прошолся SDFix.

Однако сам ntos.exe не удалился…поэтому решил воспользоваться AVZ.

был использован следующий код.

beginSearchRootkit(true, true);SetAVZGuardStatus(true);RegKeyParamDel('HKEY_USERS', '.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run', 'userinit');RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Userinit');DelAutoRunByFileName('ntos.exe');SysCleanAddFile('ntos.exe');DeleteFile('C:\WINDOWS\system32\ntos.exe');BC_Activate;ExecuteSysClean;RebootWindows(true);end.

Однако, все прошло не совсем гладко, код выполнился, комп перезагрузился, но не загрузился.

Сейчас ситуация такова, включаем, идет загрузка системы, окошко с выбором пользователя, щелкаем на администратор(больше пользователей нет), идет загрузка параметров, фоновая картинка рабочего стола, выход пользователя…картинка с выбором пользователя…на все про все 1-2 секунды.

Пробиться в систему не удалось ни в сейф моде, не путем восстановления последней удачной конфы…..везде сразу выкидывает на меню выбора пользователя…

Систему конечно снести не проблема, но не хочется, может, посоветуете чего? :doh:

Ссылка на комментарий
Поделиться на другие сайты

Тебе надо ключи реестра восстановить, те, что ты удалил. Userinit у тебя подгрузиться не может. Сделать это можно из под LiveCD, в котором можно ветки реестра подгружать (ERD Commander, к примеру) или из под параллельно загруженной системы.

В последний раз встретился с ntos.exe, который прикрывался и восстанавливался подмененным sptd.sys. Без удаления оного вылечиться не удавалось.

Вирус постоянно мутирует. Обычные способы лечения не проходят. Если удастся восстановить загрузку -- покажи логи.

З.Ы. Может быть fixboot поможет? Врядли.

Изменено пользователем ser208
Ссылка на комментарий
Поделиться на другие сайты

попробуйте так

откройте блокнот, скопируйте в него текст ниже и сохраните как reg файл

Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"

Примените этот файл.

Если невозможно отредактировать реестра на этом компе, отредактируйте его, загрузившись с загрузочного диска (напр. BartPE http://www.nu2.nu/pebuilder/)

1. Запустите regedit и выделите раздел HKEY_USERS.

2. Выберите в меню программы File - Load Hive (Файл - Загрузить куст) и перейдите к папке, где находится реестр вашей Windows (обычно C:\Windows\System32\Config).

3. Выделите файл SOFTWARE без расширения и нажмите Open (Открыть).

4. Введите имя для раздела, который вы загрузили, например, MyHive.

Теперь, если к примеру вам нужен параметр

HKLM\SoftWare\Microsoft\Windows NT\Winlogon\Userinit -

это будет:

HKEY_USERS\MyHive\Microsoft\Windows NT\Winlogon\Userinit

закончив редактирование, обязательно выгрузите раздел. Для этого выделите ветку MyHive и выберите в меню программы File - Unload Hive (Файл - Выгрузить куст).

Изменено пользователем Pili
Ссылка на комментарий
Поделиться на другие сайты

закончив редактирование

BartPE есть.

1,2,3 понятно

4 не очень.

можно чуть подробнее, что именно необходимо сделать

в пункте 4, дабы избежать ненужных телодвижений в области, в которой мало понимаешь.

:doh:

Ссылка на комментарий
Поделиться на другие сайты

ссылка не битая, я по ней ходил, проверял.

по 4-му п. что не понятно? В MyHive будет реестр вашего компа, его и править,

HKEY_USERS\MyHive\Microsoft\Windows NT\CurrentVersion\Winlogon

Ссылка на комментарий
Поделиться на другие сайты

ссылка не битая, я по ней ходил, проверял.

The requested URL was not found on this server.

откройте блокнот, скопируйте в него текст ниже и сохраните как reg файл

сделал, никаких изменений не последовало

отредактируйте его, загрузившись с загрузочного диска (напр. BartPE)

сделал, теперь при загрузки выдает *винлогон.ехе обратился с участку памяти, память не может быть прочтена*, перезагрузка..

замена winlogon.exe с родного дистриба поможет? или это я косо в реестре поковырялся?

ссылка не битая, я по ней ходил, проверял.

по 4-му п. что не понятно? В MyHive будет реестр вашего компа, его и править,

HKEY_USERS\MyHive\Microsoft\Windows NT\CurrentVersion\Winlogon

он должен быть таким?

winlogon

Ссылка на комментарий
Поделиться на другие сайты

The requested URL was not found on this server.

у меня http://www.nu2.nu/pebuilder/ открыватся нормально

сделал, никаких изменений не последовало

надо применить reg файл

сделал, теперь при загрузки выдает *винлогон.ехе обратился с участку памяти, память не может быть прочтена*, перезагрузка..

замена winlogon.exe с родного дистриба поможет? или это я косо в реестре поковырялся?

он должен быть таким?

winlogon

нет, см. тут и ещё тема тут

"Userinit"="C:\\WINDOWS\\system32\\userinit.exe," - запятая в конце

winlogon.exe д.б. в %systemroot%\system32\ а не где нибудь в Documents and Settings

если winlogon.exe патченный, попробуйте sfc /scannow - потребуется дистрибутив windows

Ссылка на комментарий
Поделиться на другие сайты

надо применить reg файл

разумеется, появляется сообщение-даные внесены в реестр...никаких видимых эфектов нет.

"Userinit"="C:\\WINDOWS\\system32\\userinit.exe," - запятая в конце

она и в первой рекомендации была вроде.

winlogon.exe д.б. в %systemroot%\system32\ а не где нибудь в Documents and Settings

это был скрин рабочего компа, для примера, дома все через новый куст делал

нет, см. тут

сделаю

Ссылка на комментарий
Поделиться на другие сайты

разумеется, появляется сообщение-даные внесены в реестр...никаких видимых эфектов нет.

это был скрин рабочего компа, для примера, дома все через новый куст делал

по вашему скриншоту видно, что вы не загружали куст )

вот этим

RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Userinit');

вы вероятно удалили

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"

и применение reg файла д.б. помочь

выход пользователя…картинка с выбором пользователя…на все про все 1-2 секунды.

Где вы применяли reg файл, если комп у вас не загружается? Или успели за 1-2 сек? :1eye:

Ссылка на комментарий
Поделиться на другие сайты

по вашему скриншоту видно, что вы не загружали куст )

вот этим

да нет же, этот скрин сделал на работе, что бы спросить..а дома все делал через загрузку куста)

и применение reg файла д.б. помочь

Где вы применяли reg файл, если комп у вас не загружается? Или успели за 1-2 сек? :doh:

фаил создал вчера на рабочем компе..принёс на дискете домой, скопировал на диск С,и применил :no: сообщение о добовлениее в ресстр было вчера)

и это вчера не помогло, яж с работы домой не побегу проверять, начальство не оценит :1eye:

все разумеется под Windows Pe дома происходило)

Ссылка на комментарий
Поделиться на другие сайты

все разумеется под Windows Pe дома происходило)

Загрузившись с WinPE reg файл применяли? И куда по вашему данные с рег файла должны записаться? :1eye:

Надо его применять, загрузившись с диска С, хотя бы в безопасном режиме (если успеете)

Ссылка на комментарий
Поделиться на другие сайты

Загрузившись с WinPE reg файл применяли? И куда по вашему данные с рег файла должны записаться? :)

Надо его применять, загрузившись с диска С, хотя бы в безопасном режиме (если успеете)

ну там идея была такова, в реестр вин ПЕ оно всяк не пропишется, а вдруг Марс по отношению к Венере сегодня в зените, и пропишется куда надо :D

Машину прогрузил в нормальном режиме.

логи

если нужны еще логи, говорите..сделаем ;)

Ссылка на комментарий
Поделиться на другие сайты

lamauser: ну что, поздравляю, похоже вы загрузились с домашнего компа и теперь не занимаетесь самолечением :D

логи сейчас посмотрю

а логи не те, нужны рез-ты след. операций

- Запустите AVZ и обновите базы (Файл - Обновление баз). Выберите из меню Файл -Стандартные скрипты и поставьте галку напротив 3-го скрипта и нажмите "Выполнить отмеченные скрипты". После выполнения скрипта обязательно перезагрузите компьютер.

- Запустите AVZ. Выберите из меню Файл - Стандартные скрипты, поставьте галку напротив 2-го скрипта и нажмите "Выполнить отмеченные скрипты".

- Запустите HijackThis. В появившимся бланке, с пользовательском соглашением, нажмите на кнопку I Accept.. Нажмите на кнопку "Do a system scan and save a logfile". Заархивируйте полученный лог.

- Вложите в сообщение файлы логов (zip файлы из каталога AVZ\LOG и HijackThis), всего должно быть 3 файла: virusinfo_syscure.zip, virusinfo_syscheck.zip, hijackthis.zip

Изменено пользователем Pili
Ссылка на комментарий
Поделиться на другие сайты

lamauser: ну что, поздравляю, похоже вы загрузились с домашнего компа и теперь не занимаетесь самолечением ;)

эм....эт как получится :D

файла: virusinfo_syscure.zip, virusinfo_syscheck.zip, hijackthis.zip

тык

Ссылка на комментарий
Поделиться на другие сайты

lamauser: Вложите в сообщение файлы логов

со slil.ru у меня зависает закачка 187.2KB скачивалось более 3 мин и архив битым в итоге оказался, если сюда не можете, тогда лучше на ifolder

Ссылка на комментарий
Поделиться на другие сайты

тогда лучше на ifolder

http://ifolder.ru/5524591]ifolder[/url]

мдя..косячок со вставкой ссылки, но главное чтоб скачалось)

Ссылка на комментарий
Поделиться на другие сайты

ну вот не зря скрипт лечения выполнили, :D

C:\Documents and Settings\Администратор\admin.exe >>>>> Trojan-Downloader.Win32.Tiny.nj успешно удален

выполните скрипт

beginSearchRootkit(true, true);SetAVZGuardStatus(True);ClearQuarantine;QuarantineFile('C:\TMP\tmp4A.tmp','');QuarantineFile('C:\TMP\tmp6.tmp','');QuarantineFile('C:\WINDOWS\system32\CCRFG.SYS','');QuarantineFile('C:\Temp\catchme.sys','');BC_ImportAll;BC_Activate;RebootWindows(true);end.

Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

Файл quarantine.zip выложить на ifolder.ru или другой файлообменник и дать ссылку на него в ПМ, в теле письма указать ссылку на тему.

удалите всё из C:\TMP\

9. Мастер поиска и устранения проблем

>> Таймаут завершения служб находится за пределами допустимых значений

запустите в AVZ Мастер поиска и устранения проблем, выберите все системные проблемы и исправьте найденные проблемы

Изменено пользователем Pili
Ссылка на комментарий
Поделиться на другие сайты

запустите в AVZ Мастер поиска и устранения проблем, выберите все системные проблемы и исправьте найденные проблемы

я таким образом Таймаут завершения служб раз в неделю исправляю, его постоянно опять сбрасывает, толи веб..толи спайбот...

рекомендации выполню вечером :D

Ссылка на комментарий
Поделиться на другие сайты

выполните скрипт

выполнил

Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт

неа, завис, на Пожалуйста подождите закрытие сетевых подключений, через 5 минут ребутнул принудительно

Файл quarantine.zip выложить на ifolder.ru или другой файлообменник и дать ссылку на него в ПМ, в теле письма указать ссылку на тему.

через минуту будет

удалите всё из C:\TMP\

все не удалось, активно сопротивляются DF2AF2.tmp, DF2BBE.tmp,DF30DE.tmp

запустите в AVZ Мастер поиска и устранения проблем, выберите все системные проблемы и исправьте найденные проблемы

сделано

sptd.sys в карантине не помешал бы.

как его туда запихать?

запихаем :(

Ссылка на комментарий
Поделиться на другие сайты

все не удалось, активно сопротивляются DF2AF2.tmp, DF2BBE.tmp,DF30DE.tmp

в безопасном удалил...

жду результатов по карантину :(

Ссылка на комментарий
Поделиться на другие сайты

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти
  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
×
×
  • Создать...