Перейти к содержанию
СофтФорум - всё о компьютерах и не только

Блокирущий загрузку вирус

Yezhishe
 Поделиться

Рекомендуемые сообщения

Yezhishe

Yezhishe

Опубликовано
Опубликовано

Сегодня столкнулся - и не смог не восхититься мастерством вирусописателя... Блокирует вход пользователя в систему. Вообще! То бишь - даже ещё до появления надписи "Приветствие". Мало того - даже в Безопасном режиме, при попытке залогиниться под Суперадмином - результат тот же. (фотография скрина)

К сожалению, поскольку меня туда вызвали с полпути - не было с собою ничео загрузочного, увы... Так что окажусь там только поутру. Но, может быть, у кого-то подобное встречалось?

DSC_0002.JPG

post-10654-1240327502_thumb.jpg

Ссылка на комментарий
Поделиться на другие сайты
Russsl

Russsl

Опубликовано
Опубликовано

Сегодня столкнулся - и не смог не восхититься мастерством вирусописателя... Блокирует вход пользователя в систему. Вообще! То бишь - даже ещё до появления надписи "Приветствие". Мало того - даже в Безопасном режиме, при попытке залогиниться под Суперадмином - результат тот же. (фотография скрина)

К сожалению, поскольку меня туда вызвали с полпути - не было с собою ничео загрузочного, увы... Так что окажусь там только поутру. Но, может быть, у кого-то подобное встречалось?

У меня токая-же проблема один в один, ЧТО ДЕЛАТЬ ????????

Ссылка на комментарий
Поделиться на другие сайты
Maikll

Maikll

Опубликовано
Опубликовано

Russsl: Читать по ссылке DJFlint-а выше, делать аналогично. После того, как удастся войти в систему, готовить логи по правилам

Пару дней назад обращался один знакомый по телефону с такой проблемой. Он ухитрился в итоге войти в систему, откатив в биосе дату на пару недель назад, после чего уже вылавливал дрянь cureit-ом и avz.

Возможно, этот зловред активируется по дате :g:

Ссылка на комментарий
Поделиться на другие сайты
Yezhishe

Yezhishe

Опубликовано
  • Автор
Опубликовано (изменено)

Да, я не единожды видел эту тему... Но - там нигде не упомянуто, что сия гадость срабатывает до входа в систему, в том числе и под логином Суперадмина. Потому и создал новую...

В любом случае - завтра я в том офисе окажусь и мерзотину прибью, но было бы любопытно и полезно сначала ознакомиться с возможным опытом борьбы с этим конкретным явлением.

Изменено пользователем Yezhishe
Ссылка на комментарий
Поделиться на другие сайты
ser208

ser208

Опубликовано
Опубликовано (изменено)

Поможет LiveCd.

Лучше ERD Commander или любой другой, откуда можно подгрузить реестр. (или соседняя винда).

Находишь ключ

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

И значение должно быть только таким. Лишнее удаляем.

"Userinit"="C:\\WINDOWS\\system32\\userinit.exe"

Изменено пользователем ser208
Ссылка на комментарий
Поделиться на другие сайты
Maikll

Maikll

Опубликовано
Опубликовано

тогда уж и я добавлю

проверить в том разделе еще надо и ключ Shell = "Explorer.exe" и System = " " там тоже могут быть записи зловреда.

Ссылка на комментарий
Поделиться на другие сайты
ser208

ser208

Опубликовано
Опубликовано

тогда уж и я добавлю

проверить в том разделе еще надо и ключ Shell = "Explorer.exe" и System = " " там тоже могут быть записи зловреда.

Userinit только чтобы загрузиться. А лечиться само собой уже в винде.

Ссылка на комментарий
Поделиться на другие сайты
Maikll

Maikll

Опубликовано
Опубликовано

Userinit только чтобы загрузиться. А лечиться само собой уже в винде.

Т.е. ты хочешь сказать, что наличие записей зловредов в этих пунктах не помешает загрузке?

Вообще-то я считал, что они все одинаково важны для правильной загрузке ОС. :g:

# «Userinit» — определяет список программ, запускаемых процессом WinLogon в контексте пользователя, при его регистрации в системе. По умолчанию это «USERINIT.EXE, NDDEAGNT.EXE» для Windows NT и «USERINIT.EXE» для Windows 2000/XP.

# «Shell» — задаёт оболочку (вернее — список программ, формирующих пользовательский интерфейс) Windows (по умолчанию — «TASKMAN, PROGMAN, WOWEXEC» для Windows NT и «EXPLORER.EXE» для Windows 2000, XP).

# «System» — определяет список программ, запускаемых процессом WinLogon в контексте системы во время её инициализации. По умолчанию — «LSASS.EXE, SPOOLSS.EXE» для Windows NT, и пустая строка либо «LSASS.EXE» для Windows 2000/XP.

Old men, спасибо за интересную ссылочку, чувствую, пригодится :)

Ссылка на комментарий
Поделиться на другие сайты
Yezhishe

Yezhishe

Опубликовано
  • Автор
Опубликовано (изменено)

Докладаю...

На текущий момент было опробовано:

1 Смена времени в BIOS - не помогло

2 Поход на сайт drWeb - предложеный код был принят(четыре попытки), но даже Рабочий стол не загружался.

Пока пробуется ERD Commander

continued

В общем и целом, благо ни фига ценного на системном диске не было - Acronis True Image вернул всё что надо "взад", и проблема на том завершилась.

Очередной раз подтвердилась истина - резервное копирование избавляет от медицинских проблем. То бишь геморроя...

Изменено пользователем Yezhishe
Ссылка на комментарий
Поделиться на другие сайты
Maikll

Maikll

Опубликовано
Опубликовано

Вот как чувствовал...

Сегодня столкнулся, аж два таких заболевших сразу. Оба удалось разблокировать с помощью сервиса drweb, дальше уже лечил без проблем. Old men: громадное спасибо.

Ссылка на комментарий
Поделиться на другие сайты
Old men

Old men

Опубликовано
Опубликовано

Ну и хорошо, что помогло:blushing:. Когда есть откуда в сеть выйти, лучше через Dr.Web снять блок. А когда нет рядом другого компа, то через БИОС сдвигать время (этот способ тоже проверен, работает)

Ссылка на комментарий
Поделиться на другие сайты

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти
 Поделиться
Перейти к списку тем

  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
×
×
  • Создать...