Windows грузится только до значка учетной записи...

[foranysh]

Всем привет!

Прошу помощи в решении следующей проблемы!

Во время проверки всей системы антивирус Panda Internet Security 2010 отправил в карантин несколько файлов, среди которых, вероятно, были и системные. Теперь комп грузится только до места, где необходимо нажать на иконку учетной записи для загрузки личных параметров и рабочего стола. При ее нажатии появляется надпись "Загрузка личных параметров" и даже на доли секунды сам фон раб. стола, но все тут же заканчивается "сохранением личных параметров", и мы снова видим ту же иконку. Так - по кругу.

Скажите, пожалуйста, как можно восстановить нормальную работу компьютера?

ОС Windows XP Professional

ВАЖНО: установочного диска нет, в безопасном и любых других режимах все повторяется, само восстановление системы на данном компе было отключено, на компе есть только CD-ROM (нет DVD), нет загрузки с USB.

Загружал с Live CD DDD, диск С и файлы на нем видит, в инет вышел просто запустив оперу с Live CD - даже не пришлось ничего настраивать, но запустить ту же панду на диске С (чтобы извлечь все из карантина) не получается.

Заранее благодарен за любую помощь!

[Форматцевт]

foranysh: вам сюда http://www.softboard.ru/index.php?showforum=88

[OGR]

Как устранить неисправность

Воспользуйтесь загрузочным аварийно-восстановительным диском ERD Commander:

– после загрузки драйвера видеокарты в появившемся окне нажмите кнопку Skip Network Configuration;

– в окне Welcome to ERD Commander выберите свою ОС –> OK;

– когда загрузится Рабочий Стол, дважды щелкните значок My Computer;

– в окне ERD Commander Explorer раскройте диск, на котором установлена ОС (как правило, C:\);

– найдите и удалите (если их не удалил антивирус) следующие файлы (как правило, имеют атрибуты Скрытый, Системный, Только чтение):

• файл userinit.exe в папке \WINDOWS\ (Panda Antivirus идентифицирует этого зловреда, как Win32/Autorun.IPX);

• файл system.exe в папке \WINDOWS\System32\ (Panda Antivirus идентифицирует этого зловреда, как Win32/Autorun.IPX);

• папку E_4 в папке \Temp\;

– закройте окно ERD Commander Explorer;

– нажмите Start –> Administrative Tools –> Autoruns;

– в окне ERD Commander Computer Management раскройте (слева) Autoruns (System, <имя_пользователя>, Администратор);

– удалите (если таковые имеются) записи следующих файлов, стартующих вместе с ОС: WINDOWS\userinit.exe; \WINDOWS\system32\system.exe. Для удаления выделяйте их щелчком правой кнопки мыши (в правой части окна), из контекстного меню выбирайте Delete;

– нажмите Start –> Administrative Tools –> RegEdit;

– в окне ERD Commander Registry Editor найдите раздел [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon];

– исправьте значение строкового REG_SZ-параметра Userinit на C:\WINDOWS\system32\userinit.exe, (вирус устанавливает значение этого параметра, C:\WINDOWS\userinit.exe,). Если система установлена на другом диске, то значение параметра Userinit должно быть <буква_диска>:\Windows\system32\userinit.exe,;

– исправьте значение строкового REG_SZ-параметра Shell на Explorer.exe (вирус устанавливает значение этого параметра, например, Explorer.exe,C:\WINDOWS\userinit.exe,);

– найдите раздел [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run], удалите строковые (REG_SZ) параметры Userinit со значением C:\WINDOWS\userinit.exe и System.exe со значением C:\WINDOWS\system32\system.exe;

– закройте окно ERD Commander Registry Editor;

От себя добавлю, на будущее, лучше вычищать вирусы CureIt от DrWeb. Большинство антивирей славится своей способностью удалять нужные системные файлы. Я один раз так два дня систему поднимал после проверки Avast'ом

[drMystic]

От себя добавлю, на будущее, лучше вычищать вирусы CureIt от DrWeb. Большинство антивирей славится своей способностью удалять нужные системные файлы. Я один раз так два дня систему поднимал после проверки Avast'ом

Аналогично...только после Касперского...

[foranysh]

Всем большое спасибо!

Отсутствовал userinit.exe в папке system32.

С помощью Live CD DDD запустил комп и скопировал файл с другой машины. В реестре все нормально.

Спасибо!

[Мартовская кошка]

Аналогично...только после Касперского...

У меня наоборот фигня такая была после Веба. ОН как-то удалили системный файлы и у меня Винда не хотела грузится. Поэтому я больше пользуюсь Каспером. И у него кстати есть утилита Kaspersky Virus Removal Tool 2010, которая совсем не хуже CureIt от DrWeb. :-)

[Форматцевт]

Раз уж так всё хорошо закончилось и проблема решена, то я добавлю, те вставлю свои "пять копеек", по поводу AVP.

Антивирусное ПО должно защищать ядро ОС методом запрета подделки процессов Windows, а не удаление родительских процессов... точнее файлов и служб ОС.

Может я много что хочу, но нормальные AVP так и работают.

PS Если AVP что то удалил, то я думаю на то была причина и стоит более детально проверить копм на наличие вирусов разными сканерами. ИМХО

PPS Троян IRC-Worm.Win32.Fagot.a, его описание

Технические детали

Червь распространяющий себя через IRC. Программа является приложением Windows (PE EXE-файл). Имеет размер 381952 байта. Написана на Delphi.

Инсталляция

Червь копирует свое тело по следующему пути:

C:\Windows\system32\userinit32.exe

C:\Windows\system32\dllhost32.exe

Для автоматического запуска при следующем старте системы червь добавляет запись в ключ автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] "Userinit" = "C:\Windows\system32\userinit32.exe"

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "dllhost32" = "C:\Windows\system32\dllhost32.exe

И тд...

те он копирует себя с разными именами: notepad.exe, userinit.exe, progman.exe, regedit.exe, ntoskrnl.exe и тд.