Показано с 1 по 14 из 14.

Начинает загружаться учетная запись и сразу завершение сеанса работы пользователя (заявка № 109272)

  1. #1
    Junior Member Репутация
    Регистрация
    02.02.2009
    Сообщений
    37
    Вес репутации
    29

    Thumbs up Начинает загружаться учетная запись и сразу завершение сеанса работы пользователя

    Пользователь словил блокиратор (типа перевести 300р на номер МТС). после чего по его словам был снят жесткий диск подключен к другой машине и про сканирован - AVPTool, по его словам найдено 3 вируса какие он не запомнил логов нет. Сам сканировал по сети Касперским Wofkstation 6 с последними обновлениями (ни чего не найдено) На данный момент ком разблокирован, но ни одна учетная запись (ни локальная ни доменная) не загружается сразу после применения личных параметров происходит завершение сеанса. Комп является шлюзовым, идет раздача интернета на весь офис + vpn, данные службы работают нормально поэтому отключение на длительное время не желательно. Имею доступ к командной строке зараженной машины через радмин, так же доступ ко всем жестким дискам и удаленному реестру через AD. Есть файл ревизова avz от 26.01.2011 с того момента думаю ни чего нужного для работы на комп не устанавливалось. Можно ли запустить avz на удаленной машине.
    Последний раз редактировалось kav76; 21.09.2011 в 09:59.

  2. Реклама
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,268
    Вес репутации
    325
    Уважаемый(ая) kav76, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Проверьте наличие файла
    \Windows\system32\userinit.exe.
    Восстановите его из дистрибутива или скопируйте из здоровой системы той же версии.
    I am not young enough to know everything...

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    397
    Плюс проверьте запись в реестре: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
    параметр
    userinit
    значение параметра C:\Windows\System32\userinit.exe, (запятая в конце)

  6. #5
    Junior Member Репутация
    Регистрация
    02.02.2009
    Сообщений
    37
    Вес репутации
    29
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
    shell Explorer.exe
    userinit C:\Windows\System32\userinit.exe,
    userinit.exe, Explorer.exe, taskmgr.exe на всякий случай взял со здоровой машины, хотя по дате, размеру и описанию на зараженной были тоже чистые

  7. #6
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Проверьте ветку реестра
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
    Если там есть ключ (подраздел) userinit.exe, удалите его полностью.
    I am not young enough to know everything...

  8. Bratez получил(а) благодарность за это сообщение от


  9. #7
    Junior Member Репутация
    Регистрация
    02.02.2009
    Сообщений
    37
    Вес репутации
    29
    подраздел userinit.exe имеется Debugger = C:\WINDOWS\temp\as.exe, по хоже это он и есть, только файла уже этого нет. Удалил подраздел, учетка загрузилась, выкинула окно с ошибкой

    файл или каталог C:\Documents and Settings\lu-lu\Application Data\Microsoft\Internet Explorer\Recovery\Active поврежден или не может быть прочитан. Запустите служебную программу CHKDSK

  10. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    397
    Выполните следующее:
    1. кнопка Пуск - Выполнить ввести cmd нажать Enter;
    2. ввести chkdsk c: /f /r нажать Enter. Выскочит сообщение вида:"Невозможно выполнить команду chkdsk ......"
    Нажмите клавишу Y;
    3. введите exit затем нажать Enter;
    4. перезагрузите ПК, во время перезагрузки будет выполнена проверка и исправление ошибок.

  11. #9
    Junior Member Репутация
    Регистрация
    02.02.2009
    Сообщений
    37
    Вес репутации
    29
    просканировал систему, посмотрите пожалйуста логи на наличие остатков от заражения
    Вложения Вложения

  12. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    397
    Отключите восстановление системы!

    Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\temp\as.exe','');
     DeleteFile('C:\WINDOWS\temp\as.exe');
     RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','s5ch0st');
     RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','s5ch0st');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
    Сделайте новый лог virusinfo_syscheck.zip

  13. Шапельский Александр получил(а) благодарность за это сообщение от


  14. #11
    Junior Member Репутация
    Регистрация
    02.02.2009
    Сообщений
    37
    Вес репутации
    29
    новый лог, карантин отправил
    Вложения Вложения

  15. #12

  16. #13
    Junior Member Репутация
    Регистрация
    02.02.2009
    Сообщений
    37
    Вес репутации
    29
    Да проблема решена, огромное спасибо

  17. #14
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,506
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 1
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\temp\\as.exe - Trojan-Ransom.Win32.PornoBlocker.acff ( DrWEB: Trojan.Winlock.4128, BitDefender: Trojan.Generic.KDV.361827, AVAST4: Win32:Rootkit-gen [Rtk] )


  • Уважаемый(ая) kav76, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. завершение сеанса после вымогателя
      От KRUCH в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 19.09.2011, 23:53
    2. Завершение сеанса после смс-вымогателя
      От Duplex в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 30.01.2010, 16:19
    3. Ограниченная учетная запись пользователя
      От denis920 в разделе Microsoft Windows
      Ответов: 52
      Последнее сообщение: 05.05.2009, 18:22
    4. Ответов: 1
      Последнее сообщение: 06.12.2008, 00:13
    5. Завершение сеанса сразу после входа
      От GratefullDead в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 08.06.2008, 18:00

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00127 seconds with 23 queries