После кряка не загружается комп ошибка Logon

**Das Boot** · 17.11.2007, 22:11

Здраствуйте. Мне принесли компьютер который не грузит Windows.
Загрузка в нормальном режиме доходит до учетных записей потом компьютер перезагружается, при отключении перезагрузки в случае ошибок появляется следующий текст "STOP: c000021a {Fatal System Error} The windows Logon Process system process terminanted unexpectedly with a status of 0xc0000005 (0x00000000 0x00000000). The system has been hut down. Думал что проблема в winlogon и иже с ними, пробовал перенос с дистрибутивов файлов, консоль востановления, востановление системы, ремонт системы. Все проверено на вирусы наличие не установлено. После распросов когда это произошло, человек рассказал что перед этим устанавливал программы и использовал кряк. Кряк вроде без вирусов но когда я чуть просмотрел что в нем есть то нашел строчки " ny ti i lowara!". Похоже на то что он что то творит с библиотеками Windows. Очень прошу помочь т.к. мыслей по востановлению нет, систему переустановить возможности нет (есть программы которые переустановить невозможно). Возможно его можно разобрать и посмотреть что он творит, с заменой соответствующих файлов. Файл прилагается в rar.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**rubin** · 17.11.2007, 22:18

Удалите файл из сообщения и пошлите его по ссылке "Прислать запрошенные файлы" в верху темы. Не хотите же Вы, чтобы и другие пострадали?

**Макcим** · 17.11.2007, 23:17

Удалите в папке %WINDIR% файла windows.txt и выполните правила оформления запроса.

**rubin** · 17.11.2007, 23:17

3dSV-E_crack.exe_ - not-virus:BadJoke.Win32.Delf.au - будет добавлено в детект со следующим обновлением.

**AndreyKa** · 18.11.2007, 00:28

Эта программка портит системный ключ
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\Shell
Переустановите Windows в режиме восстановления, если не знаете как восстановить ключ.

**Das Boot** · 18.11.2007, 16:00

Создал в ключе реестра HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\ параметр Shell=Explorer.exe не помогло, компьютер продолжает выдавать ошибку. С диска с Win XP делал repair system, результат тот же. Сделал все логи. Подозреваю что эта программа портит что то еще возможно в библиотеках. Самому разобрать программу и посмотреть что она делает, нет возможности. Прошу помочь сроки поджимают. Спасибо.

**Bratez** · 18.11.2007, 16:11

Пофиксите в HijackThis:

Код:

O16 - DPF: {33331111-1111-1111-1111-611111193423} - 
O16 - DPF: {33331111-1111-1111-1111-611111193429} - 
O16 - DPF: {33331111-1111-1111-1111-615111193427} - 
O16 - DPF: {CT id=e codeBase=http://www.www2.p0rt2.com/files/epl56bf2.cab classid=clsid:33331111-1111-1111-1111-615111193427} -

Деинсталлируйте ConnectionServices - это adware.
Более ничего вредоносного не просматривается.

Я бы рекомендовал переустановку Windows в режиме Обновления/Восстановления.

**AndreyKa** · 18.11.2007, 16:21

А какую ошибку выдает, все ту же?
Станно что нет файла iedkcs32.dll в папке C:\WINDOWS\system32
Перепишите его туда с другого компьютера.

**Das Boot** · 18.11.2007, 16:47

Ошибка все та же один в один. Файл iedkcs32.dll на диске есть. Эта программа толи что то делает с реестром толи дописывает, повреждает библиотеки. Посмотреть бы что внутри нее. Переустановить систему нет возможности, много софта который невозможно переустановить. Возможно есть какие то решения проблемы. Спасибо.

**Bratez** · 18.11.2007, 16:54

много софта который невозможно переустановить

Речь ведь идет о режиме Восстановления, а не о полной переустановке.
Как вариант, можно попробовать команду sfc /scannow, это более безопасно, а делает почти то же самое.

**Das Boot** · 18.11.2007, 17:06

Пробовал команду /sfc ранее под безопасным режимом на поврежденной системе комманда не работает, пишет что то вроде нвозможно загрузить RPC сервер (точно не помню), служба RPC запущена. Я использовал repair system с установочного диска Win XP. adware удален. Возможно что то не то с реестром или записан какой то новый драйвер или библиотека, так как сист. файлы вроде бы заменены. С установочного диска Win XP утилита repair system заменяет ли системный файлы, библиотеки, драйвера?

**Bratez** · 18.11.2007, 17:15

Сделайте такой лог:
http://virusinfo.info/showthread.php?t=10387
может что-то еще увидим.

**Das Boot** · 18.11.2007, 17:39

Вот логи исследования системы. А есть ли возможность разобрать программу на каком нибудь языке? Спасибо.

**Bratez** · 18.11.2007, 17:53

Выполните скрипт в AVZ:

Код:

begin
ClearQuarantine;
 QuarantineFile('C:\WINDOWS\system32\drivers\Oreans.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\SysCFG.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\oreans32.sys','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.

Пришлите карантин соглансно приложению 3 правил.

**Das Boot** · 19.11.2007, 02:49

Файлы из карантина закачаны. Драйвер SysCFG.sys отсутствует в системе.

Добавлено через 8 часов 34 минуты

Есть ли какая нибудь программа для отслеживания того что делает вредоносное ПО с системой и реестром?

**V_Bond** · 19.11.2007, 09:25

Oreans.sys и oreans32.sys -чистые

**Das Boot** · 20.11.2007, 16:22

Всем спасибо. Проблема решена, logon ругался на один из драйверов. Стоит ли его высылать вам для анализа, и куда?

**V_Bond** · 20.11.2007, 16:26

пришлите на всякий случай ...

**Das Boot** · 20.11.2007, 17:51

Проблема в библиотеке Крипт ПРО CProCtrl.sys. Куда именно его выслать помещать ли в карантин? Как видно с такой проблемой уже сталкивались, даже на форуме офф. сайта программы есть такие темы. Что интересно библиотека должна находиться вроде как в %Program dir%\Crypto Pro\CSP\CProCtrl.sys а находилась она %win dir%\system\drivers\CProCtrl.sys. Интересно чем это может быть вызвано, действием вредоносной программы?