не логинится после лечения

[wolya]

лечил нодом 32 v.2..
комп под ХР (в домене).
нашло какую то хрень(не обратьил внимания что именно, но точно помню что червь).
зараза лечению не поддалась и говорила что надо удалять.
просила грохать файл. по моему с именем userinitблаблабла.
поставил галку скопировать в карантин и удалил.
попросило перезагрузку.
перезагрузился.
при вводе логина и пароля - пытается загрузиться, потом окно (смотри вложение) нажимаю ок и попадаю опять на ввод логина и пароля.
т.е. загрузиться не получается.
пробовал зайти через remote desktop (до лечения я мог это делать) - выдаёт другое окно(смотри вложение №2)
в безопасном режиме - ввожу пароль локального админа - пітается грузиться и опять окно с логином-паролем.

выручайте.

ещё информации.
этот комп - прокси. на нём стоит Kerio Winroute.
несмотря на невозможность загрузки комп раздаёт интернет, пингуется и можно зайти на его диски. могу зайти в папку нода.
как логи нода посмотреть по сети?
может точно тогда узнаю что грохнуло и попробую грохнутое вернуть.

[Rene-gad]

просила грохать файл. по моему с именем userinitблаблабла.

Если Вы userinit.exe удалили, то все ясно. Диск вставить в другой комп, просканить АВПтулом (ссылка в подписи) , userinit.exe скопировать с другой такой же системы, диск вставить обратно, сделать логи по правилам.
Альтернативно: Загрузиться с диструбутива в консоли восстановления - при загрузке давить не клавишу R, файл userinit.exe скопировать из ../windows/servicerackfiles/i386 в ../windows/system32...

[wolya]

преписал userinit.exe с такой же системы в windows/system32

ввожу пароль. пытается логиниться, потом пишет "сохранение параметров" и опять экран "нажмите Ctrl+Alt+Del".
(всё происходит очень быстро и без окон сообщений).

PS: очень хочу посмотреть лог лечения нода на той машине.
тогда бы точно знал что я удалял.
но не заню как и где найти этот лог лечения. доступ к диску и папке нода есть.

[Rene-gad]

доступ к диску и папке нода есть.

А мануал к НоДу читали?

[wolya]

получилось прочитать лог лечения. вот он:

Код:

Scan performed at: 06.08.2008 9:50:56
Лог сканирования
Версия NOD32 3331 (20080806) NT
Командная строка: d:\windows\userinit.exe D:\WINDOWS\system32\system.exe
Operating memory - probably a variant of Win32/AutoRun.PD worm

Дата: 6.8.2008  Время: 09:52:54
Проверены диски, папки и файлы: d:\windows\userinit.exe; D:\WINDOWS\system32\system.exe
d:\windows\userinit.exe - probably a variant of Win32/AutoRun.PD worm - quarantined - deleted (after the next restart) [2]
D:\WINDOWS\system32\system.exe - probably a variant of Win32/AutoRun.PD worm - quarantined - deleted (after the next restart) [2]
Количество проверенных файлов: 2
Количество найденных вирусов: 2
Количество очищенных файлов: 2
Время завершения: 09:53:09 Общее время сканирования: 15 сек (00:00:15)

Примечания:
[2] Файл используется (открыт или выполняется). Требуется перезапуск системы для завершения очистки.

после этого перезапуска - запускается, но перестал логиниться.



переписал userinit.exe с такой же системы в
windows/system32
не логинится.

странно, но в удалённый реестр я могу залезть.(надо будет потом отрубить.)
подскажите где чего смотреть в реестре?

[Гриша]

загрузите реестр больной системы и проверьте ключи ...
1

Код:

HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/Current Version/Winlogon

значение параметра Userinit должно быть

Код:

C:\WINDOWS\system32\userinit.exe,

2

Код:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\Session Manager\SubSystems]

должно быть так ....

Код:

"Windows"="%SystemRoot%\\system32\\csrss.exe ObjectDirectory=\\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16"

[wolya]

спасибо камрады.
как вы и говорили, дело было в userinit.exe и services.msc