-
Junior Member
- Вес репутации
- 64
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
userinit.exe попытайся заменить с дистрибутива. Плюс надо проверить ключик
смотреть, загрузившись с LiveCD и подгрузивши удаленный реестр
вот ключ:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Se ssion Manager\SubSystems
У меня:
%SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 64
-
Junior Member
- Вес репутации
- 64
Сообщение от
PavelA
userinit.exe попытайся заменить с дистрибутива. Плюс надо проверить ключик
смотреть, загрузившись с LiveCD и подгрузивши удаленный реестр
вот ключ:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Se ssion Manager\SubSystems
У меня:
%SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16
ключ посмотрел и поправил - как и полагается вместо basesrv там сидело baselan32. Ранее этот файл был случайно переименован в другое название и в последствии убит антивирем. Вопрос следующий - файл userinit подойдет любой неважно какого пака была Ось? Есть небольшие сдвиги - после правки реестра винда перестала перегружатся - но до приглашения пользователя так и не доходит, просто темный экран даже при сейвмоде.
З.ы. случайно сохранился на компе файл virusinfo_files.zip датировкой дня када это все произошло.
Добавлено через 23 минуты
Уважаемые! в ветке HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Se ssion Manager\SubSystems сидело baselan32, такое же падло сидит и в HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Se ssion Manager\SubSystems - его надо править ?
Последний раз редактировалось Владимирович; 22.01.2009 в 19:20.
Причина: Добавлено
-
Да, надо править. Это для другого пользователя.
и еще CurrentControlSet.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 64
ControlSet002 поправил ! а вот CurrentControlSet не могу найти такую ветку. Захожу значит так: работая под новой Ос подгружаю ветку с каталогом старой винды у меня C:\WINDOWS\system32\config добавляю system без расширения . У меня только показывает ControlSet001 и ControlSet002 + 6 каталогов . Возможно либо я что-то не так делаю либо такой ветки как CurrentControlSet у меня не присутствует.
Хотя на новой Оси она имеется. Спасибо , буду ждать ваших советов с нетерпением . Реестр забавная штуковина ...
-
basesrv.dll тоже лучше заменить из хорошей винды.
про вот это я ошибся - CurrentControlSet.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 64
basesrv.dll ну и на всяк случай userinit.exe тоже заменил из чистой винды. Ничего не помогает , так и не приглашает до ввода пользователя - сначала идет окно загрузки винды, опрос клавиатуры а потом темный экран ..... Видать чета еще снеслось с системный файлов в ходе корявого удаления кривыми ручками! Все таки жду советов Великих Докторов . Может помогут логи сканирования AVZ того злонесчастного дня ? правда вес у них 1,15 Мб .Спасибо!
-
Если это действительно логи, присылай.
Имя файлов у них какое? по размеру больно на карантин похоже
virusinfo_cure.zip грузить по верхней ссылке http://virusinfo.info/upload_virus.php?tid=37749
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 64
Название virusinfo_files название компа.zip, внутри папка с названием даты , а в той папке файлы с названием avz00001.ini и avz00001.dta только конечные цыфиры меняются. Это оно или нет ? Если да - то присылать ?
-
Это карантин. Загружай через ссылку.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 64
Загрузил карантин ! Правда не понял как на тот зип ставить пароль virus Надеемся что хоть это поможет ...
-
Из интересного в карантине только baselan32.dll
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 64
PavelA большое человеческое спасибо ! Так как ПК уже работает и нужные файлы со старой Ос у меня уже имеются - будем считать тему закрытой ! Думаю если бы я не поспешил с удалением своими корявыми рученками и вовремя к вам обратился то результат был бы совсем другой Осталось снести старую Ось ...
З.ы. зато теперь хоть буду знать что такое реестр .
Спасибо сайту !
-
AVZ 4.30 лечит эту гадость правильно, так что м.б. там старая версия была или базы не обновлены.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 11
- В ходе лечения обнаружены вредоносные программы:
- c:\\system volume information\\_restore{f6e941a4-1b6f-4c4f-ba4b-334a3dbc4a59}\\rp440\\a0050791.dll - Trojan.Win32.SubSys.ce (DrWEB: Trojan.Okuks.based)
- c:\\windows\\system32\\baselan32.dll - Trojan.Win32.SubSys.ce
-