Вирус system.exe не дает войти в систему под WinXP
Ситуация такая же как и тут: http://virusinfo.info/showthread.php?t=40726
А именно, при входе в виндовс (без разницы безопасный режим или обычный) появляется окно привествтия винды где надо выбрать учетную запись. Там нарисована моя учетка и учетка под именем "администратор", скорее всего тоже моя - админские права. Обе заблочены вирусом. При клике на них, начинает вроде входить "загрузка личных параметров", и тут же на долю секунды мелькает рабочий стол, и опять это же окно, под названием учетной записи пишется "сохранение параметров" и снова та же картина. В систему не представляется возможным войти. Данная ситуация наблюдается как в обычном, так и в БЕЗОПАСНОМ режиме. Подскажите что делать... перебить не предлагать там много нужной инфы прописанной в реестре которую я потом не переустановлю..
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Нет, можно подробнее как его пробовать? Что именно нужно сделать? Насколько я понимаю для того чтобы предоставить логи и начать лечиться мне надо сначала войти в систему с обычной учетной записью в обычном режиме. Как ЛайфСД от ДрВеб сможет мне в этом помочь?
Проверил из под livecd. Вирусов не нашел.
Файл userinit.exe нашел и удалил из под висты х64, стоящей на этом же компьютере основной ОС.
Как ходить по компу с помощью проги midnight commander из лайфсд не дорубил - в ней не работают стандартные кнопки alt+F1, alt+F2 для переключения между дисками как в нортон коммандер и фар для доса и винды.
После удаления файла ничего не поменялось, рабочий стол попрежнему не загружается, в систему не пускает.
С последующей перезагрузкой (сначала в винХП, потом в винВиста) файл userinit.exe не восстановлся.
В том же директории есть ещё файл user.exe, может его тоже надо делетнуть?
Последний раз редактировалось ArFeRR; 04.03.2009 в 18:36.
userinit.exe - системный файл ... ! его наоборот нельзя удалять ... верните его на место ...
с правкой реестра вам видимо самостоятельно не справиться ...
Если он там есть, то что с ним [userinit.exe] делать то?
Ответил:
Удалить
Посты №5,6 этой же темы. Кому верить?
Как я могу провести правку реестра когда не могу зайти даже в систему? Для того чтобы сделать логи, получить доступ к реестру, к автозагрузке ко всему прочему мне надо сначала войти в систему...
видимо он ни это имел ввиду ... войти в реестр можно и с LiveCD , загрузив нужный куст...
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/Current Version/Winlogon
и проверить значение параметра Userinit... должно быть C:\WINDOWS\system32\userinit.exe,
можно подробнее как с лайфсд зайти в реестр, просто он на лине основан а я его не юзал ниразу, + англ язык.. Реестр если войду в него то найду 100% тот параметр, в нем малех разбираюсь
Способ реестр править нашел, поюзал зверСД реаниматор. Параметр юзеринит был пустой. 1.JPGНазначил ему значение C:\WINDOWS\system32\userinit.exe Попутно проверил системный раздел - вирусов нет.
Сам файл userinit.exe, я как вы помните делетнул, т.е. указал ему несуществующий путь. Поидее винда должна была бы загнуться, не загрузиться либо бы не запустилась та самая страница логина - но пофиг! Независимо от параметра при последующей загрузке уже непосредственно в зараженную ось ничего не изменилось, в систему попрежнему не пускает.
Дайте плиз живой рабочий userinit.exe, я его закину обратно откуда удалял может поможет, хотя имхо врядли
В систему пустило после того как окончательно отредактировал реестр, скопировал юзеринит.ехе в общем норм. В систему зашло, сначала год был нормальный, потом буквально через минуту опять меняется год на 2070. Ошибки system.exe нет, нод начинает находить кучу троянов в C:\windows\tmp
Нод отключен, сделаны наконец логи.
Кстати сразу же с изменением даты меняется и ключ реестра userinit (обнуляется), поэтому перед каждым входом в систему приходится грузиться с лайфсд и править реестр, помогите плиз
В Hijackthis не нашел данных строчег, их там нет...
AVZ скрипт выполнен. Карантин прикрепил, (папки Quarantine, Infected) -честно хз какую из них надо поэтому прикрепил обе +)
В С:\Documents and Settings\ArFeRR\Local Settings\temp дофига каких то sys файлов, нод постоянно находит там трояны и удаляет их.
Дата вроде бы не меняется на 2070, ошибок систем.ехе тоже вроде нет. Только этих троянов полно.
Виндовз стоит СП3. Ставился с оригинального диска ВинХП сп2, потом докачал сп3 с винапдейта.
Логи сделал.
Результат загрузки
Файл сохранён как 090307_142139_virus_49b258c36538b.zip
Размер файла 1775865
MD5 a26ae30355fdb04f90daba55eeffe0d6
Файл закачан, спасибо!
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: