Показано с 1 по 5 из 5.

Заблокирована Windows (заявка № 49509)

  1. #1
    Junior Member Репутация
    Регистрация
    18.05.2008
    Сообщений
    4
    Вес репутации
    32

    Exclamation Заблокирована Windows

    Добрый вечер.
    Проблема как у AlexeyK, тема Вчера вирус заблокировал windows.

    Цитата Сообщение от AlexeyK
    Сегодня не удалось войти в систему. Пишет "загрузка параметров пользователя", а потом сразу "сохранение параметров" выход.
    Сначала тоже выдавало окно с просьбой отправить СМС. Загрузился с iNFR@ CD. В корне диска C нашел левый (уверен в том, что он левый, т.к. отслеживаю регулярно наличие гадости в скрытых и системных файлах в корне системного диска) файл, название состояло из 3-х букв, дословно не помню, расширение .bat. Снес его и с этого момента при загрузке ситуация, описанная в цитате.

    Сканы сделаны тоже с инфры.
    Вложения Вложения

  2. Реклама
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    585
    Сканы сделаны тоже с инфры.
    Следовательно и логи сняты с инфры, а не вашей системы.

    Загрузитесь с LiveCD , подключите реестр через загрузку куста,
    1. Запустите regedit и выделите раздел HKEY_USERS.
    2. Выберите в меню программы File - Load Hive (Файл - Загрузить куст) и перейдите к папке, где находится реестр вашей Windows (обычно C:\Windows\System32\Config).
    3. Выделите файл SOFTWARE без расширения и нажмите Open (Открыть).
    4. Введите имя для раздела, который вы загрузили, например, MyHive.
    Теперь, если к примеру вам нужен параметр
    HKLM\SoftWare\Microsoft\Windows NT\Winlogon\Userinit -
    это будет:
    HKEY_USERS\MyHive\Microsoft\Windows NT\Winlogon\Userinit
    закончив редактирование, раздел обязательно нужно выгрузить. Для этого выделите ветку MyHive и выберите в меню программы File - Unload Hive (Файл - Выгрузить куст).
    проверьте параметр Userinit, д.б.
    Код:
    "Userinit"="C:\WINDOWS\system32\userinit.exe,
    с запятой на конце.

    Так же проверьте наличие файла
    Код:
    C:\WINDOWS\system32\userinit.exe
    в вашей системе. Если его нет, то копируйте его из дистрибутива, либо с любой другой аналогичной системы.
    Если всё получится, то делайте логи по правилам.
    Если нет, то сообщите.
    Последний раз редактировалось light59; 08.07.2009 в 09:29. Причина: очепятка...

  4. #3
    Junior Member Репутация
    Регистрация
    18.05.2008
    Сообщений
    4
    Вес репутации
    32
    light59, спасибо, был косяк в параметре Userinit.
    Теперь пускает в систему.

    C:\WINDOWS\system32\userinit.exeна месте.
    Логи вставлю в это сообщение, отредактировав его потом.

    UPD
    Логи нормальные, только по поводу
    Код:
    spka.sys
    не знаю.
    Вложения Вложения
    Последний раз редактировалось GRAF; 08.07.2009 в 01:35.

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    585
    Логи нормальные, только по поводу spka.sys
    sp**.sys - это эмулятор дисков.

    В AVZ -> файл-> Выполнить скрипт

    Код:
    begin
     ClearQuarantine;
    SearchRootkit(true, true);
     BC_DeleteSvc('getPlus(R) Helper');
     QuarantineFile('C:\Program Files\teXet\DelDrv.exe','');
     QuarantineFile('getPlus(R) Helper.sys','');
     QuarantineFile('C:\WINDOWS\system32\dsnpstd2.dll','');
    BC_ImportquarantineList;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно правил по ссылке http://virusinfo.info/upload_virus.php?tid=49509

  6. #5
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,506
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 6
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\program files\texet\deldrv.exe - not-a-virus:RiskTool.Win32.Deleter.e


  • Уважаемый(ая) GRAF, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Windows заблокирована
      От salievan в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 03.08.2011, 11:18
    2. Заблокирована windows
      От distinctor в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 12.06.2011, 18:00
    3. Windows заблокирована!
      От Dariy в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 23.01.2011, 14:56
    4. Windows заблокирована
      От MIKSER в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 15.09.2009, 10:24
    5. Windows заблокирована
      От Brinken в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 19.08.2009, 01:24

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00441 seconds with 21 queries