PDA

Просмотр полной версии : Как можно внести данные в реестр перед загрузкой пользователя?



mangoose
03.07.2008, 22:11
В процессе лечения повредил файл реестра. есть копия этого файла с расширенеим reg. Как можно внести из него данные в реест. Пользователь в систему попасть не может, процесс доходит до выбора пользователя а дальше невозможно войти в систему.

Добавлено через 2 часа 21 минуту

Утилита есть какая нить котора может читать файлы реестра?

borka
03.07.2008, 22:22
процесс доходит до выбора пользователя а дальше невозможно войти в систему.
По какой причине невозможно?

Karlson
03.07.2008, 22:56
скорее всего по той, что там был ntos и надо обновлять юзеринит.. ;)

2 mangoose: у вас после выбора пользователя проскакивает окошко "сохранение параметров" и опять выходит на выбор пользователя?

mangoose
03.07.2008, 23:01
Да, именно так Karlson. Есть возможность, что то сделать? Там бухгалтерия вся

Karlson
03.07.2008, 23:23
УРА!!! Я ясновидящий!!! :)

вкратце - нужно загрузиться с установочного диска в консоль восстановления и скопировать чистый userinit.exe в систему командой EXPAND.

после этого идите в раздел помогите, там вам все сделают и бухгалтерия останется цела.. нтос по одному не ходит, там наверняка штук 5 тараканов было..

mangoose
04.07.2008, 00:05
Дело в том что я его скорировал с другог диска но войти все равно не удается

Добавлено через 50 секунд

Установочный мне не предлагает консоль восстановления

Добавлено через 31 минуту

Будет ли толк если с другог компьютера через коммандную строку выполнить такое действие?

Karlson
04.07.2008, 00:12
Установочный мне не предлагает консоль восстановления
дословно не помню, там что то вроде:
для установки Windows нажмите ентер
для загрузки консоли нажмите R


Будет ли толк если с другог компьютера через коммандную строку выполнить такое действие?

подключившись по сети к больному? или подключив больной диск к другому компу?
к сожалению я еще не настолько силен в борьбе с тараканами, что бы дать ответ на последний вопрос.. :) лучше подождать старших товарищей..

pig
04.07.2008, 03:14
подключившись по сети к больному? или подключив больной диск к другому компу?
IMHO, можно и так, и этак.

Virtual
04.07.2008, 06:45
по сети:
regedit, меню файл, подключить сетевой реестр.
править ручками а не с помощью .reg файла

подключив винт на другой комп (ну или загрузившись с CD windowsPE и ему подобных):
regedit, ткнуть мышом в раздел HKLM или HKU, меню файл, загрузить куст..., выбрать файл:
.вашдиск_пострадавший:\windows\system32\config\sof tware. (для правки HKLM\software)
.вашдиск_пострадавший:\windows\system32\config\sys tem. (для правки HKLM\system)
.вашдиск_пострадавший:\Documents and Settings\пользователь\NTUSER.DAT (для правки для правки профиля пользователя)
/не забываем что файлы скрытые системные, так что включить просмотр таких файлов/
Имя раздела: вводите любое имя напр (razdelizveSOFTVARE)

все далее правите РУЧКАМИ razdelizveSOFTVARE
как закончили
кликаем по
razdelizveSOFTVARE
и меню, файл, выгрузить куст (ЭТО ВАЖНО, для сохранения ваших изменений)

все удачи

borka
04.07.2008, 16:52
Дело в том что я его скорировал с другог диска но войти все равно не удается
А какой reg-файл Вы собираетесь вносить в реестр.

rulewoy
03.10.2008, 18:55
скорее всего по той, что там был ntos и надо обновлять юзеринит.. ;)

2 mangoose: у вас после выбора пользователя проскакивает окошко "сохранение параметров" и опять выходит на выбор пользователя?
Помогите плиз! У меня аналогичная ситуатция. WindowsXPsp3. При включении компьютера проходит успешный вход в систему. Но если сделать "выход из системы" и попытаться зайти вновь, либо другим пользователем, также проскакивает окошко "сохранение параметров" и вновь выводит в окно регистрации.
Пробовал грузиться с загрузочного диска и подменял файл "userinit.exe" командой "expand". Результата не получил.

severny
03.10.2008, 20:07
Можно попробовать так. Распаковать userinit.exe не в system32, где он должен быть, а в папку windows, где обычно селится вирус под именем userinit.exe.
Загрузка пройдет обычно. После загрузки зайти в реестр и, проверив наличие нормального userinit.exe в папке system32, редактировать запись в реестре на правильную.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\WINDOWS\system32\userinit.exe,"
После удаление userinit.exe из папки windows и лечение. Этот способ немного легче, чем искать возможности править реестр, если не имеешь LiveCD или второго компа.
Но это работает, если вирус с именем userinit.exe, что бывает частенько.

rulewoy
03.10.2008, 21:01
Мне кажется, что моём случае проблема не в файле userinit.exe. Для верности я сравнил ХЭШ файла в действующей системе и ХЭШ оригинального файла - они совпадают.

severny
03.10.2008, 23:14
Мне кажется, что моём случае проблема не в файле userinit.exe. Для верности я сравнил ХЭШ файла в действующей системе и ХЭШ оригинального файла - они совпадают.
А запись в реестре?

borka
03.10.2008, 23:15
Мне кажется, что моём случае проблема не в файле userinit.exe. Для верности я сравнил ХЭШ файла в действующей системе и ХЭШ оригинального файла - они совпадают.
Вам сюда: http://virusinfo.info/showthread.php?t=1235

DoggoD
06.10.2008, 02:10
Мне кажется, что моём случае проблема не в файле userinit.exe. Для верности я сравнил ХЭШ файла в действующей системе и ХЭШ оригинального файла - они совпадают.

Недавно комп лечил с hllw.*autoruner* (по DrWeb-у).. Точно так и было как рассказываете..

borka
07.10.2008, 00:04
Недавно комп лечил с hllw.*autoruner* (по DrWeb-у).. Точно так и было как рассказываете..
У Вас userinit.exe был Авторанером? Что-то сомневаюсь...

Karlson
07.10.2008, 00:30
Мне кажется, что моём случае проблема не в файле userinit.exe. Для верности я сравнил ХЭШ файла в действующей системе и ХЭШ оригинального файла - они совпадают.
совершенно верно.. у вас же:

При включении компьютера проходит успешный вход в систему.
здесь похоже как то криво система log out делает... а не пробовали ее например в сон отправить (ждущий режим или hibernate, или как он там правильно пишется) а потом разбудить?
а еще если сделать не выход первым пользователем, а смену пользователя, что получится?

DoggoD
07.10.2008, 02:08
У Вас userinit.exe был Авторанером? Что-то сомневаюсь...

ситуация была такая.. Сначала на компьютере было все "нормально", потом человек поставил NOD32 и у него стало происходить следующее: при загрузке в опасный режим, после ввода пароля для входа в систему, появлялось сообщение "Загрузка параметров" потом на 1 секунду появлялся рабочий стол и тут же шло завершение сеанса работы пользователя..

borka
08.10.2008, 14:58
ситуация была такая.. Сначала на компьютере было все "нормально", потом человек поставил NOD32 и у него стало происходить следующее: при загрузке в опасный режим, после ввода пароля для входа в систему, появлялось сообщение "Загрузка параметров" потом на 1 секунду появлялся рабочий стол и тут же шло завершение сеанса работы пользователя..
Симптомы битого (в разном понимании) userinit'а. А какие файлы Доктор назвал Win32.HLLW.Autoruner? Случаем не файлы, которые записывались в корень каждого диска (autorun.inf и экзешник, который указан в его теле)?

DoggoD
09.10.2008, 02:01
Симптомы битого (в разном понимании) userinit'а. А какие файлы Доктор назвал Win32.HLLW.Autoruner? Случаем не файлы, которые записывались в корень каждого диска (autorun.inf и экзешник, который указан в его теле)?

В корне диска лишнего ничего небыло.. cureit нашел червя в system32, после удаления последующая перезагрузка и логон были удачными.. на какой именно файл ругался -- не вспомню, но системные были на месте, т.е. userinit в частности после лечения остался преждним..

borka
09.10.2008, 15:27
В корне диска лишнего ничего небыло.. cureit нашел червя в system32, после удаления последующая перезагрузка и логон были удачными.. на какой именно файл ругался -- не вспомню, но системные были на месте, т.е. userinit в частности после лечения остался преждним..
Ясно. Похоже, что Авторанер не связан с userinit'ом.