Отправил
Printable View
Отправил
C:\WINDOWS\system32\drivers\Mqt47.sys _[B]Trojan-Downloader.Win32.Agent.ggt[/B]
[URL="http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/setup_7.0.0.180_23.12.2007_11-39.exe"]качаете[/URL] делаете полную проверку .... затем новые логи ...
[quote=V_Bond;163581]C:\WINDOWS\system32\drivers\Mqt47.sys _[B]Trojan-Downloader.Win32.Agent.ggt[/B]
[URL="http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/setup_7.0.0.180_23.12.2007_11-39.exe"]качаете[/URL] делаете полную проверку .... затем новые логи ...[/quote]
Не получится - Винда перестала вообще грузиться(и в защищенном тоже). Что можно сделать, кроме переустановки?
Такой вопрос - Winlogon.exe отвечает за загрузку? Просто у меня появился второй в Windows\Temp и не хотел удаляться. Может мне заменить его(естественно тот, который в WINDOWS\system32) на чистый и Винда пойдет?
Консоль восстановления у меня на винте и загружается нормально.
Сегодня попробую с дистриба скопировать
Который в Temp - убрать (хорошо бы скопировать куда-нибудь для разбора полётов), который в System32 - заменить на чистый. Не факт, что поможет, но лучше, чем ничего не делать.
[quote=pig;164140]Который в Temp - убрать (хорошо бы скопировать куда-нибудь для разбора полётов), который в System32 - заменить на чистый. Не факт, что поможет, но лучше, чем ничего не делать.[/quote]
Да не помогло. Заменял через консоль. Загружался через Live CD. Файлы, папки на месте(т.е. полетел не винт), ДрВеб нашел только во временных файлах Оперы вирус и все. Скорее всего сегодня переустановлю Винду, причем с нуля, удалив раздел.
что значит не грузится ? ( до какого момента доходит ? ошибку выдает , тогда какую ? перегружается ... если да в каком месте ?)
[quote=V_Bond;164503]что значит не грузится ? ( до какого момента доходит ? ошибку выдает , тогда какую ? перегружается ... если да в каком месте ?)[/quote]
Дает выбрать ОС или Консоль. Также режим Обычный, Защищенный и т.д.
Консоль работает. В Обычном режиме, после выбора Операционной системы экран темный и больше ничего. Давал ему минут 20 прогрузиться - ничего. В Защищенном почти тоже, сразу бегут строчки, как и должно быть, а потом даже мигающего тире в правом верхнем углу нет. И по моему лампочка не мигает. Если бы можно было бы через Live CD прогнать скрипты АВЗ для установленной ОС, а не ОС Live CD. Было бы хорошо восстановить, если не выйдет сегодня буду переустанавливать. Пробовал устанавливать поверх, но Установка не находит ОС и не предлагает восстановление.
посмотрите в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon значение параметра Userinit должно быть C:\WINDOWS\system32\userinit.exe .... как єто сделать
[QUOTE=Bratez;157295]Бывают ситауции, когда деятельность вредоносных программ приводит к полной невозможности загрузить Windows - ни в обычном, ни в безопасном режиме. В этих случаях обычно применяют загрузочный CD, например, широко известный BartPE ([URL]http://www.nu2.nu/pebuilder/[/URL]).
Но таким способом не получится сделать исследование с помощью AVZ или HijackThis, т.к. для них реестр больной системы будет недоступен. Можно лишь выполнить проверку дисков антивирусными сканерами, но это не всегда решает проблему.
Запустив в BartPE программу regedit, пользователь будет разочарован, увидев реестр самой BartPE, а не своей несчастной Windows... Однако не спешите огорчаться - решение есть!
1. Запустите [B]regedit[/B] и выделите раздел [B]HKEY_USERS[/B].
2. Выберите в меню программы [I]File[/I] - [I]Load Hive (Файл - Загрузить куст)[/I] и перейдите к папке, где находится реестр вашей Windows (обычно C:\Windows\System32\Config).
3. Выделите файл [B]SOFTWARE[/B] без расширения и нажмите [I]Open[/I] [I](Открыть)[/I].
4. Введите имя для раздела, который вы загрузили, например, [B]MyHive[/B].
Теперь, если к примеру вам нужен параметр
[B]HKLM\SoftWare\Microsoft\Windows NT\Winlogon\Userinit[/B] -
это будет:
[B]HKEY_USERS\MyHive\Microsoft\Windows NT\Winlogon\Userinit[/B]
Редактируйте на здоровье!
Важный момент: закончив редактирование, раздел обязательно нужно выгрузить. Для этого выделите ветку [B]MyHive[/B] и выберите в меню программы [I]File - Unload Hive (Файл - Выгрузить куст)[/I].[/QUOTE]
Спасибо. Если это не поможет, буду переустанавливать, как бы мне этого не хотелось
[quote=V_Bond;164561]посмотрите в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon значение параметра Userinit должно быть C:\WINDOWS\system32\userinit.exe .... как єто сделать[/quote]
Так и у меня, но комп не грузится, поэтому тему закрываем. Переустановил Винду. Большое всем спасибо. Обещаю больше не писать в этой теме.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]16[/B][*]Обработано файлов: [B]79[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\ausfjg.dll - [B]Backdoor.Win32.Agent.adr[/B] (DrWEB: Trojan.Spambot.2414)[*] c:\\windows\\system32\\cssrss.exe - [B]Trojan-Dropper.Win32.Agent.dgk[/B] (DrWEB: Trojan.DownLoader.46361)[*] c:\\windows\\system32\\drivers\\ctl_w32.sys - [B]Rootkit.Win32.Agent.pq[/B] (DrWEB: Trojan.NtRootKit.496)[*] c:\\windows\\system32\\drivers\\mqt47.sys - [B]Trojan-Downloader.Win32.Mutant.aim[/B] (DrWEB: BackDoor.Bulknet.112)[*] c:\\windows\\system32\\drivers\\smtpdrv.sys - [B]Email-Worm.Win32.Agent.l[/B] (DrWEB: Trojan.NtRootKit.360)[*] c:\\windows\\system32\\exporth.exe - [B]Backdoor.Win32.IRCBot.abc[/B] (DrWEB: Trojan.Packed.166)[*] c:\\windows\\system32\\ntkrnlpa.exe - [B]Trojan-Dropper.Win32.Agent.bwg[/B] (DrWEB: Trojan.Spambot.2436)[*] c:\\windows\\system32\\ntos.exe - [B]Trojan-Spy.Win32.Zbot.adj[/B] (DrWEB: Trojan.Packed.180)[*] c:\\windows\\system32\\ntoskrnl.exe - [B]Trojan-Dropper.Win32.Agent.bwg[/B] (DrWEB: Trojan.Spambot.2437)[*] c:\\windows\\system32\\vhosts.exe - [B]Trojan.Win32.Small.ws[/B] (DrWEB: Trojan.MulDrop.8347)[*] c:\\windows\\system32\\xuser.exe - [B]Trojan-Spy.Win32.Webmoner.do[/B] (DrWEB: Trojan.MulDrop.8473)[/LIST][/LIST]