долечился!

ситуация такая: на машине стоит NOD32, в какой-то момент он начал ругаться на вирус (какой не помню точно) и удалил несколько файлов типа С:\windows.exe из корня диска с:\ после чего комп перегрузили и теперь он не загружается даже в безопасном режиме, доходит до выбора режима загрузки и при любом выборе сразу уходит в перезагрузку.
Подскажите что можно сделать?

PS загрузился с miniXP, грохнул AMON так как были подозрения на него, не помогло, значит вирус забрал с собой какие-то важные для загрузки файлы...

в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon значение параметра Userinit должно быть ... C:\WINDOWS\system32\userinit.exe

спасибо, исправил, но не помогло... хотя параметр там был другим...

попробуйте накатить windows в режиме восстановления ...

Попробуйте восстановить с дистрибутива файлы
C:\WINDOWS\system32\ntoskrnl.exe
C:\WINDOWS\system32\ntkrnlpa.exe
C:\WINDOWS\system32\winlogon.exe

пробовал, тоже не помогло... сейчас попробую с рабочей машины копирнуть важные файлики... не подскажите какие отвечают за загрузку в папке WINDOWS?

отвечал V_Bond... сейчас попробую рекомендации Bratez

можно взглянуть на ваш WINLOGON .exe ? .... посмотрите может у вас их несколько ?и есть не в C:\windows\system32 ...

Если я правильно понял, доступ к реестру больной системы у вас каким-то образом имеется? А нелья ли нам получить полный список ключей в
[b]HKLM\Sysem\ControlSet001\Services[/b]?

хм... сейчас посмотрел в miniXP - параметр HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon опять "сьехал" на что-то типа D:\i386\system32\userinit.exe, снова исправил...

[size="1"][color="#666686"][B][I]Добавлено через 49 секунд[/I][/B][/color][/size]

[QUOTE=V_Bond;156166]можно взглянуть на ваш WINLOGON .exe ? .... посмотрите может у вас их несколько ?и есть не в C:\windows\system32 ...[/QUOTE]

сейчас попробую вытащить...

[quote]хм... сейчас посмотрел в miniXP - параметр HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon опять "сьехал" [/quote]
Дык вы наверно правите реестр самой miniXP, а не вашей системы...

[QUOTE=Bratez;156172]Если я правильно понял, доступ к реестру больной системы у вас каким-то образом имеется? А нелья ли нам получить полный список ключей в
[b]HKLM\Sysem\ControlSet001\Services[/b]?[/QUOTE]

да, имеется через miniXP...

правда похоже что это реестр именно miniXP... а не больной машины...

[size="1"][color="#666686"][B][I]Добавлено через 38 секунд[/I][/B][/color][/size]

следствие зашло в тупик

Попробуйте записать свежий CureIt на съемный носитель и запустить его под MiniXP. Сделать полную проверку жесткого диска.

[QUOTE=Bratez;156164]Попробуйте восстановить с дистрибутива файлы
C:\WINDOWS\system32\ntoskrnl.exe
C:\WINDOWS\system32\ntkrnlpa.exe
C:\WINDOWS\system32\winlogon.exe[/QUOTE]

эти файлы присутствуют и не изменялись...

[size="1"][color="#666686"][B][I]Добавлено через 24 минуты[/I][/B][/color][/size]

симантек нашел 16 файлов зараженных JS.Exception.Exploit и грохнул их...
cureIt запустить не получается, так как почему-то флешка не определяется...

пришло время попробовать .... [url]http://virusinfo.info/showthread.php?t=14417[/url]

[QUOTE=V_Bond;156201]пришло время попробовать .... [url]http://virusinfo.info/showthread.php?t=14417[/url][/QUOTE]

попробую... только меня все время на страницу регистрации выкидывает, хотя я уже зарегистрировался...

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

скачал, буду пробовать...

[size="1"][color="#666686"][B][I]Добавлено через 1 час 33 минуты[/I][/B][/color][/size]

сканер DRWeb с этого диска нашел 143 файла, инфицированных Win32.HLLM.Utenti

нужно удалить все созданные вирусом файлы folder.htt и desktop.ini по всему диску
... desktop.ini, однако НЕ удалять те из них, которые находятся: в директории WINDOWS и ее подкаталогах...Program Files и ее подкаталогах.... в каталоге Мои документы...

а как быть с зараженными exe-шниками? там практически все они заражены... и среди них есть пара-тройка очень важных...

DRWeb лечит зараженные файлы ... будем надеятся корректно ...

и все-таки что же такое мог удалить NOD? из-за чего комп сразу срывается в перезагрузку? даже не пишет что "нет такого-то файла" или например "нет операционной системы"...

скорее повредил системные файлы ... вам теперь стоит все же ... накатить windows в режиме восстановления ...

теперь после того как накатил винду в режиме восстановления, она ожила, но как оказалось Drweb все же грохнул часть нужных exe-шников...

сделайте логи по правилам .... посмотрим , что осталось ....

сделал...

Восстановление системы: включено - отключить ..
пофиксите ... (старый крек для сп1)
[code]
O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll
[/code]
AVZ - повоевал .... с вашими червями ...
рекомендую полную провепку CUREIT в safe mode
затем новые логи ....

как ни странно, но Drweb в безопасном режиме нашел только пару файликов folder инфицированных Trojan.AppActXComp, грохнул их и все...
так что кардинально в логах ничего не изменилось...

это не странно а совсем не плохо ... нужны новые логи .... вдруг что-то осталось ...

спасибо за помощь, но комп у меня уже забрали...

Рекомендую работать под пользователем с ограниченными правами.
По возможности не использовать Internet Explorer,а пользоваться другими браузерам,например Opera,Firefox (с отключенными java скриптами,разрешая их выполнения только доверенным сайтам)
Советуем прочитать [URL="http://security-advisory.newmail.ru/"]электронную книгу[/URL])"Безопасный Интернет. Универсальная защита для Windows ME - Vista".

Удачи!

да тот комп в инет выхода не имеет... с флешки вирус занесли...