Давно не заходил. Всё ровно было. И вот...
Помогайте братцы, если можно.
Printable View
Давно не заходил. Всё ровно было. И вот...
Помогайте братцы, если можно.
[B]1. Пофиксите с помощью HJT:[/B]
[CODE]F2 - REG:system.ini: UserInit=C:\WINDOWS\userinit.exe[/CODE]
[B]2. Выполните скрипт в AVZ:[/B]
[code]
begin
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('c:\windows\system32\system.exe');
TerminateProcessByName('c:\windows\userinit.exe');
QuarantineFile('C:\WINDOWS\system32\..\qny.bak','');
QuarantineFile('C:\Documents and Settings\Геннадий\Главное меню\Программы\Автозагрузка\siszyd32.exe','');
QuarantineFile('C:\WINDOWS\userinit.exe','');
QuarantineFile('C:\WINDOWS\system32\system.exe','');
QuarantineFile('C:\WINDOWS\system32\COMCTL32.dll','');
QuarantineFile('C:\WINDOWS\system32\aekgoprn.dll','');
DeleteFile('C:\WINDOWS\system32\aekgoprn.dll');
DeleteFile('C:\WINDOWS\system32\system.exe');
DeleteFile('C:\WINDOWS\userinit.exe');
DeleteFile('C:\Documents and Settings\Геннадий\Главное меню\Программы\Автозагрузка\siszyd32.exe');
DeleteFile('C:\WINDOWS\system32\..\qny.bak');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Drivers32','midi9');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.
[B]3.[/B] Файл [B]quarantine.zip[/B] закачайте по ссылке [B][U][COLOR="Red"]прислать запрошенный карантин[/COLOR][/U][/B] вверху темы
[B]4.[/B] Сделайте новые логи
Сделал. Началась перезагрузка, но всё виснет при попытке открытия рабочего стола... Комп не запускается. Что делать?
В безопасном режиме загружается?
Тоже не хочет. Ровно в момент выбора между входом под админом или пользователем переходит в режим сохранения перед закрытием, но возвращается обратно к выбору админ-пользователь на входе и так по кругу...
В момент перехода к сохранению, появляется красная клавиша "Выкл компьютер".
Это всё.:(
Скажите, Вы пофиксили указанную строку в HJT?
Конечно. Всё по порядку, как и было предложено.
Попробуйте: [url]http://virusinfo.info/showthread.php?t=51777[/url]
Буду завтра пробовать, а может и в выходные. Нужна подготовка. У меня нет LiveCD.
Да и не на столько продвинутый я, чтоб проделать это самостоятельно. Буду ждать помощника
Что делать, когда запустим?
[QUOTE='Gena77;523868']Что делать, когда запустим?[/QUOTE]Не совсем понял о чем именно Вы говорите. О системе? Попытайтесь выполнить указания, приведенные в теме. О результатах отпишитесь
Итак. К компу подключен рабочий жесткий диск. Проверка показала, что [B]userinit.exe, [/B]в наличии как и положено с запятой.
Но вот при попытке снова запустить систему с поврежденного диска, появилось предупреждение, типа не возможно запустить т.к. нет <windows root>\system32\hal.dll
На всякий случай зашел, проверил. Есть такой. Правда может он поврежден? Я не знаю как его проверить.
[size="1"][color="#666686"][B][I]Добавлено через 2 часа 27 минут[/I][/B][/color][/size]
Что, никаких вариантов? :(
Вы проверяли наличие файла именно в папке system32 незагружаемой системы?
[QUOTE='Gena77;524044']Правда может он поврежден?[/QUOTE]Замените его с дистрибутива или аналогичной системы
[QUOTE=thyrex;524175]Вы проверяли наличие файла именно в папке system32 незагружаемой системы?
Замените его с дистрибутива или аналогичной системы[/QUOTE]
Да, конечно в нерабочей смотрел.
Какой способ или процедура замены файла? Простое копирование и замена при вставке? Попробовал так, не помогло.
[size="1"][color="#666686"][B][I]Добавлено через 49 минут[/I][/B][/color][/size]
Ребят, так что делать-то?:?
[url]http://virusinfo.info/showthread.php?t=51654[/url]
Поправить систему пока не удалось, но запустить AVZ И HiJackThis удалось со второго диска.
Посмотрите, может что скажите.
Пофиксите:
[CODE]F2 - REG:system.ini: UserInit=C:\WINDOWS\userinit.exe[/CODE]
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('c:\windows\system32\system.exe');
TerminateProcessByName('c:\windows\userinit.exe');
QuarantineFile('C:\WINDOWS\system32\RASDLG.dll','');
QuarantineFile('C:\WINDOWS\system32\NETSHELL.dll','');
QuarantineFile('C:\WINDOWS\userinit.exe','');
QuarantineFile('C:\WINDOWS\system32\system.exe','');
DeleteFile('C:\WINDOWS\system32\system.exe');
DeleteFile('C:\WINDOWS\userinit.exe');
Bc_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.
После перезагрузки пришлите попавшие в карантин файлы согласно правилам. Сделайте новые логи
Один вопрос. Начал выполнять, пофиксил строку как предложено, но после этого случайно нажал Scan в том же открытом окне HijackThis и с удивлением обнаружил в перечне только что пофиксенную строку :O
F2 - REG:system.ini: UserInit=C:\WINDOWS\userinit.exeТак должно быть? Продолжить и выполнить скрипт?
Пофиксите, затем выполните скрипт, он предусматривает перезагрузку
Продолжайте.
Ну что ж, после перезагрузки перестал запускаться и второй жесткий диск!!! >:(
Теперь мне в комп вообще не влезть... блин.
Вы точно пофиксили строчку? [url]http://virusinfo.info/showthread.php?t=51777[/url]
Я вроде в 17 посте все описал! Поставить галку и нажать [B]Fix checked[/B] особого ума не надо, вроде справился.
Выполните инструкции по ссылке в моем посте выше
Загрузитесь с Windows LiveCD. Сделал.
Посмотрите [B]Microsoft\Windows NT\Winlogon[/B] (в обычном виде это [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]) параметр Userinit должен быть такой [B]C:\WINDOWS\system32\userinit.exe,[/B] (с запятой)
У меня без запятой. Поправить? Поставить запятую?
Да и проверьте путь, файл должен размещаться в C:\WINDOWS\[B]system32[/B] а не в C:\WINDOWS
Так и есть C:\WINDOWS, без [B]system32[/B] Как изменить? Просто дописать?
Да
Сделано. Что дальше? Запустить AVZ с LiveCD или выйти и пробовать загрузиться как обычно с последующим: "После перезагрузки пришлите попавшие в карантин файлы согласно правилам. Сделайте новые логи"
Что делать, если опять не перезагрузится?
Вроде оживает потихоньку. Пока подключенный диск, основной позже, когда смогу его запустить.
Так что дальше-то делать? Или всё на этом диске замечательно?!:>
Ответа не дождался, но за это время успел восстановить работоспособность основного диска. Вот его Логи.
Так же выслал его карантин.
Ау, ребята. Ответьте уже хоть что нибудь. Да-да, да-нет. Может про меня забыли совсем? :?
В логах порядок.
P.S. Внимательнее нужно читать то, что Вам советуют? и проблем с загрузкой не будет
Так ведь, всё с точностью до запятой делаю. И очень благодарен за помощь!
Просто я слабый пользователь, в систему никогда не лазил, для меня это сложно и страшно. Но осилил и это.
Кстати, Файрфокс тоже перестал корректно работать. Что в нем слетело, пока не понял, но большинство закладок на открывается, даже не пытаются. А в части открытых окон не работают кнопки на переход к другому окну.
Короче, еще много трудностей мне преодолевать. Но слава Богу, с зловредами справился, благодаря вашей помощи!
Еще раз большое спасибо, ну и как не жаль, но до новых встреч! :094:
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]24[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\userinit.exe - [B]Trojan-Downloader.Win32.Agent.btlp[/B] ( DrWEB: BackDoor.Bulknet.419, BitDefender: Win32.Worm.Autorun.GE, AVAST4: Win32:Agent-QTR [Trj] )[/LIST][/LIST]