ПОМОГИТЕ ПЛИЗ!!! 2070 год!!!

[PavelA]

НУ, ЧТО ЖЕ ТЫ ДЕЛАЕШЬ?
Все , что ты тут на загружал, надо по красной ссылке отправлять. Ты же не хочешь чтобы другие заразились.

1. Запустите regedit и выделите раздел HKEY_USERS.
2. Выберите в меню программы File - Load Hive (Файл - Загрузить куст) и перейдите к папке, где находится реестр вашей Windows (обычно C:\Windows\System32\Config).
3. Выделите файл SOFTWARE без расширения и нажмите Open (Открыть).
4. Введите имя для раздела, который вы загрузили, например, MyHive.
Теперь, если к примеру вам нужен параметр
HKLM\SoftWare\Microsoft\Windows NT\Winlogon\Userinit -
это будет:
HKEY_USERS\MyHive\Microsoft\Windows NT\Winlogon\Userinit
Редактируйте на здоровье!

Вот этот параметр проверял?

[pig]

Зверьё убрал. В следующий раз за такое горчичник прилеплю.

[Vidok]

SORRY! Ща по ссылке загружу..
А что в этом параметре проверять? Нашел его и что дальше? Userinit: тип REG_SZ, значение: пусто

Добавлено через 3 минуты

Архивы закачал по ссылке вверху темы

[PavelA]

C:\WINNT\system32\userinit.exe, - вот это там должно быть. Директория вместо WINNT - твоя.
В autorun - пускач зверья, в virusinfo2 - остатки от популярного system.exe

Если будешь править удаленный реестр, то не забудь потом выгрузить куст.

[Vidok]

C:\WINNT\system32\userinit.exe, - вот это там должно быть. Директория вместо WINNT - твоя.
В autorun - пускач зверья, в virusinfo2 - остатки от популярного system.exe

Если будешь править удаленный реестр, то не забудь потом выгрузить куст.

Только что додумался посмотреть свой Userinit и там было прописано такое значение, как ты говоришь.. Спасибо

Так вот, мои действия такие: добавляю строковый параметр userinit в реестре. Удаляю autorun'ы и остатки system.exe, которые присылал. Все правильно?
И! Я сравнил двоичные параметры моего и ее userinit'ов и они разные... У нее там почти ничего нет. Это нормально?

Добавлено через 35 минут

И не стоит ли вообще заменить userinit.exe, winlogon.exe, services.exe и svhost.exe на другие? Вдруг эти вирусные?!

[PavelA]

Скорее всего нет. Данное малваре не подменяет системные файлы. Проблемы возникают чаще всего после некрректного лечения данного ключа. Сожалею, что так долго пришлось это объяснять.

Добавишь нужный строковый параметр и пробуй загрузиться. Есть нюанс, как говорит мой товарищ. Если ее систему пробовать у тебя на компьютере, то есть вероятность замены драйверов.
Лучше пробовать на конкретном рабочем месте.

[Vidok]

Есть нюанс, как говорит мой товарищ. Если ее систему пробовать у тебя на компьютере, то есть вероятность замены драйверов.
Лучше пробовать на конкретном рабочем месте.

Я не собираюсь на своем компе пробовать. Завтра поеду и проверим Спасибо за помощь! Завтра отпишусь...

[PavelA]

Не забудь про вот это:
Если будешь править удаленный реестр, то не забудь потом выгрузить куст.

[Vidok]

Не забудь про вот это:
Если будешь править удаленный реестр, то не забудь потом выгрузить куст.

Не забыл

Так вот: удалил эти autorun'ы, остатки system.exe, прописал значение для USERINIT и все встало на свои места! Спасибо pavel!!!

Добавлено через 3 минуты

Кстати, забыл сказать, что еще был файл csrcs.exe - типа тоже вирус, как говорят в интернете.. Я его удалял чуть ли не в первую очередь, потом правда пришлось еще поправить реестр, чтобы не появлялось сообщение "не найден файл csrcs.exe"

[PavelA]

Рад, что удалось все это удаленно рассказать.
Теперь надо логи с той машины сделать
и прислать.
А лучше провериться AVPTool полностью.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 3
• Обработано файлов: 7
• В ходе лечения обнаружены вредоносные программы:
  
  1. \tshxueba.nqf - Trojan.Win32.Agent2.egz( DrWEB: Win32.HLLW.Autoruner.6372, BitDefender: Trojan.Generic.1514595 )