Показано с 1 по 14 из 14.

Начинает загружаться учетная запись и сразу завершение сеанса работы пользователя (заявка № 109272)

  1. #1
    Junior Member Репутация
    Регистрация
    02.02.2009
    Сообщений
    37
    Вес репутации
    56

    Thumbs up Начинает загружаться учетная запись и сразу завершение сеанса работы пользователя

    Пользователь словил блокиратор (типа перевести 300р на номер МТС). после чего по его словам был снят жесткий диск подключен к другой машине и про сканирован - AVPTool, по его словам найдено 3 вируса какие он не запомнил логов нет. Сам сканировал по сети Касперским Wofkstation 6 с последними обновлениями (ни чего не найдено) На данный момент ком разблокирован, но ни одна учетная запись (ни локальная ни доменная) не загружается сразу после применения личных параметров происходит завершение сеанса. Комп является шлюзовым, идет раздача интернета на весь офис + vpn, данные службы работают нормально поэтому отключение на длительное время не желательно. Имею доступ к командной строке зараженной машины через радмин, так же доступ ко всем жестким дискам и удаленному реестру через AD. Есть файл ревизова avz от 26.01.2011 с того момента думаю ни чего нужного для работы на комп не устанавливалось. Можно ли запустить avz на удаленной машине.
    Последний раз редактировалось kav76; 21.09.2011 в 09:59.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) kav76, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Проверьте наличие файла
    \Windows\system32\userinit.exe.
    Восстановите его из дистрибутива или скопируйте из здоровой системы той же версии.
    I am not young enough to know everything...

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    424
    Плюс проверьте запись в реестре: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
    параметр
    userinit
    значение параметра C:\Windows\System32\userinit.exe, (запятая в конце)

  6. #5
    Junior Member Репутация
    Регистрация
    02.02.2009
    Сообщений
    37
    Вес репутации
    56
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
    shell Explorer.exe
    userinit C:\Windows\System32\userinit.exe,
    userinit.exe, Explorer.exe, taskmgr.exe на всякий случай взял со здоровой машины, хотя по дате, размеру и описанию на зараженной были тоже чистые

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Проверьте ветку реестра
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
    Если там есть ключ (подраздел) userinit.exe, удалите его полностью.
    I am not young enough to know everything...

  8. Это понравилось:


  9. #7
    Junior Member Репутация
    Регистрация
    02.02.2009
    Сообщений
    37
    Вес репутации
    56
    подраздел userinit.exe имеется Debugger = C:\WINDOWS\temp\as.exe, по хоже это он и есть, только файла уже этого нет. Удалил подраздел, учетка загрузилась, выкинула окно с ошибкой

    файл или каталог C:\Documents and Settings\lu-lu\Application Data\Microsoft\Internet Explorer\Recovery\Active поврежден или не может быть прочитан. Запустите служебную программу CHKDSK

  10. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    424
    Выполните следующее:
    1. кнопка Пуск - Выполнить ввести cmd нажать Enter;
    2. ввести chkdsk c: /f /r нажать Enter. Выскочит сообщение вида:"Невозможно выполнить команду chkdsk ......"
    Нажмите клавишу Y;
    3. введите exit затем нажать Enter;
    4. перезагрузите ПК, во время перезагрузки будет выполнена проверка и исправление ошибок.

  11. #9
    Junior Member Репутация
    Регистрация
    02.02.2009
    Сообщений
    37
    Вес репутации
    56
    просканировал систему, посмотрите пожалйуста логи на наличие остатков от заражения
    Вложения Вложения

  12. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    424
    Отключите восстановление системы!

    Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\temp\as.exe','');
     DeleteFile('C:\WINDOWS\temp\as.exe');
     RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','s5ch0st');
     RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','s5ch0st');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
    Сделайте новый лог virusinfo_syscheck.zip

  13. Это понравилось:


  14. #11
    Junior Member Репутация
    Регистрация
    02.02.2009
    Сообщений
    37
    Вес репутации
    56
    новый лог, карантин отправил
    Вложения Вложения

  15. #12

  16. #13
    Junior Member Репутация
    Регистрация
    02.02.2009
    Сообщений
    37
    Вес репутации
    56
    Да проблема решена, огромное спасибо

  17. #14
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 1
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\temp\\as.exe - Trojan-Ransom.Win32.PornoBlocker.acff ( DrWEB: Trojan.Winlock.4128, BitDefender: Trojan.Generic.KDV.361827, AVAST4: Win32:Rootkit-gen [Rtk] )


  • Уважаемый(ая) kav76, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. завершение сеанса после вымогателя
      От KRUCH в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 19.09.2011, 23:53
    2. Завершение сеанса после смс-вымогателя
      От Duplex в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 30.01.2010, 16:19
    3. Ограниченная учетная запись пользователя
      От denis920 в разделе Microsoft Windows
      Ответов: 52
      Последнее сообщение: 05.05.2009, 18:22
    4. Ответов: 1
      Последнее сообщение: 06.12.2008, 00:13
    5. Завершение сеанса сразу после входа
      От GratefullDead в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 08.06.2008, 18:00

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00372 seconds with 20 queries