Начинает загружаться учетная запись и сразу завершение сеанса работы пользователя
Пользователь словил блокиратор (типа перевести 300р на номер МТС). после чего по его словам был снят жесткий диск подключен к другой машине и про сканирован - AVPTool, по его словам найдено 3 вируса какие он не запомнил логов нет. Сам сканировал по сети Касперским Wofkstation 6 с последними обновлениями (ни чего не найдено) На данный момент ком разблокирован, но ни одна учетная запись (ни локальная ни доменная) не загружается сразу после применения личных параметров происходит завершение сеанса. Комп является шлюзовым, идет раздача интернета на весь офис + vpn, данные службы работают нормально поэтому отключение на длительное время не желательно. Имею доступ к командной строке зараженной машины через радмин, так же доступ ко всем жестким дискам и удаленному реестру через AD. Есть файл ревизова avz от 26.01.2011 с того момента думаю ни чего нужного для работы на комп не устанавливалось. Можно ли запустить avz на удаленной машине.
Последний раз редактировалось kav76; 21.09.2011 в 09:59.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Плюс проверьте запись в реестре: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
параметр userinit
значение параметра C:\Windows\System32\userinit.exe, (запятая в конце)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
shell Explorer.exe
userinit C:\Windows\System32\userinit.exe,
userinit.exe, Explorer.exe, taskmgr.exe на всякий случай взял со здоровой машины, хотя по дате, размеру и описанию на зараженной были тоже чистые
Проверьте ветку реестра HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
Если там есть ключ (подраздел) userinit.exe, удалите его полностью.
подраздел userinit.exe имеется Debugger = C:\WINDOWS\temp\as.exe, по хоже это он и есть, только файла уже этого нет. Удалил подраздел, учетка загрузилась, выкинула окно с ошибкой
файл или каталог C:\Documents and Settings\lu-lu\Application Data\Microsoft\Internet Explorer\Recovery\Active поврежден или не может быть прочитан. Запустите служебную программу CHKDSK
После выполнения скрипта компьютер перезагрузится.
закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Сделайте новый лог virusinfo_syscheck.zip
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: