-
Junior Member
- Вес репутации
- 66
долечился!
ситуация такая: на машине стоит NOD32, в какой-то момент он начал ругаться на вирус (какой не помню точно) и удалил несколько файлов типа С:\windows.exe из корня диска с:\ после чего комп перегрузили и теперь он не загружается даже в безопасном режиме, доходит до выбора режима загрузки и при любом выборе сразу уходит в перезагрузку.
Подскажите что можно сделать?
PS загрузился с miniXP, грохнул AMON так как были подозрения на него, не помогло, значит вирус забрал с собой какие-то важные для загрузки файлы...
Последний раз редактировалось Antonnio; 03.12.2007 в 17:09.
Причина: добавление
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon значение параметра Userinit должно быть ... C:\WINDOWS\system32\userinit.exe
-
-
Junior Member
- Вес репутации
- 66
спасибо, исправил, но не помогло... хотя параметр там был другим...
-
попробуйте накатить windows в режиме восстановления ...
-
-
Попробуйте восстановить с дистрибутива файлы
C:\WINDOWS\system32\ntoskrnl.exe
C:\WINDOWS\system32\ntkrnlpa.exe
C:\WINDOWS\system32\winlogon.exe
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 66
пробовал, тоже не помогло... сейчас попробую с рабочей машины копирнуть важные файлики... не подскажите какие отвечают за загрузку в папке WINDOWS?
отвечал V_Bond... сейчас попробую рекомендации Bratez
-
можно взглянуть на ваш WINLOGON .exe ? .... посмотрите может у вас их несколько ?и есть не в C:\windows\system32 ...
-
-
Если я правильно понял, доступ к реестру больной системы у вас каким-то образом имеется? А нелья ли нам получить полный список ключей в
HKLM\Sysem\ControlSet001\Services?
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 66
хм... сейчас посмотрел в miniXP - параметр HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon опять "сьехал" на что-то типа D:\i386\system32\userinit.exe, снова исправил...
Добавлено через 49 секунд
Сообщение от
V_Bond
можно взглянуть на ваш WINLOGON .exe ? .... посмотрите может у вас их несколько ?и есть не в C:\windows\system32 ...
сейчас попробую вытащить...
Последний раз редактировалось Antonnio; 03.12.2007 в 17:31.
Причина: Добавлено
-
хм... сейчас посмотрел в miniXP - параметр HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon опять "сьехал"
Дык вы наверно правите реестр самой miniXP, а не вашей системы...
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 66
Сообщение от
Bratez
Если я правильно понял, доступ к реестру больной системы у вас каким-то образом имеется? А нелья ли нам получить полный список ключей в
HKLM\Sysem\ControlSet001\Services?
да, имеется через miniXP...
правда похоже что это реестр именно miniXP... а не больной машины...
Добавлено через 38 секунд
следствие зашло в тупик
Последний раз редактировалось Antonnio; 03.12.2007 в 17:43.
Причина: Добавлено
-
Попробуйте записать свежий CureIt на съемный носитель и запустить его под MiniXP. Сделать полную проверку жесткого диска.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 66
Сообщение от
Bratez
Попробуйте восстановить с дистрибутива файлы
C:\WINDOWS\system32\ntoskrnl.exe
C:\WINDOWS\system32\ntkrnlpa.exe
C:\WINDOWS\system32\winlogon.exe
эти файлы присутствуют и не изменялись...
Добавлено через 24 минуты
симантек нашел 16 файлов зараженных JS.Exception.Exploit и грохнул их...
cureIt запустить не получается, так как почему-то флешка не определяется...
Последний раз редактировалось Antonnio; 03.12.2007 в 18:23.
Причина: Добавлено
-
-
-
Junior Member
- Вес репутации
- 66
Сообщение от
V_Bond
попробую... только меня все время на страницу регистрации выкидывает, хотя я уже зарегистрировался...
Добавлено через 2 минуты
скачал, буду пробовать...
Добавлено через 1 час 33 минуты
сканер DRWeb с этого диска нашел 143 файла, инфицированных Win32.HLLM.Utenti
Последний раз редактировалось Antonnio; 03.12.2007 в 20:16.
Причина: Добавлено
-
нужно удалить все созданные вирусом файлы folder.htt и desktop.ini по всему диску
... desktop.ini, однако НЕ удалять те из них, которые находятся: в директории WINDOWS и ее подкаталогах...Program Files и ее подкаталогах.... в каталоге Мои документы...
Последний раз редактировалось V_Bond; 03.12.2007 в 20:47.
-
-
Junior Member
- Вес репутации
- 66
а как быть с зараженными exe-шниками? там практически все они заражены... и среди них есть пара-тройка очень важных...
-
DRWeb лечит зараженные файлы ... будем надеятся корректно ...
-
-
Junior Member
- Вес репутации
- 66
и все-таки что же такое мог удалить NOD? из-за чего комп сразу срывается в перезагрузку? даже не пишет что "нет такого-то файла" или например "нет операционной системы"...
-
скорее повредил системные файлы ... вам теперь стоит все же ... накатить windows в режиме восстановления ...
-