Показано с 1 по 18 из 18.

Мгновенный выход из системы (заявка № 21590)

  1. #1
    Junior Member Репутация
    Регистрация
    16.04.2008
    Сообщений
    38
    Вес репутации
    39

    Thumbs up Мгновенный выход из системы

    Здравствуйте,
    принесли компьютер
    Включил, симптомы следующие:
    после захода под логином юзера или админа, следует мгновенный выход из системы обратно в окно логона.
    загрузился под livecd, прогнал drweb, он нашел несколько троянов, кучу adware.
    Я эти дела поудалял, но в систему зайти все равно не могу, даже в safe mode.
    AVZ под livecd не работает, логи приложить не могу.
    Попробовал подменить со здоровой системы userinit.exe и explorer.exe не помогло
    Насколько я понял, в системе стоит KIS 6, но какой версии базы не знаю
    Как и куда копать дальше?
    Спасибо

    UPD: По совету уважаемого V_Bond (на forum.kaspersky.com), проверил состояние userinit.exe, но пока ничего не дало

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1558
    1. Попробуйте подменить еще winlogon.exe.
    2. Работать с реестром больной системы из-под LiveCD умеете?
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    16.04.2008
    Сообщений
    38
    Вес репутации
    39
    Цитата Сообщение от Bratez Посмотреть сообщение
    2. Работать с реестром больной системы из-под LiveCD умеете?
    Немного не понял, а в этом случае какие-то особые приемы существуют?

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1558
    Цитата Сообщение от drALEX Посмотреть сообщение
    Немного не понял, а в этом случае какие-то особые приемы существуют?
    Дело в том, что если вы просто запустите regedit под LiveCD, то вы увидите реестр самой Live Windows, но не реестр вашей больной системы. Не все знают, как подцепить неактивный реестр.
    I am not young enough to know everything...

  6. #5
    Junior Member Репутация
    Регистрация
    16.04.2008
    Сообщений
    38
    Вес репутации
    39
    Ага, понял, нет, я подцепил реестр системы.

    подмена winlogon.exe не помогла

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1558
    1. Откройте HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
    и проверьте значение параметра Userinit - должно быть:
    C:\WINDOWS\system32\userinit.exe,

    2. Раскройте "крестик" для ключа
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
    и гляньте, нет ли там подразделов по имени "userinit.exe" или "winlogon.exe"?
    I am not young enough to know everything...

  8. #7
    Junior Member Репутация
    Регистрация
    16.04.2008
    Сообщений
    38
    Вес репутации
    39
    1 пункт: именно так и прописано
    2 пункт: userinit.exe отсутствует, winlogon.exe - есть

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1558
    Цитата Сообщение от drALEX Посмотреть сообщение
    winlogon.exe - есть
    Экспортируйте эту веточку в файл для исследования и удалите из реестра. Не забудьте выгрузить куст, чтобы изменение сохранилось. Попробуйте запустить вашу Windows.
    I am not young enough to know everything...

  10. #9
    Junior Member Репутация
    Регистрация
    16.04.2008
    Сообщений
    38
    Вес репутации
    39
    То же самое!!!

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1558
    Вы точно уверены, что внесли изменение в реестр целевой системы?

    Добавлено через 42 секунды

    Сохраненную веточку реестра упакуйте в зип и приложите сюда.
    Последний раз редактировалось Bratez; 16.04.2008 в 11:32. Причина: Добавлено
    I am not young enough to know everything...

  12. #11
    Junior Member Репутация
    Регистрация
    16.04.2008
    Сообщений
    38
    Вес репутации
    39
    ДА! Я повторно загрузился через livecd и подветка winlogon.exe отсутствует

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1558
    Вы все перепутали. То что вы прислали, есть ветка
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
    которая необходима, ее удалять нельзя!
    Однако ж нет худа без добра
    Откройте блокнотом этот reg-файл, найдите (ближе к концу) такой блок:
    Код:
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WLCtrl32]
    "DLLName"="WLCtrl32.dll"
    "StartShell"="WLEventStartShell"
    "Impersonate"=dword:00000000
    "Asynchronous"=dword:00000000
    и удалите его. Файл сохраните. Потом импортируйте обратно в реестр больной системы. Опять же не забудьте в конце выгрузить куст. Будьте предельно внимательны, это критически важная ветка реестра.
    I am not young enough to know everything...

  14. #13
    Junior Member Репутация
    Регистрация
    16.04.2008
    Сообщений
    38
    Вес репутации
    39
    Сделал всё, как указано. Система ведет себя точно также

  15. #14
    Junior Member Репутация
    Регистрация
    16.04.2008
    Сообщений
    38
    Вес репутации
    39
    Сделал восстановление виндоуз.
    Прогнал АВЗ и касперского , сидело дополнительно несколько троянов.
    Сейчас полёт нормальный.
    Спасибо за помощь

  16. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1504
    логи лучше сделать ... есть подозрения у вас не чисто ...

  17. #16
    Junior Member Репутация
    Регистрация
    16.04.2008
    Сообщений
    38
    Вес репутации
    39
    Цитата Сообщение от V_Bond Посмотреть сообщение
    логи лучше сделать ... есть подозрения у вас не чисто ...
    Компьютер уже уехал к хозяину.

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1295
    Хозяин - барин, конечно...

  19. #18
    Junior Member Репутация
    Регистрация
    16.04.2008
    Сообщений
    38
    Вес репутации
    39
    Цитата Сообщение от pig Посмотреть сообщение
    Хозяин - барин, конечно...
    Не, ну вы правы, конечно , стоило ещё раз не торопясь, посмотреть.
    Но чел, увидевши, что открываются его любимые картинки, ждать наотрез отказался, и счастливый ускакал.
    Скорее всего вернется

  • Уважаемый(ая) drALEX, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Выход CentOS 5.5
      От ALEX(XX) в разделе Linux
      Ответов: 0
      Последнее сообщение: 16.05.2010, 20:39
    2. ошибка системы (синий экран сбоя системы)
      От sonnik_a в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 10.02.2009, 14:57
    3. Выход openSUSE 11.1
      От ALEX(XX) в разделе Linux
      Ответов: 0
      Последнее сообщение: 19.12.2008, 17:14

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00135 seconds with 16 queries