-
Junior Member
- Вес репутации
- 59
Мгновенный выход из системы
Здравствуйте,
принесли компьютер
Включил, симптомы следующие:
после захода под логином юзера или админа, следует мгновенный выход из системы обратно в окно логона.
загрузился под livecd, прогнал drweb, он нашел несколько троянов, кучу adware.
Я эти дела поудалял, но в систему зайти все равно не могу, даже в safe mode.
AVZ под livecd не работает, логи приложить не могу.
Попробовал подменить со здоровой системы userinit.exe и explorer.exe не помогло
Насколько я понял, в системе стоит KIS 6, но какой версии базы не знаю
Как и куда копать дальше?
Спасибо
UPD: По совету уважаемого V_Bond (на forum.kaspersky.com), проверил состояние userinit.exe, но пока ничего не дало
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
1. Попробуйте подменить еще winlogon.exe.
2. Работать с реестром больной системы из-под LiveCD умеете?
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 59
Сообщение от
Bratez
2. Работать с реестром больной системы из-под LiveCD умеете?
Немного не понял, а в этом случае какие-то особые приемы существуют?
-
Сообщение от
drALEX
Немного не понял, а в этом случае какие-то особые приемы существуют?
Дело в том, что если вы просто запустите regedit под LiveCD, то вы увидите реестр самой Live Windows, но не реестр вашей больной системы. Не все знают, как подцепить неактивный реестр.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 59
Ага, понял, нет, я подцепил реестр системы.
подмена winlogon.exe не помогла
-
1. Откройте HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
и проверьте значение параметра Userinit - должно быть:
C:\WINDOWS\system32\userinit.exe,
2. Раскройте "крестик" для ключа
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
и гляньте, нет ли там подразделов по имени "userinit.exe" или "winlogon.exe"?
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 59
1 пункт: именно так и прописано
2 пункт: userinit.exe отсутствует, winlogon.exe - есть
-
Сообщение от
drALEX
winlogon.exe - есть
Экспортируйте эту веточку в файл для исследования и удалите из реестра. Не забудьте выгрузить куст, чтобы изменение сохранилось. Попробуйте запустить вашу Windows.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 59
-
Вы точно уверены, что внесли изменение в реестр целевой системы?
Добавлено через 42 секунды
Сохраненную веточку реестра упакуйте в зип и приложите сюда.
Последний раз редактировалось Bratez; 16.04.2008 в 12:32.
Причина: Добавлено
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 59
ДА! Я повторно загрузился через livecd и подветка winlogon.exe отсутствует
-
Вы все перепутали. То что вы прислали, есть ветка
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
которая необходима, ее удалять нельзя!
Однако ж нет худа без добра
Откройте блокнотом этот reg-файл, найдите (ближе к концу) такой блок:
Код:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WLCtrl32]
"DLLName"="WLCtrl32.dll"
"StartShell"="WLEventStartShell"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000000
и удалите его. Файл сохраните. Потом импортируйте обратно в реестр больной системы. Опять же не забудьте в конце выгрузить куст. Будьте предельно внимательны, это критически важная ветка реестра.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 59
Сделал всё, как указано. Система ведет себя точно также
-
Junior Member
- Вес репутации
- 59
Сделал восстановление виндоуз.
Прогнал АВЗ и касперского , сидело дополнительно несколько троянов.
Сейчас полёт нормальный.
Спасибо за помощь
-
логи лучше сделать ... есть подозрения у вас не чисто ...
-
-
Junior Member
- Вес репутации
- 59
Сообщение от
V_Bond
логи лучше сделать ... есть подозрения у вас не чисто ...
Компьютер уже уехал к хозяину.
-
Хозяин - барин, конечно...
-
-
Junior Member
- Вес репутации
- 59
Сообщение от
pig
Хозяин - барин, конечно...
Не, ну вы правы, конечно , стоило ещё раз не торопясь, посмотреть.
Но чел, увидевши, что открываются его любимые картинки, ждать наотрез отказался, и счастливый ускакал.
Скорее всего вернется