Мгновенный выход из системы

[drALEX]

Здравствуйте,
принесли компьютер
Включил, симптомы следующие:
после захода под логином юзера или админа, следует мгновенный выход из системы обратно в окно логона.
загрузился под livecd, прогнал drweb, он нашел несколько троянов, кучу adware.
Я эти дела поудалял, но в систему зайти все равно не могу, даже в safe mode.
AVZ под livecd не работает, логи приложить не могу.
Попробовал подменить со здоровой системы userinit.exe и explorer.exe не помогло
Насколько я понял, в системе стоит KIS 6, но какой версии базы не знаю
Как и куда копать дальше?
Спасибо

UPD: По совету уважаемого V_Bond (на forum.kaspersky.com), проверил состояние userinit.exe, но пока ничего не дало

[Bratez]

1. Попробуйте подменить еще winlogon.exe.
2. Работать с реестром больной системы из-под LiveCD умеете?

[drALEX]

2. Работать с реестром больной системы из-под LiveCD умеете?

Немного не понял, а в этом случае какие-то особые приемы существуют?

[Bratez]

Немного не понял, а в этом случае какие-то особые приемы существуют?

Дело в том, что если вы просто запустите regedit под LiveCD, то вы увидите реестр самой Live Windows, но не реестр вашей больной системы. Не все знают, как подцепить неактивный реестр.

[drALEX]

Ага, понял, нет, я подцепил реестр системы.

подмена winlogon.exe не помогла

[Bratez]

1. Откройте HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
и проверьте значение параметра Userinit - должно быть:
C:\WINDOWS\system32\userinit.exe,

2. Раскройте "крестик" для ключа
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
и гляньте, нет ли там подразделов по имени "userinit.exe" или "winlogon.exe"?

[drALEX]

1 пункт: именно так и прописано
2 пункт: userinit.exe отсутствует, winlogon.exe - есть

[Bratez]

winlogon.exe - есть

Экспортируйте эту веточку в файл для исследования и удалите из реестра. Не забудьте выгрузить куст, чтобы изменение сохранилось. Попробуйте запустить вашу Windows.

[drALEX]

То же самое!!!

[Bratez]

Вы точно уверены, что внесли изменение в реестр целевой системы?

Добавлено через 42 секунды

Сохраненную веточку реестра упакуйте в зип и приложите сюда.

[drALEX]

ДА! Я повторно загрузился через livecd и подветка winlogon.exe отсутствует

[Bratez]

Вы все перепутали. То что вы прислали, есть ветка
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
которая необходима, ее удалять нельзя!
Однако ж нет худа без добра
Откройте блокнотом этот reg-файл, найдите (ближе к концу) такой блок:

Код:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WLCtrl32]
"DLLName"="WLCtrl32.dll"
"StartShell"="WLEventStartShell"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000000

и удалите его. Файл сохраните. Потом импортируйте обратно в реестр больной системы. Опять же не забудьте в конце выгрузить куст. Будьте предельно внимательны, это критически важная ветка реестра.

[drALEX]

Сделал всё, как указано. Система ведет себя точно также

[drALEX]

Сделал восстановление виндоуз.
Прогнал АВЗ и касперского , сидело дополнительно несколько троянов.
Сейчас полёт нормальный.
Спасибо за помощь

[V_Bond]

логи лучше сделать ... есть подозрения у вас не чисто ...

[drALEX]

логи лучше сделать ... есть подозрения у вас не чисто ...

Компьютер уже уехал к хозяину.

[pig]

Хозяин - барин, конечно...

[drALEX]

Хозяин - барин, конечно...

Не, ну вы правы, конечно , стоило ещё раз не торопясь, посмотреть.
Но чел, увидевши, что открываются его любимые картинки, ждать наотрез отказался, и счастливый ускакал.
Скорее всего вернется