-
Junior Member
- Вес репутации
- 59
не логинится после лечения
лечил нодом 32 v.2..
комп под ХР (в домене).
нашло какую то хрень(не обратьил внимания что именно, но точно помню что червь).
зараза лечению не поддалась и говорила что надо удалять.
просила грохать файл. по моему с именем userinitблаблабла.
поставил галку скопировать в карантин и удалил.
попросило перезагрузку.
перезагрузился.
при вводе логина и пароля - пытается загрузиться, потом окно (смотри вложение) нажимаю ок и попадаю опять на ввод логина и пароля.
т.е. загрузиться не получается.
пробовал зайти через remote desktop (до лечения я мог это делать) - выдаёт другое окно(смотри вложение №2)
в безопасном режиме - ввожу пароль локального админа - пітается грузиться и опять окно с логином-паролем.
выручайте.
ещё информации.
этот комп - прокси. на нём стоит Kerio Winroute.
несмотря на невозможность загрузки комп раздаёт интернет, пингуется и можно зайти на его диски. могу зайти в папку нода.
как логи нода посмотреть по сети?
может точно тогда узнаю что грохнуло и попробую грохнутое вернуть.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Сообщение от
wolya
просила грохать файл. по моему с именем userinitблаблабла.
Если Вы userinit.exe удалили, то все ясно. Диск вставить в другой комп, просканить АВПтулом (ссылка в подписи) , userinit.exe скопировать с другой такой же системы, диск вставить обратно, сделать логи по правилам.
Альтернативно: Загрузиться с диструбутива в консоли восстановления - при загрузке давить не клавишу R, файл userinit.exe скопировать из ../windows/servicerackfiles/i386 в ../windows/system32...
-
-
Junior Member
- Вес репутации
- 59
преписал userinit.exe с такой же системы в windows/system32
ввожу пароль. пытается логиниться, потом пишет "сохранение параметров" и опять экран "нажмите Ctrl+Alt+Del".
(всё происходит очень быстро и без окон сообщений).
PS: очень хочу посмотреть лог лечения нода на той машине.
тогда бы точно знал что я удалял.
но не заню как и где найти этот лог лечения. доступ к диску и папке нода есть.
Последний раз редактировалось Rene-gad; 06.08.2008 в 13:10.
Причина: fullquote удалена
-
Сообщение от
wolya
доступ к диску и папке нода есть.
А мануал к НоДу читали?
-
-
Junior Member
- Вес репутации
- 59
получилось прочитать лог лечения. вот он:
Код:
Scan performed at: 06.08.2008 9:50:56
Лог сканирования
Версия NOD32 3331 (20080806) NT
Командная строка: d:\windows\userinit.exe D:\WINDOWS\system32\system.exe
Operating memory - probably a variant of Win32/AutoRun.PD worm
Дата: 6.8.2008 Время: 09:52:54
Проверены диски, папки и файлы: d:\windows\userinit.exe; D:\WINDOWS\system32\system.exe
d:\windows\userinit.exe - probably a variant of Win32/AutoRun.PD worm - quarantined - deleted (after the next restart) [2]
D:\WINDOWS\system32\system.exe - probably a variant of Win32/AutoRun.PD worm - quarantined - deleted (after the next restart) [2]
Количество проверенных файлов: 2
Количество найденных вирусов: 2
Количество очищенных файлов: 2
Время завершения: 09:53:09 Общее время сканирования: 15 сек (00:00:15)
Примечания:
[2] Файл используется (открыт или выполняется). Требуется перезапуск системы для завершения очистки.
после этого перезапуска - запускается, но перестал логиниться.
переписал userinit.exe с такой же системы в
windows/system32
не логинится.
странно, но в удалённый реестр я могу залезть.(надо будет потом отрубить.)
подскажите где чего смотреть в реестре?
-
загрузите реестр больной системы и проверьте ключи ...
1
Код:
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/Current Version/Winlogon
значение параметра Userinit должно быть
Код:
C:\WINDOWS\system32\userinit.exe,
2
Код:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\Session Manager\SubSystems]
должно быть так ....
Код:
"Windows"="%SystemRoot%\\system32\\csrss.exe ObjectDirectory=\\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16"
-
-
Junior Member
- Вес репутации
- 59
спасибо камрады.
как вы и говорили, дело было в userinit.exe и services.msc