118 ответов в этой теме

[headliner]

Андрей Аракчеев

Доктор Веб промолчал к сожалению=(

Обновитесь, и сканером-сканером его...

[mrbelyash]

Должен нормально загрузиться...В W7 видать не удалось грохнуть userinit.exe

На XP и юзеринит и таск менеджер грохнулись без проблем.

[Nemiroff]

Баннера нет...НО после слов добро пожаловать появляется черный экран И ВСЁ! Запускается диспетчер задач хотя Запущено 5 процессов:
csrss.exe
taskeng.exe
taskhost.exe
taskmgr.exe
winlogon.exe
Пока писал пропал процесс taskeng.exe

[mrbelyash]

Баннера нет...НО после слов добро пожаловать появляется черный экран И ВСЁ! Запускается диспетчер задач хотя Запущено 5 процессов:
csrss.exe
taskeng.exe
taskhost.exe
taskmgr.exe
winlogon.exe
Пока писал пропал процесс taskeng.exe

Все верно.

Теперь в диспетчере задач-новая задача

regedit.exe

ок

и исправляем ключ shell

Должно быть


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe"

Сообщение было изменено mrbelyash: 26 Апрель 2011 - 13:17

[Nemiroff]

я когда изменял написал просто Explorer.exe Правильно?
А тут еще изменено значение Userinit на C:\ProgramData\22CC632.exe что с ним делать?

Сообщение было изменено Nemiroff: 26 Апрель 2011 - 13:23

[mrbelyash]

я когда изменял написал просто Explorer.exe Правильно?
А тут еще изменено значение Userinit на C:\ProgramData\22CC632.exe что с ним делать?

В этом ключе (Shell)должно остаться только Explorer.exe все остальное стереть.

Файл C:\ProgramData\22CC632.exe удалить.

Ключ userinit="userinit.exe" все остальное стереть

Сообщение было изменено mrbelyash: 26 Апрель 2011 - 13:33

[Nemiroff]

В Userinit тоже значение Explorer.exe ставить, да?

[mrbelyash]

В Userinit тоже значение Explorer.exe ставить, да?

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe"
"Userinit"="userinit.exe"

[Nemiroff]

Всё загрузился успешно всё работет!!!!=))))))) СПАСИБО ВАМ ОГРОМНОЕ!!!!!!!!!!!!!!!!!!

[userr]

Nemiroff
сделайте логи по Правилам

[Chaosman]

У меня аналогичная проблема, с той лишь разницей, что после изменений реестра ничего не меняется.

Я загружался с помощью ERD, менял параметры Shell и userinit на правильные, чистил автозагрузку, удалял сами файлы, но после перезагрузки баннер никуда не исчезает. Загружаюсь заново через ERD, захожу в реестр, там параметр shell нормальный, а userinit опять неправильный и файл, к которому идет путь userinit снова на месте.

Подскажите, может есть места, где он еще прописывается.

[mrbelyash]

У меня аналогичная проблема, с той лишь разницей, что после изменений реестра ничего не меняется.

Я загружался с помощью ERD, менял параметры Shell и userinit на правильные, чистил автозагрузку, удалял сами файлы, но после перезагрузки баннер никуда не исчезает. Загружаюсь заново через ERD, захожу в реестр, там параметр shell нормальный, а userinit опять неправильный и файл, к которому идет путь userinit снова на месте.

Подскажите, может есть места, где он еще прописывается.

Пришлите мне файлы с зараженной системы

С:\WINDOWS\System32\userinit.exe


С:\WINDOWS\System32\taskmgr.exe

Сообщение было изменено mrbelyash: 26 Апрель 2011 - 16:40

[Nemiroff]

userr
А можно использовать альтернативный сканер, не CureIt? Не обижайтесь, но он так долго сканирует, 12 часов сканировал мои 25 Гб, при том, что у меня довольно мощный ноутбук. А все остальные логи я думаю сделаю.

[Chaosman]

Не видит флешку, какие-нибудь альтернативные варианты есть, как перекинуть файлы. Интернет тоже не работает, да и вообще все работает как то слишком медленно.

[Nemiroff]

Не видит флешку, какие-нибудь альтернативные варианты есть, как перекинуть файлы. Интернет тоже не работает, да и вообще все работает как то слишком медленно.

Сделай как я. Загрузись через Dr.Web LiveCD там и менеджер файлов понятней, и быстро работает всё, и со съемными носителями проще

[mrbelyash]

вставить флешку до загрузки

[mrbelyash]

оба трояны

----------

нужно их заменить на нормальные...что у вас за ось?сервиспак какой?

ЗюЫю


Кстати вебом детектятся Trojan.Winlock.3300

Сообщение было изменено mrbelyash: 26 Апрель 2011 - 18:22

[Chaosman]

XP SP3

Где можно взять нормальные?

Сообщение было изменено Chaosman: 26 Апрель 2011 - 18:24

[mrbelyash]

XP SP3

удалить

C:\Documents and Settings\All Users\Application Data\22CC6C32.exe

C:\WINDOWS\System32\userinit.exe

C:\WINDOWS\System32\taskmgr.exe

C:\WINDOWS\System32\03014D3F.exe



------

Распаковать и положить в C:\WINDOWS\System32 эти файлы

Сообщение было изменено mrbelyash: 26 Апрель 2011 - 18:27

[Chaosman]

Помогло, спасибо.