20 ответов в этой теме

[- A-LeX -]

Люди добрые, помогите! HELP!!!

На нЕкоем сайте (не знаю на каком, т.к. не я был за рулем) был подцепен вирус Winlock.130. Кстати, при включенном Вебе и Outpost Security Suite Pro. Винда при старте просила послать СМС на короткий номер. Попробовал зайти в безопрсном режиме под Админом. Увидел стандартный экран входа, но, после ввода пароля, входа в систему не произошло. Увидел надпись "Загрузка параметров" и тут же сменившую её "Сохранение параметров". Далее сценарий повторялся. Ввод пароля-Загрузка параметров-Сохранение параметров-Окно ввода пароля. После этого вход в Винду в обычном режиме начинался стандартно (т.е. без запросов СМС-ок), но входа не происходило (Ввод пароля-Загрузка параметров-Сохранение параметров-Окно ввода пароля).

Скачал DrWeb LiveCD. С него загрузился и просканил систему (но, кстати, не до конца. Когда начинает сканить один объект на рабочем столе, то система становится колом намертво) и нашел 2 виря Winlock.130. 1-й в хэлпах, второй в темпорари ИЕ. Оба удалил. Толку не прибавилось. Винда грузится. Ввод пароля. Загрузка и сразу же сохранение параметров. И о5 я на окне ввода пароля.


Что делать?
Переустановить могу легко, но не вариант.
P.S.
Винда - лицензия.
Веб - лицензия.
Фаервол - лицензия.
Никаких логов дать не могу, ессно, т.к. не могу войти в систему.

[pig]

Раз Live CD грузится - \WINDOWS\System32\userinit.exe присутствует? Можно посредством фдэшки и Midnight commander подсунуть заведомо исправный с другой машины.

[- A-LeX -]

Раз Live CD грузится - \WINDOWS\System32\userinit.exe присутствует? - Чего не знаю - врать не буду. Юзверь. Ну, может образованный юзверь.

Можно посредством фдэшки и Midnight commander подсунуть заведомо исправный с другой машины. - А по-подробнее можно? No found data. =)))

[pig]

На Live CD есть Midnight Commander - нортонообразный файл-менеджер. Вот им зайдите в каталог Windows и посмотрите. Им же можно м флэшки файл скопировать.

[Borka]

Раз Live CD грузится - \WINDOWS\System32\userinit.exe присутствует? - Чего не знаю - врать не буду. Юзверь. Ну, может образованный юзверь.

Можно посредством фдэшки и Midnight commander подсунуть заведомо исправный с другой машины. - А по-подробнее можно? No found data. =)))

Копируете с заведомо чистой машины \WINDOWS\System32\userinit.exe, грузитесь на проблемной машине с ЛивЦД и кладете этот файл туда же в \WINDOWS\System32\

[- A-LeX -]

Нечто подобное я и подозревал...

Но сейчас я ввергну Вас в шоковое состояние.

Я не смог в Midnight Commander'е переключится на другой диск. Т.е. я могу шерстить LiveCD, но не могу(не знаю) как переключитья на диск С, допустим, или любой другой. Он видит NTFS? Если да, то как производится переключение между дисками?

[Borka]

Я не смог в Midnight Commander'е переключится на другой диск. Т.е. я могу шерстить LiveCD, но не могу(не знаю) как переключитья на диск С, допустим, или любой другой. Он видит NTFS? Если да, то как производится переключение между дисками?

В линухе нет дисков. Виндовые диски можно найти в /win

[- A-LeX -]

2 Борис А. Чертенко aka Borka

У меня винда, не Лунух. Т.е. зайдя в директорию /win на LiveCD я увижу все диски?

Борис, будьте человеком! Ответьте развернуто и полно. Я ж больше времени займу, если буду спрашивать в час по чайной ложке! ПЛИИИИИЗ! =))))

[userr]

У меня винда, не Лунух. Т.е. зайдя в директорию /win на LiveCD я увижу все диски?

На LiveCD Linux, Вы грузитесь с него. Вы попробуйте сделать, что просят (зайти в /win и далее), потом, если не получится, будете сюда писать.

[- A-LeX -]

Пишу.

С машины на которой сижу сейчас скопировал userinit.exe и перенёс на свою.

Эффект нулевой.

Что делать?

[pig]

Возьмите с больной машины ветку реестра SOFTWARE и посмотрите, что там в \Microsoft\Windows NT\CurrentVersion\Winlogon про Userinit и Shell написано.

[- A-LeX -]

А подскажите пжлста как это сделать?

[userr]

- A-LeX -
"Безопасный режим с поддержкой командной строки" пробовали?

[pig]

Да тем же MC скопировать на флэшку \WINDOWS\System32\config\SOFTWARE, на рабочей машине подгрузить его редактором реестра как дополнительный куст и смотреть.

[- A-LeX -]

- A-LeX -
"Безопасный режим с поддержкой командной строки" пробовали?

Да. Ни один из вариантов альтернативной загузки не сработал. "Загрузка параметров" и тут же "Сохранение параметров".

[- A-LeX -]

Да тем же MC скопировать на флэшку \WINDOWS\System32\config\SOFTWARE, на рабочей машине подгрузить его редактором реестра как дополнительный куст и смотреть.

Скопировал всю папку config т.к. папки SOFTWARE не нашел (или это тройка файлов software.sav, software.LOG и software?).

Запустил regedit. Вкладки "Загрузить куст" и "Выгрузить куст" неактивные. Как это делается?

[Borka]

Запустил regedit. Вкладки "Загрузить куст" и "Выгрузить куст" неактивные. Как это делается?

Создайте левый ключ в реестре, например, HKCU\1 и импортируйте ветку туда.

[PAUK]

Я конечно, не гуру...
При ТОЧНО таком-же случае -все стояло, все обновлялось у человека, НО... подцепил...
Сделал все гораздо проще и быстрее - загрузился с LiveCD, на котором есть ERD commander
и откатил систему назад - на состояние ДО заражения... 5 минут работы! (если есть точки сохранения, конечно)
Кстати, можно сделать откат и в ручную, без ERD commander - скопировав ветки реестра...уже писали!
НО в этом случае "не вернутся" измененные файлы
А уже потом находить и удалять ОСТАТКИ зверька.

[- A-LeX -]

Итак, все понятно.

Значение Userinit вместо "C:\WINDOWS\system32\userinit.exe," имеет вид "C:\Windows\Help\hlp.exe". Попытки изменить значение на нужное не дают результата ("Ошибка при изменении параметра" "Не удается изменить Userinit. Ошибка при записи нового значения параметра".)

С Shell'ом все в порядке. Значение "Explorer.exe"

Теперь вопрос ребром. Как поменять значение и перенести на свою машину?

[PAUK]

Итак, все понятно.

Теперь вопрос ребром. Как поменять значение и перенести на свою машину?

Вот тут http://support.microsoft.com/kb/307545/ru все расписано - просто взять предыдущую РАБОЧУЮ ветку,
если работало восстановление системы на больной машине...
Все это делать можно, используя LiveCD Dr.Web, а не консоль восстановления - проще.