Показать полную графическую версию : Никуда не зайти(безп режим, дисп задач, explorer)
Всем привет. Вот на днях принесли мне ноутбук с кучей вирусов. С самого начала:
- в сейв мод не зайти, сразу на перезагрузку, я так думаю вируса поработали.
- не заходил в дисп задач - выключено администратором, хоть я и заходил под админом - тоже вируса поработали( ну это ладно, можно включить в винде).
- запуск сканеров антивирусов блочил, не давал запускать.
Ну эт все ладно, пошаманив немного сканер запустился, нашел кучу бяк, благопалучно удалил. Вот только я накосячил и не просмотрел весь список найденных вирусов. Выделил все - fix/delete.
И вот теперь, после перезагрузки не грузится рабочий стол, только обоина видна. В Дисп задач по прежнему не зайти. В Безопасный режим тоже. Вот я и хотел бы у вас спросить, возможно ли как нибуть восстановить систему?
Зы: винда - Win Xp Professional
зызы: сейчас в систему получается зайти только через диск winXPE
зызызы: Пробывал восстановить explorer через AVZ - не помогло. В реестре вроде все правильно.
1. Запустите regedit и выделите раздел HKEY_USERS.
2. Выберите в меню программы File - Load Hive (Файл - Загрузить куст) и перейдите к папке, где находится реестр вашей Windows (обычно C:\Windows\System32\Config).
3. Выделите файл SOFTWARE без расширения и нажмите Open (Открыть).
4. Введите имя для раздела, который вы загрузили, например, MyHive.
посмотрите Microsoft\Windows NT\Winlogon(в обычном виде это [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
параметр Userinit должен быть такой C:\WINDOWS\system32\userinit.exe, (с запятой)
не забудьте выгрузить куст
Можете попробовать заменить файл userinit.exe на такой же. взяты с чистой системы.
Также загрузить файл SYSTEM, смотрим во всех ветках реестра ControlSet00#\Control\Session Manager\SubSystems
где 00# = 001, 002, ...
Параметр: Windows
%SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16
Если вместо basesrv что-то другое, проверяем есть ли на диске больной системы файл C:\WINDOWS\system32\basesrv.dll и файл-зловред basexxxx32.dll, копируем оригинальный basesrv.dll на basexxxx32.dll, исправляем в реестре ServerDll=basesrv
см. также Как восстановить работу системы после повреждения системного реестра, препятствующего запуску Windows XP (http://support.microsoft.com/kb/307545/ru)
Как выполнить обновление (переустановку) Microsoft Windows XP (http://support.microsoft.com/kb/315341/ru) - начать с раздела "Восстановление системы"
Если не помогло, покажите что у вас в реестре
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\
Пробывал восстановить explorer через AVZ - не помогло »
AVZ запускается? Тогда делайте логи по правилам (http://forum.oszone.net/thread-98169.html)
Заранее спасибо, завтра на работе попробую. Если что, отпишусь.
Да AVZ запускается но при загрузке через диск winXPE
при загрузке через диск winXPE »
Такой лог не нужен (бесполезен), попробуйте рекомендации выше
И вот теперь, после перезагрузки не грузится рабочий стол, только обоина видна. »
посмотрите Microsoft\Windows NT\Winlogon(в обычном виде это [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] »
В этом ключике Shell должен иметь значение Explorer.exe.В Дисп задач по прежнему не зайти. »
Через gpedit.msc или где-то в реестре удалить параметр DisableTaskMgr.
Через gpedit.msc или где-то в реестре удалить параметр DisableTaskMgr. »
в реестре это
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System
http://www.oszone.net/3632/#7
Проделал выше указанные операции кроме
см. также Как восстановить работу системы после повреждения системного реестра, препятствующего запуску Windows XP Как выполнить обновление (переустановку) Microsoft Windows XP
Смотрел реестр загрузившись с WinXpe. Вроде все правильно было прописано как и у вас. В нормальную систему смог зайти только после замены userinit.exe. Пофиксил дисп задач.
Хотелось бы спросить как дальше действовать? Надо быть уверенным в работоспособности системы, прежде чем отдавать сие чудо.
В нормальную систему смог зайти только после замены userinit.exe »
Теперь надо убедиться, что не осталось зловредов, делайте логи по правилам (http://forum.oszone.net/thread-98169.html)
Логи делаю. Еще хотел спросить, можно ли как нибуть пофиксить безопасный режим? Сейчас он в него не заходит - сразу на перезагрузку
можно ли как нибуть пофиксить безопасный режим »
можно будет исправить скриптом AVZ или можете применить следующий reg файл (сохраните перед этим ветку реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot)
сохраните как restore_safebot.reg, примените
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot]
"AlternateShell"="cmd.exe"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\AppMgmt]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Base]
@="Driver Group"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Boot Bus Extender]
@="Driver Group"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Boot file system]
@="Driver Group"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\CryptSvc]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\DcomLaunch]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmadmin]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmboot.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmio.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmload.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmserver]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\EventLog]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\File system]
@="Driver Group"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Filter]
@="Driver Group"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\HelpSvc]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Netlogon]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PCI Configuration]
@="Driver Group"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PlugPlay]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PNP Filter]
@="Driver Group"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Primary disk]
@="Driver Group"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\RpcSs]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SCSI Class]
@="Driver Group"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sermouse.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sr.sys]
@="FSFilter System Recovery"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SRService]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\System Bus Extender]
@="Driver Group"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vga.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vgasave.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinMgmt]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{36FC9E60-C465-11CF-8056-444553540000}]
@="Universal Serial Bus controllers"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E965-E325-11CE-BFC1-08002BE10318}]
@="CD-ROM Drive"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}]
@="DiskDrive"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E969-E325-11CE-BFC1-08002BE10318}]
@="Standard floppy disk controller"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96A-E325-11CE-BFC1-08002BE10318}]
@="Hdc"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96B-E325-11CE-BFC1-08002BE10318}]
@="Keyboard"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96F-E325-11CE-BFC1-08002BE10318}]
@="Mouse"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E977-E325-11CE-BFC1-08002BE10318}]
@="PCMCIA Adapters"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E97B-E325-11CE-BFC1-08002BE10318}]
@="SCSIAdapter"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E97D-E325-11CE-BFC1-08002BE10318}]
@="System"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E980-E325-11CE-BFC1-08002BE10318}]
@="Floppy disk drive"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{71A27CDD-812A-11D0-BEC7-08002BE2092F}]
@="Volume"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{745A17A0-74D3-11D0-B6FE-00A0C90F57DA}]
@="Human Interface Devices"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\AFD]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\AppMgmt]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Base]
@="Driver Group"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Boot Bus Extender]
@="Driver Group"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Boot file system]
@="Driver Group"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Browser]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\CryptSvc]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\DcomLaunch]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Dhcp]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dmadmin]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dmboot.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dmio.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dmload.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dmserver]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\DnsCache]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\EventLog]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\File system]
@="Driver Group"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Filter]
@="Driver Group"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\HelpSvc]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\ip6fw.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\ipnat.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\LanmanServer]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\LanmanWorkstation]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\LmHosts]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Messenger]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NDIS]
@="Driver Group"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NDIS Wrapper]
@="Driver Group"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Ndisuio]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetBIOS]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetBIOSGroup]
@="Driver Group"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetBT]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetDDEGroup]
@="Driver Group"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Netlogon]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetMan]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Network]
@="Driver Group"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetworkProvider]
@="Driver Group"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\nm]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\nm.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NtLmSsp]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PCI Configuration]
@="Driver Group"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PlugPlay]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PNP Filter]
@="Driver Group"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PNP_TDI]
@="Driver Group"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Primary disk]
@="Driver Group"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\rdpcdd.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\rdpdd.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\rdpwd.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\rdsessmgr]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\RpcSs]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\SCSI Class]
@="Driver Group"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\sermouse.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\SharedAccess]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\sr.sys]
@="FSFilter System Recovery"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\SRService]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Streams Drivers]
@="Driver Group"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\System Bus Extender]
@="Driver Group"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Tcpip]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\TDI]
@="Driver Group"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\tdpipe.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\tdtcp.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\termservice]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\vga.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\vgasave.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\WinMgmt]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\WZCSVC]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{36FC9E60-C465-11CF-8056-444553540000}]
@="Universal Serial Bus controllers"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E965-E325-11CE-BFC1-08002BE10318}]
@="CD-ROM Drive"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}]
@="DiskDrive"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E969-E325-11CE-BFC1-08002BE10318}]
@="Standard floppy disk controller"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E96A-E325-11CE-BFC1-08002BE10318}]
@="Hdc"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E96B-E325-11CE-BFC1-08002BE10318}]
@="Keyboard"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E96F-E325-11CE-BFC1-08002BE10318}]
@="Mouse"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}]
@="Net"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E973-E325-11CE-BFC1-08002BE10318}]
@="NetClient"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E974-E325-11CE-BFC1-08002BE10318}]
@="NetService"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E975-E325-11CE-BFC1-08002BE10318}]
@="NetTrans"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E977-E325-11CE-BFC1-08002BE10318}]
@="PCMCIA Adapters"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E97B-E325-11CE-BFC1-08002BE10318}]
@="SCSIAdapter"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E97D-E325-11CE-BFC1-08002BE10318}]
@="System"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E980-E325-11CE-BFC1-08002BE10318}]
@="Floppy disk drive"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{71A27CDD-812A-11D0-BEC7-08002BE2092F}]
@="Volume"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{745A17A0-74D3-11D0-B6FE-00A0C90F57DA}]
@="Human Interface Devices"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"Authentication Packages"=hex(7):6d,00,73,00,76,00,31,00,5f,00,30,00,00,00,00,\
00
смог сделать логи только через hijackthis и Deckard's System Scanner. Avz не хочет запускаться, хотя версия рабочая.
При перезагрузке DisableTaskMgr выставляется на 1. Что то в нем еще живет?!
Diak, зверья ещё полно, зоопарк. Вы с помощью AVPTool (http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/) проверяли систему?
Запустите файл hijackthis.exe, нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked".
O2 - BHO: HujApp Class - {8E9F39F8-40EE-4dd2-A439-2A90224E5DB5} - C:\WINDOWS\system32\prxsmr.dll
O4 - HKLM\..\Run: [System] C:\WINDOWS\system32\wind32.exe
O4 - HKLM\..\Run: [taskmon] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [sfrRsfds.exe] C:\WINDOWS\system32\sfrRsfds.exe
O4 - HKLM\..\Run: [runwinlogon] C:\WINDOWS\winlogon.exe
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://vkontakte.ru/uploader/ImageUploader4.cab
O20 - Winlogon Notify: partnershipreg - C:\WINDOWS\
O20 - Winlogon Notify: sysfldr - C:\WINDOWS\SYSTEM32\sysfldr.dll
O20 - Winlogon Notify: WinNt32 - C:\WINDOWS\SYSTEM32\WinNt32.dll
O20 - Winlogon Notify: WLXakr - C:\WINDOWS\SYSTEM32\WLXakr.dll
Скачайте ComboFix здесь (http://subs.geekstogo.com/ComboFix.exe) или здесь (http://download.bleepingcomputer.com/sUBs/ComboFix.exe) и сохраните на рабочий стол (если Combofix не запуститься, попробуйте переименовать его в combo-fix.exe и запустить).
1. Внимание! Обязательно закройте все браузеры, закройте и отключите все антивирусное и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится скопируйте и скопируйте текст из C:\ComboFix.txt в сообщение, еcли лог окажется очень большой, прикрепите ComboFix.txt к сообщению
Как использовать ComboFix - how-to-use-combofix (http://www.bleepingcomputer.com/combofix/how-to-use-combofix)
Скачайте SDFix (http://downloads.andymanchesta.com/RemovalTools/SDFix.exe) - описание тут (http://www.saule-spb.ru/library/sdfix.html), проверьте компьютер, после проверки прикрепите Report.txt к сообщению.
После Сombofix и SDFix AVZ должен заработать, если не заработает, скачайте AVZ, переименованный в game.exe здесь (http://slil.ru/25800255) или avz.exe здесь (http://www.z-oleg.com/avz.exe) (если не запустится, попробуйте переименовать в 123.pif) и сделайте логи
не знаю нормально ли это... пофиксил через hijackthis.exe. Запустил ComboFix, когда началось сканирование, вылетел вирус(не помню как он называется, но суть такая: вылетает небольшое окно в котором написано: бла бла бла компьютер будет выключен через столько то секунд).
Нет, через AVPTool я не проверял. Др веб юзал
Diak, перезагрузитесь, и сразу запускаете ComboFix, если будет то же самое, перезагрузитесь и начните со следующего шага (SDFix - в безопасном режиме) и AVZ, не забудьте вместе с логами AVZ выложить лог hijackthis
перезагрузился, запустил Combofix, при сканировании опять вылетела эта штука, но до выключения он успел что то сделать. Все сделал Sdfix'ом затем запустил AVZ. Логи готовы
зы: уже видно что ему стало получше =)
Отключите восстановление системы!
В AVZ - файл - выполнить скрипт – выделить и скопировать текст ниже (методом Ctrl+C/Ctrl+V или с помощью правой кн. мыши копировать/вставить) в окно выполнения скрипта AVZ и нажать кнопку «Запустить». На время выполнения скрипта выключите антивирус и firewall, отключите интернет.
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('dpti930');
SetServiceStart('dpti930', 4);
SetServiceStart('Hmq62', 4);
SetServiceStart('Yei04', 4);
SetServiceStart('TosIde', 4);
SetServiceStart('MS Windows Mouse', 4);
SetServiceStart('Windows Inet Control Service', 4);
SetServiceStart('SysmonLogSpooler', 4);
SetServiceStart('RpcSsSysmonLogSpooler', 4);
QuarantineFile('C:\WINDOWS\system32\MSmouse.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\engqnl.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Hmq62.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\Yei04.sys','');
QuarantineFile('C:\DOCUME~1\admkar\LOCALS~1\Temp\16.tmp','');
QuarantineFile('C:\WINDOWS\system32\3076p.exe','');
QuarantineFile('C:\WINDOWS\system32\actmoviet.exe','');
QuarantineFile('C:\WINDOWS\system32\MSmouse.exe','');
QuarantineFile('C:\WINDOWS\SYSTEM32\WLXakr.dll','');
QuarantineFile('C:\WINDOWS\SYSTEM32\WinNt32.dll','');
QuarantineFile('C:\WINDOWS\SYSTEM32\sysfldr.dll','');
QuarantineFile('C:\WINDOWS\winlogon.exe','');
QuarantineFile('C:\WINDOWS\system32\sfrRsfds.exe','');
QuarantineFile('C:\WINDOWS\taskmon.exe','');
QuarantineFile('C:\WINDOWS\system32\wind32.exe','');
QuarantineFile('C:\WINDOWS\system32\prxsmr.dll','');
QuarantineFile('C:\WINDOWS\VFind.exe','');
QuarantineFile('C:\WINDOWS\system32\1031v.exe','');
QuarantineFile('C:\WINDOWS\system32\1025o.dll','');
QuarantineFile('C:\WINDOWS\win32ole.dll','');
QuarantineFile('C:\WINDOWS\system32\ahst596.exe','');
QuarantineFile('C:\WINDOWS\system32\swin32.dll','');
QuarantineFile('C:\WINDOWS\system32\ahst550.exe','');
QuarantineFile('C:\WINDOWS\system32\lnlya.exe','');
QuarantineFile('C:\WINDOWS\system32\WxXK.dll','');
QuarantineFile('C:\WINDOWS\system32\BoKy.dll','');
QuarantineFile('C:\WINDOWS\system32\MxHM.dll','');
QuarantineFile('C:\WINDOWS\system32\Rhxj.exe','');
QuarantineFile('C:\WINDOWS\system32\ahst534.exe','');
QuarantineFile('C:\WINDOWS\system32\ahst563.exe','');
QuarantineFile('C:\WINDOWS\libor.exe','');
QuarantineFile('C:\WINDOWS\system32\ahst593.exe','');
QuarantineFile('C:\WINDOWS\system32\ahst564l.sys','');
QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
QuarantineFile('C:\WINDOWS\system32\hnwtse32.dll','');
QuarantineFile('C:\WINDOWS\system32\ahst449.exe','');
QuarantineFile('C:\WINDOWS\system32\ahst472.exe','');
QuarantineFile('C:\WINDOWS\system32\w104018.exe','');
QuarantineFile('C:\WINDOWS\system32\ahst595.exe','');
QuarantineFile('C:\WINDOWS\system32\ahst602.exe','');
QuarantineFile('C:\WINDOWS\system32\ahst564.exe','');
DeleteFile('C:\WINDOWS\system32\MSmouse.exe');
DeleteFile('C:\WINDOWS\system32\actmoviet.exe');
DeleteFile('C:\WINDOWS\system32\3076p.exe');
DeleteFile('C:\DOCUME~1\admkar\LOCALS~1\Temp\16.tmp');
DeleteFile('C:\WINDOWS\system32\drivers\engqnl.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Hmq62.sys');
DeleteFile('C:\WINDOWS\system32\drivers\Yei04.sys');
DeleteFile('C:\WINDOWS\system32\MSmouse.sys');
DeleteFile('C:\WINDOWS\system32\prxsmr.dll');
DeleteFile('C:\WINDOWS\system32\wind32.exe');
DeleteFile('C:\WINDOWS\taskmon.exe');
DeleteFile('C:\WINDOWS\system32\sfrRsfds.exe');
DeleteFile('C:\WINDOWS\winlogon.exe');
DeleteFile('C:\WINDOWS\SYSTEM32\sysfldr.dll');
DeleteFile('C:\WINDOWS\SYSTEM32\WinNt32.dll');
DeleteFile('C:\WINDOWS\SYSTEM32\WLXakr.dll');
DeleteFile('C:\WINDOWS\system32\1025o.dll');
DeleteFile('C:\WINDOWS\system32\1031v.exe');
DeleteFile('C:\WINDOWS\system32\swin32.dll');
DeleteFile('C:\WINDOWS\system32\ahst596.exe');
DeleteFile('C:\WINDOWS\win32ole.dll');
DeleteFile('C:\WINDOWS\system32\Rhxj.exe');
DeleteFile('C:\WINDOWS\system32\MxHM.dll');
DeleteFile('C:\WINDOWS\system32\BoKy.dll');
DeleteFile('C:\WINDOWS\system32\WxXK.dll');
DeleteFile('C:\WINDOWS\system32\lnlya.exe');
DeleteFile('C:\WINDOWS\system32\ahst550.exe');
DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\ahst564l.sys');
DeleteFile('C:\WINDOWS\system32\ahst593.exe');
DeleteFile('C:\WINDOWS\libor.exe');
DeleteFile('C:\WINDOWS\system32\ahst563.exe');
DeleteFile('C:\WINDOWS\system32\ahst534.exe');
DeleteFile('C:\WINDOWS\system32\ahst602.exe');
DeleteFile('C:\WINDOWS\system32\ahst595.exe');
DeleteFile('C:\WINDOWS\system32\w104018.exe');
DeleteFile('C:\WINDOWS\system32\ahst472.exe');
DeleteFile('C:\WINDOWS\system32\ahst449.exe');
DeleteFile('C:\WINDOWS\system32\hnwtse32.dll');
DeleteFile('C:\WINDOWS\system32\ahst564.exe');
DeleteService('SysmonLogSpooler');
DeleteService('Windows Inet Control Service');
DeleteService('RpcSsSysmonLogSpooler');
DeleteService('MS Windows Mouse');
DeleteService('TosIde');
DeleteService('Hmq62');
DeleteService('Yei04');
DeleteService('dpti930');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('dpti930 ');
BC_DeleteFile('C:\WINDOWS\system32\drivers\engqnl.sys');
BC_DeleteFile('C:\WINDOWS\system32\MSmouse.sys');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip выслать на user15802[at]mail.ru, в теле письма указать ссылку на тему, или выложить файл на ifolder.ru или другой файлообменник и дать ссылку на него в ПМ (личку).
пофиксите в hijackthis
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://us.rd.yahoo.com/customize/ie/defaults/sb/msgr8/*http://www.yahoo.com/ext/search/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://us.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*http://www.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://us.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://www.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://us.rd.yahoo.com/customize/ie/defaults/sb/msgr8/*http://www.yahoo.com/ext/search/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://us.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*http://www.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://us.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://www.yahoo.com
O20 - Winlogon Notify: WLXakr - C:\WINDOWS\
Запустите в AVZ Мастер поиска и устранения проблем, выберите все системные проблемы, выставьте степень опасности "Все проблемы", исправьте найденные проблемы. То же самое можно выполнить в категории проблемы "Настройки и твики браузера".
Запустите снова Combofix, если не запустится, скачайте ещё раз и запустите, прикрепите C:\ComboFix.txt к след. сообщению.
Скачайте Malwarebytes' Anti-Malware (http://www.besttechie.net/tools/mbam-setup.exe), установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan",
после сканирования - Ok - Show Results - нажмите "Remove Selected"
Откройте лог и скопируйте в сообщение.
тут (http://virusinfo.info/showthread.php?t=20736) есть картинки по использованию Malwarebytes' Anti-Malware.
Можете также проверить систему с помощью AVPTool (http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/)
Повторите логи virusinfo_syscheck.zip (AVZ уже можно использовать обычный, обновив базы), hijackthis (у вас HijackThis v1.99.1 - скачайте новую версию HijackThis (http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis.zip)) и повторите логи DSS
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot] "AlternateShell"="cmd.exe" »
Этот параметр реестра Microsoft Windows XP отвечает за альтернативную оболочку Microsoft Windows. Она используется при загрузке в безопасном режиме с командной строкой. Некоторые вирусы меняют ее.
сделаем паузу до понедельника? Ноут на работе остался.
Добрый день, продолжим? =)
Все сделал что написано выше.
Вот логи
ЗЫ: Письмо отправил
© OSzone.net 2001-2012
vBulletin v3.6.4, Copyright ©2000-2025, Jelsoft Enterprises Ltd.
Available in ZeroNet 1osznRoVratMCN3bFoFpR2pSV5c9z6sTC