Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Что делать, если даже в безопасный режим войти невозможно? (http://forum.oszone.net/showthread.php?t=198020)

ab 29-01-2011 20:57 1600028
Что делать, если даже в безопасный режим войти невозможно?
 
Мол. чел. при просмотре футбола по инету подхватил какого-то вымогателя. Только табличка-вымогатель торчит а остальное (рабочий стол, меню пуск, меню правой кнопки мыши) отсутствует. Даже невозможно войти в безопасный режим. Установленный NOD32 3.0.650 с паттерновыми обновлениями раз в мес. даже не отреагировал.
1. Как войти в безопасный режим и запустить находящийся на диске Dr Web CureIt?
2. По какой причине произошла такое заражение?

З.Ы. Intel P-IV, Win XP SP3, IE 8

iskander-k 29-01-2011 22:15 1600088
1. Попробуйте инфо из темы
http://forum.oszone.net/thread-148188.html
http://virusnet.info/forum/showthread.php?t=3019 и внимательно
Разблокирование компьютера при помощи LiveCD

Вам нужен любой LiveCD с возможностью правки реестра
1. Скачайте образ, например: ERD Commander, запишите образ на болванку и загрузитесь с созданного диска
2. Пуск => Выполнить => erdregedit
3. Найдите в реестре и проверьте:

Ветка:

Код:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
Параметр:

Код:
AppInit_DLLs
Содержимое параметра необходимо опубликовать в теме где вам оказывают помощь

Ветка:

Код:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Значение ключа Shell должно быть таким Explorer.exe, если значение отличается - исправить на правильное.


Правильное значения для Userinit это:

Код:
C:\WINDOWS\system32\userinit.exe,
запятая после userinit.exe, - обязательна !


!!! Внесение неверных данных в реестр не дадут нужно результата, а только навредят. Если не уверены в своих действиях, то лучше проконсультироваться с специалистом.

ab 30-01-2011 12:09 1600318
iskander-k,
Глубокое Мэрси уважаемый доктор!
Спасибо за оперативность, за лаконичный и содержаиельный ответ!

Скоро уезжаю к мол. чел. с перечисленным джентльменским набором, по приезду отчитаюсь:)

ab 30-01-2011 19:43 1600615
iskander-k,
Уважаемый доктор!
Докладываю:
1. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

Параметр AppInit_DLLs, содержимое – НИЧЕГО.

1. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Значение ключа Shell было C:\Documents & Settings\ User\ Local Serv\Temp\ (серия цифр).exe, сменил на Explorer.exe

Действующее значение для Userinit было как и в штатном режиме - C:\WINDOWS\system32\userinit.exe,

Короткий вывод: изменилось значение ключа Shell и правильное значение было восстановлено. Файл, влезший в значение ключа по времени появления полностью совпал с моментом появления вымогательной таблички. Этот файл проверял Курелтом от Dr.Web и обновленным антивирусом, Троянов и Вирусов в этом файле нет?! Во как!

Еще раз большое спасибо, особенно от мол. чел.

SolarSpark 30-01-2011 20:09 1600627
ab Выполните рекомендации полученные логи: virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt прикрепите к своей теме, нужно проверить чистоту системы


Время: 10:43.

Время: 10:43.
© OSzone.net 2001-