Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Опять блокировка Windows (http://forum.oszone.net/showthread.php?t=213519)

DRAGON_LVV 18-08-2011 01:20 1734220
Опять блокировка Windows
 
Мужики помогите! Опять винду заблокировал порно баннер. Посмотрел через менеджер Live CD, ничего подозрительного нет, файлы userinit не заменены. Причём когда нажимаешь CTR+ALT+DEL на экране кроме этого баннера появляется мигающий диспетчер задач и работающее приложение \winscp\, которое не удаляется да и диспетчер ни на что не реагирует. Снёс через менеджер Live CD по вашим подсказкам C:\Documents and Settings\ВАША_УЧЕТНАЯ_ЗАПИСЬ\Local Settings\Temp всё из папки Temp-баннер исчез зато теперь при загрузке вылазит окно приветствия с именем пользователя и ВСЁ, щёлкаешь на него комп и не загружает рабочий стол и не выключается, черт знает что делать? ПРОШУ ВАШЕЙ ПОМОШИ!!!

SolarSpark 18-08-2011 08:16 1734297
C:\Windows\System32\userinit.exe замените на чистый с дистрибутива



1. Выбрать Run ERD Commander. Нажать ОК.

2. Выбрать загружаемую системы. Их может быть несколько. Нажать ОК.



Как правило этот файл находится в каталоге C:\WINDOWS\system32. Этот файл можно взять в дистрибутиве Windows или же взять другого компьютера с такой же операционной системой.

3. Запустить редактор реестра. Для этого нажать кнопку "Start"-"Administrative Tools"-"RegEdit"



4. Найти ветку реестра

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

ключ "Userinit"="С:\WINDOWS\system32\userinit.exe,"

Он должен иметь такой вид "Userinit"="С:\WINDOWS\system32\userinit.exe," . После запятой ничего не должно быть.

5. Если там прописан еще какой-нибудь путь, то нужно его обрезать до выше указанного.

Еще смотрим ветку реестра

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

ключ "Shell"="Explorer.exe"

Если в ключе прописано что-то другое, то замените на указанное выше.

6.Посмотреть что прописано в ветке

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"AppInit_DLLs"

DRAGON_LVV 18-08-2011 11:05 1734375
Извините , только что встал. Файлы я уже заменил и в system32 и в dllcache, баннер то пропал, но в систему и реестр не войдёшь т.к. при клике на иконку пользователя комп то загружает личные параметры то сохраняет их и дальше ничего, мелькает на полсекунды рабочий стол и опять заставка с иконкой пользователя. А при ALT+CTR+DEL появляется окно с предложением ввести пароль пользователя, хотя никакого пароля я не ставил на систему.

alex_sev 18-08-2011 11:19 1734386
А это проверили:

Цитата:
4. Найти ветку реестра

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

ключ "Userinit"="С:\WINDOWS\system32\userinit.exe,"

Он должен иметь такой вид "Userinit"="С:\WINDOWS\system32\userinit.exe," . После запятой ничего не должно быть.

5. Если там прописан еще какой-нибудь путь, то нужно его обрезать до выше указанного.

Еще смотрим ветку реестра

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

ключ "Shell"="Explorer.exe"

Если в ключе прописано что-то другое, то замените на указанное выше.

6.Посмотреть что прописано в ветке

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"AppInit_DLLs"

DRAGON_LVV 18-08-2011 11:28 1734395
Как проверить если не могу в реестр зайти, я бы их давно уже исправил. я сейчас с ноута работаю.

alex_sev 18-08-2011 11:40 1734404
Необходим загрузочный диск с возможностью правки реестра, например ERD Commander

DRAGON_LVV 18-08-2011 11:44 1734408
Понятно, сейчас буду искать нормальный комп для его создания, ато с этой печатной машинкой много не наработешь.

DRAGON_LVV 18-08-2011 19:23 1734747
Загрузился с Run ERD Commander. В ветке [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"AppInit_DLLs"- этого параметра нет, остальное в норме.

alex_sev 18-08-2011 21:02 1734796
Путь к юзеринит точно верный, а то бывает C:/Windows/userinit.exe

DRAGON_LVV 18-08-2011 21:10 1734798
Да конечно

alex_sev 18-08-2011 21:28 1734814
А проверьте еще файл explorer.exe, восстановите его на оригинальный и ветки реестра:

Код:
HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run

DRAGON_LVV 19-08-2011 09:41 1735029
Мужики ничего не помогает, и ERD Commander-ом и AntiwinlockerLiveCD правил реестр заново и восстанавливал загрузочный сектор, та же самая фигня
- загрузка POST кодов-экран приветствия - на полсекунды появляется рабочий стол без иконок - вновь экран с иконкой и именем пользователя и под ним \загрузка личных параметров\ - клик на вход\идёт музыка как при выходе из винды и \сохр.парам.\ - и всё остаётся на том же месте, если ALT+CTR+DEL появляется окно с предложением ввести пароль пользователя и действиями по выкл. или перезагрузке системы. В автозагрузке был процесс noname.exe, я его удалил - но всё осталось по старому. Не хочется но видимо придётся сносить систему и ставить 7-ку. Может кто ещё что нибудь ПОДСКАЖЕТ!

SolarSpark 19-08-2011 11:31 1735083
Я, конечно, не мужик.. но оч. хочется вам помочь.
Попробуйте и это.

Удалите этот раздел (если существует):
Код:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe
еще читаем вот здесь статейку Не удается войти в систему после изменения буквы диска с загрузочным разделом

DRAGON_LVV 19-08-2011 12:06 1735111
Сечас попробую и сообщу.

DRAGON_LVV 19-08-2011 12:49 1735141
ВОТ ЗА ЭТО ОГРОМНОЕ СПАСИБО ЛЭДИ!!!, Всё заработало!!!!
В папке винды temp засел nonem.exe я грохнул его и ветку. которую Вы показали.
Нашим благодарностям нет границ!!!

SolarSpark 19-08-2011 13:09 1735157
рада за Вас)
теперь неплохо бы было посмотреть логи ваши... вдруг есть еще остатки былой роскоши..


Время: 12:25.

Время: 12:25.
© OSzone.net 2001-