[решено] Проблема с экспоререом. Не запускается.

Severny · Отправлено: **09:09, 09-09-2008** | #2

Пофиски в HijackThis следующие значения

Код:

F2 - REG:system.ini: Shell=C:\WINDOWS\explorer.exe
F2 - REG:system.ini: UserInit=c:\windows\system32\oembios.exe,
O4 - HKLM\..\Run: [WMDM PMSP Service] C:\WINDOWS\system32\cssrss.exe

В AVZ меню Файл-Выполнить скрипт. Скопируй код и нажми "Запустить".

Код:

begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
 QuarantineFile('C:\WINDOWS\system32\valeria1.exe','');
 QuarantineFile('C:\WINDOWS\system32\sysproc64\sysproc32.sys','');
 QuarantineFile('C:\WINDOWS\system32\valeriaplay.exe','');
 QuarantineFile('c:\windows\system32\oembios.exe','');
 QuarantineFile('C:\WINDOWS\system32\oembios.exe','');
 QuarantineFile('C:\WINDOWS\system32\cssrss.exe','');
 DeleteFile('C:\WINDOWS\system32\cssrss.exe');
 DeleteFile('C:\WINDOWS\system32\oembios.exe');
 DeleteFile('C:\WINDOWS\system32\sysproc64\sysproc32.sys');
 DeleteFile('c:\windows\system32\oembios.exe');
 DeleteFile('C:\WINDOWS\system32\valeriaplay.exe');
 DeleteFile('C:\WINDOWS\system32\valeria1.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(8);
ExecuteRepair(16);
BC_Activate;
RebootWindows(true);
end.

После перезагрузки выполни еще скрипт и получившийся карантин вышли в PM.

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Это твой файл?

Код:

Finupr\NETLOGON\Logon_all.vbs

Повтори все логи.

Arkey · Отправлено: **09:35, 09-09-2008** | #3

Цитата Severny:

Это твой файл?
Код:
Finupr\NETLOGON\Logon_all.vbs »

Ага, мой. Сетевые диски подключает. Сделаю, отпишу.

Вааще плохо стало. Теперь как только пользователь входит в систему, сразу же он из нее выходит. Нет возможности воздействовать на процесс.
Зря снесли

F2 - REG:system.ini: Shell=C:\WINDOWS\explorer.exe

Это полный путь к Эксплореру. Как восстановить теперь?
В безопасном тоже самое.

Severny · Отправлено: **10:06, 09-09-2008** | #4

Проверь наличие файла userinit.exe в папке c:\windows\system32. Видимо вирусы (или антивирусы) его удалили.
Если есть возможность (из другой ОС или LiveCD) проверить и восстановить запись в реестре

Код:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\WINDOWS\system32\userinit.exe,"

Цитата Arkey:

Это полный путь к Эксплореру. Как восстановить теперь? »

Explorer здесь не причем.

Arkey · Отправлено: **10:08, 09-09-2008** | #5

Как проверить?
Из лайф CD у меня только Ubuntu

.

BartPE нашел. (ушел смотреть)
Как мне восстановит эту запись с BartPE?

Arkey · Отправлено: **10:32, 09-09-2008** | #6

Так, userinit.exe в Sustem32 нету, зато есть userini.exe и 11 штук valeria2.exe - valeria12.exe (первую мы снисли). userinit.exe можно взять с другого дистра?

Severny · Отправлено: **10:33, 09-09-2008** | #7

Цитата Arkey:

Так, userinit.exe в Sustem32 нету »

Копируй со здоровой машины. Или я сейчас выложу.
Все valeria удали.

Скорее всего поможет переименование userini.exe в userinit.exe.

Arkey · Отправлено: **10:51, 09-09-2008** | #8

Severny, Большое спасибо. Все заработало. Куда там надо кликнуть, чтоб поблагодарить? (UPD, разобрался, уже.)

Severny · Отправлено: **10:52, 09-09-2008** | #9

Arkey, Логи нужно повторить. Рад, что пашет.

Arkey · Отправлено: **11:01, 09-09-2008** | #10

У меня рабочий день закончился, до завтра.