Проблема после действия смс-вируса в XPsp2
 

Всем доброго времени суток!
На компбтере с установленной MS WinXP sp2 почистили вирус, вместе с вирусом нарушилась нормальная загрузка пользователя. При загрузке после появления Рабочего стола сразу начинается выход из системы и переход к странице выбора пользователя компьютера. Название вируса неизвестно, но известны его действия - после заражения появляется сообщение

Регистрация Windows
чтобы приобрести лицензионный ключ
отправьте смс с текстом ppwin на номер 7733
В ответ придет сообщение с ключом,
введите ключ в поле активации.

Что он подправил в Windows? Как это исправить? Кто-нить сталкивался с этим? Заранее благодарен.

Конкретно для этого случая:
http://kakadu-spb.narod.ru/virus/virus.html

Кто почистил-то?

Возможно было удалено не только тело вируса (Winlogon.exe), но и оригинальный файл операционной системы с тем же именем из папки system32

Прошу прощения, но до написания темы данные действия были уже проделаны.

добавлено через 1 минуту
Оригинальный файл вернули с непоражённой операционной системы. Результат - то, что сейчас происходит, т.е. перезапуск входа.

добавлено через 3 минуты
Дело в том, что я лично не делал действия по реанимации системы - ко мне обратились с просьбой о помощи "удаленно", систему и реестр системы я не видел, увы....

Я правильно понял, что мы говорим не о твоем компьютере, к которому у тебя нет нормального доступа, и в котором некто напортачил (производил деструктивные действия - удалил системный файл)?
- где гарантия, что этот файл нужной версии?
- где гарантия, что "доктор" не удалил еще десяток системных файлов
- в конце концов откуда уверкнность, что нужный файл помещен куда надо?

vovik,
все упреки справедливы....
была надежда на то, что кто-то сталкивался с такой проблемой
т.е. всё сделали по инструкции (http://kakadu-spb.narod.ru/virus/virus.html), но результат получили такой же как у этих товарищей.....

С проблемой шаловливых ручек юзера сталкивалисб многие. Алгоритм действий всегда один: привозить комп специалисту или приглашать специалиста на место. Потомучто если юзер, пользуясь наглядной инструкцией удалил не тот файл, то нет никакой гарантии, что не сделаны другие деструктивные действия. Какие? - совершенно непредсказуемо. Уданенно можно гадать до бесконечности

ntspider, восстанови файл userinit.exe с дистрибутива в каталог винды в папку system32.

сделали - только файл взяли с чистой незараженной системы

добавлено через 19 минут
vovik,
Там непростые юзеры, товарищи в полне адекватные и я им доверяю, делали следующие действия:
меняли файлы winlogon и userinit
в реестре в автозагрузке (RUN) оставили только то, что грузится в чистой незараженной системе, в разделе службы winlogon убрали ссылку на зараженный файл, вместо него строки прописали как в чистой незараженной системе

Позволю себе усомниться. Если они
то с какой стати им пришлось восстанавливать файл winlogon.exe в папке system32?
Не сходятся концы с концами.

Имхо, гадания в данном случае малопродуктивны, а гарантий, что все обстоятельства известны - никакой.

vovik,

а как должен происходить "правильный" процесс загрузки? что, откуда и с какими параметрами должно запускаться? может быть если всю эту цепочку отследить проблема решится?

ну, если всю цепочку, то вот:
Реестр Microsoft Windows XP - Справочник профессионала.
или вот:
Раздаю книги по Windows XP - лучше смотреть со второй страницы

В инструкции разобран частный случай - там все делается через защищенный режим, а у них он был недоступен изначально и так же начиналась выгрузка пользователя. В реестре правки делали при помощи диска "аля ERD Commander"

ntspider, Команду sfc пробовали запустить???

пробовали - не запускается, так как запускали в режиме работы программы ERD
вирус назывался Winlock.19

ntspider, тогда как вариант восстановление системы с дистрибутива "по второй R".
Нужен нормальный дистр, не какая нибудь поделка в стиле зверя, реаниматора и т.п.
Первая R - консоль восстановления, это нам не надо.
Вторая - восстановление системы. Восстановит поврежденные и удаленные системные файлы.

Процесс воосстановления проходит и потом опять тоже самое :( Дистрибутив лицензионный

Могу только предположить, что дистрибутив и та система, с которой брался файл - другой версии.

тогда бы процедура восстановления разве запустилась бы?!

Это уже становится интересным, поэтому хотелось бы подробностей:
XP профессионал или хоум?
Сколько пользователей в системе и права?
Загружается ли в безопасном режиме после восстановления по R, и если да, то возможен ли вход под администратором?
смущает. Совпадали ли вирсии винды и сервиспаки? У меня в system32 два winlogon.exe, размеры 497kb и 492kb, но в своё время я экпериментировал с ядром.
О реестре уж не говорим, ибо если взять реестр "с чистой незараженной системы" ось вообще может не завестись.
Вариант с чистой установкой не рассматривается?
Или хотя бы точки восстановления остались?

Professional sp2 rus

3 пользователя = 2 админы, 1 обычный пользователь

не загружается

sp2 стоял сразу, потом сделали несколько критических обновлений всего (с сервера WindowsUpdate)

Уже бы переустановили давно - не мучались! :)

а как до них добраться если невозможно добраться до Рабочего стола?
Происходит выгрузка пользователя :(

Извините, не нашел тему сразу.
ntspider
Лечил подобное так- Загрузка с LiveCD, вход в Реестр в
HKLM-Software-Microsoft-Windows NT-CurrentWersion-Winlogon
параметр Userinit должен быть -
C:\Windows\system 32\userinit.exe,
диск должен быть указан тот, где Винда.

ERD Commander-ом. Можно с LiveCD им же. Там есть пункт восстановления с контрольных точек. Там же редактор реестра, удаление паролей. Много фич, в общем. Но диск C: предварительно забекапить, лучше образом (можно акронисом).
Если будет образ - с диском можно вытворять что угодно: допустим, тупо потереть все профили; поудалять винлогоны; а после "издевательств" попробовать заставить винду восстановиться по "второй R" или поставить сверху. В общем, появляется возможность эксперимента.
А вообще по F8 какой-нибудь вариант есть?

ntspider, еще раз загрузись с LiveCD, пройдись свежим CureIT-ом. Потом грузись с дистрибутива XP и восстанавливай по второй R.
Потом проверяй загрузку в безопаснике. Если прокатит - в обычном режиме. Сообщай о результатах.

Не далее как пару дней назад, один, к слову сказать, довольно осторожный пользователь, решил покачать софт для мобильного устройства и отключил Антивирус. Результатом было заражение компьютера подобным вирусом.
Текст на русском. Номер для засылки SMS 3649.
Легко нашелся и убился Dr.Web LiveCD. Причем не свежим, а даже февральским.
Рекомендую.

Это всё проделали сразу

На точку восстановления не дает вернуться :-( например, на месяц март не дает переключиться, а в апреле нет точек восстановления.

По F8 происходит по любому пункту всё одинаково, т.е. доходит до Рабочего стола и идёт в выбор пользователя

добавлено через 1 минуту
уже делали

добавлено через 48 минут
Так и тут убился, но как то криво :-(

ntspider, даже не знаю что еще может быть, разве что проверить ветку
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Сравнить со здоровой машиной.

Уже проверили, сравнивали с чистой системой

ntspider
Имел дело недавно с подобным вирусом.
Был такой момент - в исходной системе winlogon.exe лежит
в C:\Windows\system 32\, после заражения вирус делал зараженный winlogon.exe в папке C:\Windows\ и ставил запуск на это место.
Касперский лечил файл путем удаления, при загрузке система ищет winlogon.exe в C:\Windows\, не находит и выкидывает на экран приветствия.
Исправление в реестре пути запуска winlogon.exe с C:\Windows\ на C:\Windows\system 32\ результата не дало, система не впускала. Помогло помещение файла winlogon.exe в папку C:\Windows\, куда захотел вирус (уже удаленный). Сейчас система работает.

К сожалению, народ не вытерпел и уже систему переустановил с потерей информации, поэтому установить уже не удастся в этом ли была проблема, но похоже, что это скорее всего ближе к истине. Всем спасибо кто участвовал в спасении системы!

Есть еще один метод который может помочь - удалить\переименовать директорию с профайлом пользователя который не может зайти в систему. В этом случае при попытке входа профайл пересоздастся с дефолтного образца винды.
возможно проблема в старом сломаном вирусом профайле юзверя (как пример на логин в систему было прописано запускать конкретный файл, который теперь удален при чистке вируса, или что нибудь подобное)

Еще один вопрос по этой теме... После удаления и исправления не могу нормально пользоваться IE и 7 и 8.
Например на нашем форуме не открываются многие функции, Навигация к примеру, при нажатии экран мигает и пропадает вся панель.
В Почте Яндекса вообще не могу удалить Спам и прочий мусор.
На форумах не отражаются или не работают некоторые панели. Это именно в ОС пораженной этим червем.

а кто сталкивался с тем, что после лечения первого вируса, с активацией Виндовса, появляется окно, что для пользования Интернетом, необходимо отправить смс?