Проблема после действия смс-вируса в XPsp2 - Операционные системы M$

ntspider · 13.04.2009, 18:01

Всем доброго времени суток!
На компбтере с установленной MS WinXP sp2 почистили вирус, вместе с вирусом нарушилась нормальная загрузка пользователя. При загрузке после появления Рабочего стола сразу начинается выход из системы и переход к странице выбора пользователя компьютера. Название вируса неизвестно, но известны его действия - после заражения появляется сообщение

Регистрация Windows
чтобы приобрести лицензионный ключ
отправьте смс с текстом ppwin на номер 7733
В ответ придет сообщение с ключом,
введите ключ в поле активации.

Что он подправил в Windows? Как это исправить? Кто-нить сталкивался с этим? Заранее благодарен.

Breeze · 13.04.2009, 19:08

Конкретно для этого случая:
http://kakadu-spb.narod.ru/virus/virus.html

vovik · 13.04.2009, 19:11

Цитата:

Сообщение от ntspider

На компбтере с установленной MS WinXP sp2 почистили вирус

Кто почистил-то?

Возможно было удалено не только тело вируса (Winlogon.exe), но и оригинальный файл операционной системы с тем же именем из папки system32

ntspider · 13.04.2009, 23:58

Цитата:

Сообщение от Breeze

Конкретно для этого случая:
http://kakadu-spb.narod.ru/virus/virus.html

Прошу прощения, но до написания темы данные действия были уже проделаны.

добавлено через 1 минуту

Цитата:

Сообщение от vovik

Кто почистил-то?

Возможно было удалено не только тело вируса (Winlogon.exe), но и оригинальный файл операционной системы с тем же именем из папки system32

Оригинальный файл вернули с непоражённой операционной системы. Результат - то, что сейчас происходит, т.е. перезапуск входа.

добавлено через 3 минуты

Цитата:

Сообщение от vovik

Кто почистил-то?

Дело в том, что я лично не делал действия по реанимации системы - ко мне обратились с просьбой о помощи "удаленно", систему и реестр системы я не видел, увы....

vovik · 14.04.2009, 08:27

Цитата:

Сообщение от ntspider

Дело в том, что я лично не делал действия по реанимации системы - ко мне обратились с просьбой о помощи "удаленно", систему и реестр системы я не видел, увы....

Я правильно понял, что мы говорим не о твоем компьютере, к которому у тебя нет нормального доступа, и в котором некто напортачил (производил деструктивные действия - удалил системный файл)?
- где гарантия, что этот файл нужной версии?

Цитата:

Сообщение от ntspider

Оригинальный файл вернули с непоражённой операционной системы.

- где гарантия, что "доктор" не удалил еще десяток системных файлов
- в конце концов откуда уверкнность, что нужный файл помещен куда надо?

ntspider · 14.04.2009, 08:44

vovik,
все упреки справедливы....
была надежда на то, что кто-то сталкивался с такой проблемой
т.е. всё сделали по инструкции (http://kakadu-spb.narod.ru/virus/virus.html), но результат получили такой же как у этих товарищей.....

vovik · 14.04.2009, 11:43

Цитата:

Сообщение от ntspider

была надежда на то, что кто-то сталкивался с такой проблемой

С проблемой шаловливых ручек юзера сталкивалисб многие. Алгоритм действий всегда один: привозить комп специалисту или приглашать специалиста на место. Потомучто если юзер, пользуясь наглядной инструкцией удалил не тот файл, то нет никакой гарантии, что не сделаны другие деструктивные действия. Какие? - совершенно непредсказуемо. Уданенно можно гадать до бесконечности

Cartman · 14.04.2009, 11:50

ntspider, восстанови файл userinit.exe с дистрибутива в каталог винды в папку system32.

ntspider · 14.04.2009, 12:10

Цитата:

Сообщение от Cartman

ntspider, восстанови файл userinit.exe с дистрибутива в каталог винды в папку system32.

сделали - только файл взяли с чистой незараженной системы

добавлено через 19 минут
vovik,
Там непростые юзеры, товарищи в полне адекватные и я им доверяю, делали следующие действия:
меняли файлы winlogon и userinit
в реестре в автозагрузке (RUN) оставили только то, что грузится в чистой незараженной системе, в разделе службы winlogon убрали ссылку на зараженный файл, вместо него строки прописали как в чистой незараженной системе

vovik · 14.04.2009, 12:34

Цитата:

Сообщение от ntspider

Там непростые юзеры, товарищи в полне адекватные

Позволю себе усомниться. Если они

Цитата:

Сообщение от ntspider

всё сделали по инструкции (http://kakadu-spb.narod.ru/virus/virus.html)

то с какой стати им пришлось восстанавливать файл winlogon.exe в папке system32?
Не сходятся концы с концами.

Имхо, гадания в данном случае малопродуктивны, а гарантий, что все обстоятельства известны - никакой.

ntspider · 14.04.2009, 12:42

vovik,

а как должен происходить "правильный" процесс загрузки? что, откуда и с какими параметрами должно запускаться? может быть если всю эту цепочку отследить проблема решится?

vovik · 14.04.2009, 12:53

Цитата:

Сообщение от ntspider

а как должен происходить "правильный" процесс загрузки? что, откуда и с какими параметрами должно запускаться? может быть если всю эту цепочку отследить проблема решится?

ну, если всю цепочку, то вот:
Реестр Microsoft Windows XP - Справочник профессионала.
или вот:
Раздаю книги по Windows XP - лучше смотреть со второй страницы

ntspider · 14.04.2009, 12:58

Цитата:

Сообщение от vovik

Не сходятся концы с концами.

В инструкции разобран частный случай - там все делается через защищенный режим, а у них он был недоступен изначально и так же начиналась выгрузка пользователя. В реестре правки делали при помощи диска "аля ERD Commander"

Andy_ · 15.04.2009, 00:21

ntspider, Команду sfc пробовали запустить???

ntspider · 15.04.2009, 14:14

Цитата:

Сообщение от Andy_

ntspider, Команду sfc пробовали запустить???

пробовали - не запускается, так как запускали в режиме работы программы ERD
вирус назывался Winlock.19

Cartman · 15.04.2009, 16:22

ntspider, тогда как вариант восстановление системы с дистрибутива "по второй R".
Нужен нормальный дистр, не какая нибудь поделка в стиле зверя, реаниматора и т.п.
Первая R - консоль восстановления, это нам не надо.
Вторая - восстановление системы. Восстановит поврежденные и удаленные системные файлы.

ntspider · 15.04.2009, 17:24

Цитата:

Сообщение от Cartman

тогда как вариант восстановление системы с дистрибутива "по второй R".

Процесс воосстановления проходит и потом опять тоже самое

Дистрибутив лицензионный

vovik · 15.04.2009, 17:42

Могу только предположить, что дистрибутив и та система, с которой брался файл - другой версии.

ntspider · 15.04.2009, 17:48

Цитата:

Сообщение от vovik

что дистрибутив и та система, с которой брался файл - другой версии.

тогда бы процедура восстановления разве запустилась бы?!

Breeze · 16.04.2009, 10:46

Это уже становится интересным, поэтому хотелось бы подробностей:
XP профессионал или хоум?
Сколько пользователей в системе и права?
Загружается ли в безопасном режиме после восстановления по R, и если да, то возможен ли вход под администратором?

Цитата:

Сообщение от ntspider

Оригинальный файл вернули с непоражённой операционной системы

смущает. Совпадали ли вирсии винды и сервиспаки? У меня в system32 два winlogon.exe, размеры 497kb и 492kb, но в своё время я экпериментировал с ядром.
О реестре уж не говорим, ибо если взять реестр "с чистой незараженной системы" ось вообще может не завестись.
Вариант с чистой установкой не рассматривается?
Или хотя бы точки восстановления остались?

13.04.2009, 18:01	# 1
ntspider Advanced Member Регистрация: 14.05.2004 Адрес: Ростов-на-Дону Пол: Male Сообщения: 485	Проблема после действия смс-вируса в XPsp2 Всем доброго времени суток! На компбтере с установленной MS WinXP sp2 почистили вирус, вместе с вирусом нарушилась нормальная загрузка пользователя. При загрузке после появления Рабочего стола сразу начинается выход из системы и переход к странице выбора пользователя компьютера. Название вируса неизвестно, но известны его действия - после заражения появляется сообщение Регистрация Windows чтобы приобрести лицензионный ключ отправьте смс с текстом ppwin на номер 7733 В ответ придет сообщение с ключом, введите ключ в поле активации. Что он подправил в Windows? Как это исправить? Кто-нить сталкивался с этим? Заранее благодарен. __________________ Дмитрий К.

13.04.2009, 19:08	# 2
Breeze Вольный Ветер Регистрация: 03.11.2003 Адрес: из Сибири мы Сообщения: 1 051	Конкретно для этого случая: http://kakadu-spb.narod.ru/virus/virus.html __________________ Сотри случайные черты... А. Блок

14.04.2009, 08:44	# 6
ntspider Advanced Member Регистрация: 14.05.2004 Адрес: Ростов-на-Дону Пол: Male Сообщения: 485	vovik, все упреки справедливы.... была надежда на то, что кто-то сталкивался с такой проблемой т.е. всё сделали по инструкции (http://kakadu-spb.narod.ru/virus/virus.html), но результат получили такой же как у этих товарищей..... __________________ Дмитрий К.

14.04.2009, 11:50	# 8
Cartman Migel Mod Volos Регистрация: 09.09.2003 Адрес: МПЛ-в почетной д Сообщения: 7 486	ntspider, восстанови файл userinit.exe с дистрибутива в каталог винды в папку system32. __________________ Все "спасибы" - в приват и в репутацию! не засоряйте форум!!!! © Plague Небьющаяся игрушка - это игрушка, которой ребенок может разбить все свои остальные игрушки. IMHO - отдых в Анапе

14.04.2009, 12:42	# 11
ntspider Advanced Member Регистрация: 14.05.2004 Адрес: Ростов-на-Дону Пол: Male Сообщения: 485	vovik, а как должен происходить "правильный" процесс загрузки? что, откуда и с какими параметрами должно запускаться? может быть если всю эту цепочку отследить проблема решится? __________________ Дмитрий К.

15.04.2009, 00:21	# 14
Andy_ Newbie Регистрация: 28.10.2006 Адрес: Окно в Европу Пол: Male Сообщения: 34	ntspider, Команду sfc пробовали запустить???

15.04.2009, 16:22	# 16
Cartman Migel Mod Volos Регистрация: 09.09.2003 Адрес: МПЛ-в почетной д Сообщения: 7 486	ntspider, тогда как вариант восстановление системы с дистрибутива "по второй R". Нужен нормальный дистр, не какая нибудь поделка в стиле зверя, реаниматора и т.п. Первая R - консоль восстановления, это нам не надо. Вторая - восстановление системы. Восстановит поврежденные и удаленные системные файлы. __________________ Все "спасибы" - в приват и в репутацию! не засоряйте форум!!!! © Plague Небьющаяся игрушка - это игрушка, которой ребенок может разбить все свои остальные игрушки. IMHO - отдых в Анапе

15.04.2009, 17:42	# 18
vovik IMHO Ворчун-2006 Регистрация: 24.03.2003 Адрес: Москва Пол: Male Сообщения: 4 651	Могу только предположить, что дистрибутив и та система, с которой брался файл - другой версии.