imho.ws |
|
13.04.2009, 18:01 | # 1 |
Advanced Member
Регистрация: 14.05.2004
Адрес: Ростов-на-Дону
Пол: Male
Сообщения: 485
|
Проблема после действия смс-вируса в XPsp2
Всем доброго времени суток!
На компбтере с установленной MS WinXP sp2 почистили вирус, вместе с вирусом нарушилась нормальная загрузка пользователя. При загрузке после появления Рабочего стола сразу начинается выход из системы и переход к странице выбора пользователя компьютера. Название вируса неизвестно, но известны его действия - после заражения появляется сообщение Регистрация Windows чтобы приобрести лицензионный ключ отправьте смс с текстом ppwin на номер 7733 В ответ придет сообщение с ключом, введите ключ в поле активации. Что он подправил в Windows? Как это исправить? Кто-нить сталкивался с этим? Заранее благодарен.
__________________
Дмитрий К. |
13.04.2009, 19:08 | # 2 |
Вольный Ветер
Регистрация: 03.11.2003
Адрес: из Сибири мы
Сообщения: 1 051
|
Конкретно для этого случая:
http://kakadu-spb.narod.ru/virus/virus.html
__________________
Сотри случайные черты... А. Блок |
13.04.2009, 23:58 | # 4 | ||
Advanced Member
Регистрация: 14.05.2004
Адрес: Ростов-на-Дону
Пол: Male
Сообщения: 485
|
Цитата:
добавлено через 1 минуту Цитата:
добавлено через 3 минуты Дело в том, что я лично не делал действия по реанимации системы - ко мне обратились с просьбой о помощи "удаленно", систему и реестр системы я не видел, увы....
__________________
Дмитрий К. |
||
14.04.2009, 08:27 | # 5 | |
IMHO Ворчун-2006
Регистрация: 24.03.2003
Адрес: Москва
Пол: Male
Сообщения: 4 651
|
Цитата:
- где гарантия, что этот файл нужной версии? - где гарантия, что "доктор" не удалил еще десяток системных файлов - в конце концов откуда уверкнность, что нужный файл помещен куда надо? |
|
14.04.2009, 08:44 | # 6 |
Advanced Member
Регистрация: 14.05.2004
Адрес: Ростов-на-Дону
Пол: Male
Сообщения: 485
|
vovik,
все упреки справедливы.... была надежда на то, что кто-то сталкивался с такой проблемой т.е. всё сделали по инструкции (http://kakadu-spb.narod.ru/virus/virus.html), но результат получили такой же как у этих товарищей.....
__________________
Дмитрий К. |
14.04.2009, 11:43 | # 7 |
IMHO Ворчун-2006
Регистрация: 24.03.2003
Адрес: Москва
Пол: Male
Сообщения: 4 651
|
С проблемой шаловливых ручек юзера сталкивалисб многие. Алгоритм действий всегда один: привозить комп специалисту или приглашать специалиста на место. Потомучто если юзер, пользуясь наглядной инструкцией удалил не тот файл, то нет никакой гарантии, что не сделаны другие деструктивные действия. Какие? - совершенно непредсказуемо. Уданенно можно гадать до бесконечности
|
14.04.2009, 11:50 | # 8 |
Migel Mod Volos
Регистрация: 09.09.2003
Адрес: МПЛ-в почетной д
Сообщения: 7 486
|
ntspider, восстанови файл userinit.exe с дистрибутива в каталог винды в папку system32.
__________________
Все "спасибы" - в приват и в репутацию! не засоряйте форум!!!! © Plague Небьющаяся игрушка - это игрушка, которой ребенок может разбить все свои остальные игрушки. |
14.04.2009, 12:10 | # 9 | |
Advanced Member
Регистрация: 14.05.2004
Адрес: Ростов-на-Дону
Пол: Male
Сообщения: 485
|
Цитата:
добавлено через 19 минут vovik, Там непростые юзеры, товарищи в полне адекватные и я им доверяю, делали следующие действия: меняли файлы winlogon и userinit в реестре в автозагрузке (RUN) оставили только то, что грузится в чистой незараженной системе, в разделе службы winlogon убрали ссылку на зараженный файл, вместо него строки прописали как в чистой незараженной системе
__________________
Дмитрий К. |
|
14.04.2009, 12:34 | # 10 | |
IMHO Ворчун-2006
Регистрация: 24.03.2003
Адрес: Москва
Пол: Male
Сообщения: 4 651
|
Позволю себе усомниться. Если они
Цитата:
Не сходятся концы с концами. Имхо, гадания в данном случае малопродуктивны, а гарантий, что все обстоятельства известны - никакой. |
|
14.04.2009, 12:42 | # 11 |
Advanced Member
Регистрация: 14.05.2004
Адрес: Ростов-на-Дону
Пол: Male
Сообщения: 485
|
vovik,
а как должен происходить "правильный" процесс загрузки? что, откуда и с какими параметрами должно запускаться? может быть если всю эту цепочку отследить проблема решится?
__________________
Дмитрий К. |
14.04.2009, 12:53 | # 12 | |
IMHO Ворчун-2006
Регистрация: 24.03.2003
Адрес: Москва
Пол: Male
Сообщения: 4 651
|
Цитата:
Реестр Microsoft Windows XP - Справочник профессионала. или вот: Раздаю книги по Windows XP - лучше смотреть со второй страницы |
|
14.04.2009, 12:58 | # 13 |
Advanced Member
Регистрация: 14.05.2004
Адрес: Ростов-на-Дону
Пол: Male
Сообщения: 485
|
В инструкции разобран частный случай - там все делается через защищенный режим, а у них он был недоступен изначально и так же начиналась выгрузка пользователя. В реестре правки делали при помощи диска "аля ERD Commander"
__________________
Дмитрий К. |
15.04.2009, 16:22 | # 16 |
Migel Mod Volos
Регистрация: 09.09.2003
Адрес: МПЛ-в почетной д
Сообщения: 7 486
|
ntspider, тогда как вариант восстановление системы с дистрибутива "по второй R".
Нужен нормальный дистр, не какая нибудь поделка в стиле зверя, реаниматора и т.п. Первая R - консоль восстановления, это нам не надо. Вторая - восстановление системы. Восстановит поврежденные и удаленные системные файлы.
__________________
Все "спасибы" - в приват и в репутацию! не засоряйте форум!!!! © Plague Небьющаяся игрушка - это игрушка, которой ребенок может разбить все свои остальные игрушки. |
16.04.2009, 10:46 | # 20 |
Вольный Ветер
Регистрация: 03.11.2003
Адрес: из Сибири мы
Сообщения: 1 051
|
Это уже становится интересным, поэтому хотелось бы подробностей:
XP профессионал или хоум? Сколько пользователей в системе и права? Загружается ли в безопасном режиме после восстановления по R, и если да, то возможен ли вход под администратором? смущает. Совпадали ли вирсии винды и сервиспаки? У меня в system32 два winlogon.exe, размеры 497kb и 492kb, но в своё время я экпериментировал с ядром. О реестре уж не говорим, ибо если взять реестр "с чистой незараженной системы" ось вообще может не завестись. Вариант с чистой установкой не рассматривается? Или хотя бы точки восстановления остались?
__________________
Сотри случайные черты... А. Блок |