Help pls - кем-то рабочая группа подменена доменом

Win2000 pro SP4 + firewall AtGuard 5.5 + Kaspersky AVP
Все стоит в домовой сети в рабочей группе. Никаких доменов - вход локальный.
Политика безопасности настроена строго - всякие неавторизованные, удаленные, гостевые входы запрещены, все юзеры кроме админа с соотвещуюими правами забанены. В файрволе тоже все строго.
В таком виде винда работала год-полтора без проблем.

И тем не менее все это было взломано! Сначала на компе появились подозрительные dll (_huytam_.dll) и пр. А через пару дней винда при логине стала ломится в несуществующий домен с таким же названием, с каким была рабочая группа.
Есс-но авторизоваться не получается - мол домен не доступен и доступа нет совсем.

Что делать?

С горя поставил на другой винт вспомогательную win2000 на время и получил доступ файлу реестра поврежденной винды, равно как и к прочим ее файлам.
Только что с ним делать? Чем редактировать этот файл реестра с винта поврежденной винды? И что в нем надо изменить?


Или может проще какую dll снести что можно было войти в систему?
Как снести сетевые установки аутентификации в домене?

[Mamont-San]

Правый клик на "Мой компьютер", выбираешь "свойства", закладка "Имя компьютера", жмешь на "изменить". Если там все в порядке, то лучше снеси все, и поставь заново, тем более ты уще знаешь что твой фаервол его пропустил, соответственно его нужно перестраивать.

А какую библиотеку сносить, надо было смотреть из поврежденной винды. Сносить ее в задачах, стирать с винта, пролистать реестр.

Вобще есть такая прога Starter http://codestuff.cjb.net/
Очень удобно показывает процессы и связанные с ними файлы, оттуда их и покилять можно.

Я же серьезно совета спрашиваю, а Вы шутите.

Написал же - винда не пускает никого, кто не авторизовался этом домене. Не пуускает означает что нет доступа, загрузка не происходит ни под каким логином

[ivahaev]

Skander, обычно, есть опция - входить или нет в домен. Это при авторизации.

[Cartman]

Цитата:

Skander:
загрузка не происходит ни под каким логином

Нажми дополнительно при загрузке там можно выбрать локально авторизоваться или в домене.

Господа, кнопочка "Дополнительно" раскрывает лишь чекбокс "с спользованием удаленного доступа", который по умолчанию выключен.

Опций выбора домена нет - логин/пароль вводится как при простом локальном входе. Однако после ввода логина/пароля, после 5-10 минут раздумий система откзывает в аутентификации и выводит сообщение "В настоящий момент домен такой-то недоступен. вход в систему не возможен"

И все.

Лучше бы помогли отредактировать файл реестр в оффлайне. Я уже почти все перепробовал, что не хирургическое.

[ivahaev]

Дык, ты же можешь домен другой написать. Пиши название компьютера!

А чтобы реестр подредактировать - запускай regedit.exe, там в меню файл делай "Загрузить куст" и выбирай свой файл реестра.

[SinClaus]

Есть много способов и программ, позволяющих редактировать реестр машины загрузившись с внешнего носителя. Я пользуюсь CIAcommander'ом. К сожалению меня в данный момент что-то не пускают в обменник, а загрузка файлов сюда не приветствуется...

о можно ее в мыло?
makake@pisem.net
А то немцы даже триал спрятали...

[Mamont-San]

Цитата:

Сообщение от Skander

Я же серьезно совета спрашиваю, а Вы шутите.

А я не шутил, я просто не понял про локальный вход...

А как насчет, выдернуть сетевой кабель, и загрузиться в безопасном режиме? По идее он не может тебя не загрузить, отказ ты получаешь только если домен обнаружен...

[Cartman]

Цитата:

Mamont-San:
выдернуть сетевой кабель, и загрузиться в безопасном режиме

Гм. А это идея. Но тут даже и кабель выдергивать не надо. Если загрузка без поддержки сети в домен он по любому не будет пытаться входить.

[Псих]

Слушай, а как вариант зайти в safe mode и копирнуть на дискету логи стенки и т.д и глянуть где что выполнялось и т.д?

Не пускает в сафемоде тоже, даже без поддрежки сетевых драяверов. Так же ломится и так же октазывает по причине отсутствия домена.

У меня там политика была настроена - без авторизации не пускать никого. вот она и не пускает. ктож знал что можно так червем удаленно перепрописать сетевые насройки компа...

[Mamont-San]

А что ты так паришся? Скопируй инфу, переустанови систему, смени фаервол. АтГвард вроде как уже давно не поддерживается....

Там софта дофига с настройками, в том и числе недомонтированные фильмы.
Если настройки монтажа слетят - все фильмы монтировть заново с нуля - часов на 100 непрерывной работы.

Насчет AtGuarda это я погорячился - видимо о нем думал когда писал.
На самом деле стоял Sygate 5.5

[Borland]

Skander
Трабла скорее всего не в домене. Хотя бы потому, что его, как Ты говоришь, нет.
Скорее всего, один из кривых троянов/вирусов подменил некую системную библиотечку, связанную со службой авторизации (либо отключил другим способом).
В результате локальная машина тебя авторизовать не может.
Dz: смерть
Rp: переустановка

[plohich]

Skander
А как насчет установки системы поверх этой? по идее все файлы и настройки перепишет.
можешь еще попытаться сохранить реестр и потом его подменить.

[Mamont-San]

Цитата:

Сообщение от plohich

Skander
А как насчет установки системы поверх этой? по идее все файлы и настройки перепишет.
можешь еще попытаться сохранить реестр и потом его подменить.

Один черт он настройки подсасет.
Если в них запуск червя, считай смерть при зачатии...

Спасибо. Это идея!

Загружусь в новую винду и скопирую все длл-ки в старую...

... Жалко что реестр уже начал резать - всего не упонишь что и где менял.

Кстати таким макаром, через logon.scr я запустил экплорер, однако зараза не дает настройки сети поменять, хотя права должны быть по идее как у системы. Безопасность- тоже...

Большое спасибо!

Проблема решилась после копирования содержимого system32 со "здоровой" винды. Аутентификация прошла, но почему-то в сетевых настройках стоял вход в домен. Отключил его.

Буду теперь искать червя )
Отличное занятие на ближайщую неделю
До сих пор не могу понять как он пролез? Проверил политики безопасности - все ОК. Служб тоже по минимому...