Проблема после действия смс-вируса в XPsp2

[ntspider]

Цитата:

Сообщение от Breeze

XP профессионал или хоум?

Professional sp2 rus

Цитата:

Сообщение от Breeze

Сколько пользователей в системе и права?

3 пользователя = 2 админы, 1 обычный пользователь

Цитата:

Сообщение от Breeze

Загружается ли в безопасном режиме после восстановления по R

не загружается

Цитата:

Сообщение от Breeze

Совпадали ли вирсии винды и сервиспаки?

sp2 стоял сразу, потом сделали несколько критических обновлений всего (с сервера WindowsUpdate)

Цитата:

Сообщение от Breeze

Вариант с чистой установкой не рассматривается?

Уже бы переустановили давно - не мучались!

Цитата:

Сообщение от Breeze

Или хотя бы точки восстановления остались?

а как до них добраться если невозможно добраться до Рабочего стола?
Происходит выгрузка пользователя

[stoslik]

Извините, не нашел тему сразу.
ntspider
Лечил подобное так- Загрузка с LiveCD, вход в Реестр в
HKLM-Software-Microsoft-Windows NT-CurrentWersion-Winlogon
параметр Userinit должен быть -
C:\Windows\system 32\userinit.exe,
диск должен быть указан тот, где Винда.

[Breeze]

Цитата:

Сообщение от ntspider

а как до них добраться

ERD Commander-ом. Можно с LiveCD им же. Там есть пункт восстановления с контрольных точек. Там же редактор реестра, удаление паролей. Много фич, в общем. Но диск C: предварительно забекапить, лучше образом (можно акронисом).
Если будет образ - с диском можно вытворять что угодно: допустим, тупо потереть все профили; поудалять винлогоны; а после "издевательств" попробовать заставить винду восстановиться по "второй R" или поставить сверху. В общем, появляется возможность эксперимента.
А вообще по F8 какой-нибудь вариант есть?

[Cartman]

ntspider, еще раз загрузись с LiveCD, пройдись свежим CureIT-ом. Потом грузись с дистрибутива XP и восстанавливай по второй R.
Потом проверяй загрузку в безопаснике. Если прокатит - в обычном режиме. Сообщай о результатах.

[ysf]

Не далее как пару дней назад, один, к слову сказать, довольно осторожный пользователь, решил покачать софт для мобильного устройства и отключил Антивирус. Результатом было заражение компьютера подобным вирусом.
Текст на русском. Номер для засылки SMS 3649.
Легко нашелся и убился Dr.Web LiveCD. Причем не свежим, а даже февральским.
Рекомендую.

[ntspider]

Цитата:

Сообщение от stoslik

Лечил подобное так- Загрузка с LiveCD, вход в Реестр в
HKLM-Software-Microsoft-Windows NT-CurrentWersion-Winlogon
параметр Userinit должен быть -
C:\Windows\system 32\userinit.exe,
диск должен быть указан тот, где Винда.

Это всё проделали сразу

Цитата:

Сообщение от Breeze

ERD Commander-ом. Можно с LiveCD им же. Там есть пункт восстановления с контрольных точек. Там же редактор реестра, удаление паролей. Много фич, в общем. Но диск C: предварительно забекапить, лучше образом (можно акронисом).

На точку восстановления не дает вернуться :-( например, на месяц март не дает переключиться, а в апреле нет точек восстановления.

Цитата:

Сообщение от Breeze

А вообще по F8 какой-нибудь вариант есть?

По F8 происходит по любому пункту всё одинаково, т.е. доходит до Рабочего стола и идёт в выбор пользователя

добавлено через 1 минуту

Цитата:

Сообщение от Cartman

еще раз загрузись с LiveCD, пройдись свежим CureIT-ом. Потом грузись с дистрибутива XP и восстанавливай по второй R

уже делали

добавлено через 48 минут

Цитата:

Сообщение от ysf

Легко нашелся и убился Dr.Web LiveCD. Причем не свежим, а даже февральским.

Так и тут убился, но как то криво :-(

[Cartman]

ntspider, даже не знаю что еще может быть, разве что проверить ветку
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Сравнить со здоровой машиной.

[ntspider]

Цитата:

Сообщение от Cartman

проверить ветку

Уже проверили, сравнивали с чистой системой

[Jac Obion]

ntspider
Имел дело недавно с подобным вирусом.
Был такой момент - в исходной системе winlogon.exe лежит
в C:\Windows\system 32\, после заражения вирус делал зараженный winlogon.exe в папке C:\Windows\ и ставил запуск на это место.
Касперский лечил файл путем удаления, при загрузке система ищет winlogon.exe в C:\Windows\, не находит и выкидывает на экран приветствия.
Исправление в реестре пути запуска winlogon.exe с C:\Windows\ на C:\Windows\system 32\ результата не дало, система не впускала. Помогло помещение файла winlogon.exe в папку C:\Windows\, куда захотел вирус (уже удаленный). Сейчас система работает.

[ntspider]

Цитата:

Сообщение от Jac Obion

Имел дело недавно с подобным вирусом

К сожалению, народ не вытерпел и уже систему переустановил с потерей информации, поэтому установить уже не удастся в этом ли была проблема, но похоже, что это скорее всего ближе к истине. Всем спасибо кто участвовал в спасении системы!

[1Hero]

Есть еще один метод который может помочь - удалить\переименовать директорию с профайлом пользователя который не может зайти в систему. В этом случае при попытке входа профайл пересоздастся с дефолтного образца винды.
возможно проблема в старом сломаном вирусом профайле юзверя (как пример на логин в систему было прописано запускать конкретный файл, который теперь удален при чистке вируса, или что нибудь подобное)

[stoslik]

Еще один вопрос по этой теме... После удаления и исправления не могу нормально пользоваться IE и 7 и 8.
Например на нашем форуме не открываются многие функции, Навигация к примеру, при нажатии экран мигает и пропадает вся панель.
В Почте Яндекса вообще не могу удалить Спам и прочий мусор.
На форумах не отражаются или не работают некоторые панели. Это именно в ОС пораженной этим червем.

[valtim]

а кто сталкивался с тем, что после лечения первого вируса, с активацией Виндовса, появляется окно, что для пользования Интернетом, необходимо отправить смс?