|
|
|
|
|||||||
| Регистрация | Правила | Справка | Список участников | Фотогалерея | Игры | Поиск | Сегодняшние сообщения | Отметить всё как прочитанное |
|
|
|
|
|
Действия над темой |
|
ria
Пользователь
Автор темы
|
Здравствуйте. Один "продвинутый" пользователь на Win XP SP2 Prof запустил cureit.exe, он обнаружил троян в C:\Windows\System32\userinit.exe. И пользователь удалил этот файл (правда, не понятно, почему cureit так легко позволил удалить этот системный файл). После перезагрузки - Приветствие, на секунду мелькает рабочий стол, опять Приветствие - сохранение параметров пользователя, закрытие сетевых подключений и все, опять приглашение для входа в систему. В SafeMode тоже самое. Переустановка системы в режиме восстановления ничего не дала, восстановление точки восстановления с LiveCD - тоже. Как можно было восстановить userinit.exe? Время разбираться не было, пришлось ставить систему в другую папку. Спасибо.
|
||
|
| Реклама Зарегистрируйтесь, чтобы скрыть этот блок |
|
| Verwolk |
ria
берешь userinit со здоровой машины, копируешь на флэшку. втыкаешь флэшку в мертвый комп, включаешь и загружаешься ERD. копируешь файл куда надо. я этого трояна так борол. все работает. |
||
|
|
|
ria
Пользователь
Автор темы
|
Verwolk, спасибо за совет, была такая мысль (делал такое с winlogon.exe), а вот с userinit-ом не рискнул, думал, что со "здоровой" машины не подойдет он для "больной".
|
||
|
|
|
NoNone
Мракобес...
|
Кстати нормальный userinit.exe хранится на этой же машине в папке C:\WINDOWS\system32\dllcache ну и + есть его версия в папке C:\WINDOWS\system32\ но под совершенно гадким именем
 |
||
|
|
|
Гость
|
Привет)
Сегодня столкнулся с такой же траблой) Замена "нормального" файла ничего не дала ... Нарыл в нете такую таблетку, в принципе она и помогла: Короче грузимся LiveCD или же иногда так с десятой перезагрузки компа заходит в безопасный режим далее проверяем по адресу C:\WINDOWS\system32\ файлов userini.exe и userinit.exe если есть оба то удаляем userinit.exe а файл userini.exe переименовываем в userinit.exe и в принципе можно перезагружать, но лучше сначала проверить ключи в реестре, если один файл userinit.exe то сразу проверяем ключи, а на место userinit.exe можно взять с любого другого компа или если помниш с кокого дистрибутива уснанавливалось то на другой машине ставим на виртуалку и берем уже оттуда файл. Так вот в реестре должно быть так [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Userinit"="C:\WINDOWS\system32\userinit.exe," [HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\Advanced] "PersistBrowsers"=dword:00000000 Вместо C:\WINDOWS\system32\userinit.exe может быть C:\WINDOWS\userinit.exe, тогда просто переписываем путь на правильный, а файл C:\WINDOWS\userinit.exe удаляем, или может быть вот это "Userinit"="C:\\WINDOWS\\system32\\userinit.ex e, чё-то там\прога которая исолняет vbs скрипты\, чё-то там\прога которая исолняет vbs скрипты\kill.vbs" достаточно удалить "чё-то там\прога которая исолняет vbs скрипты\, чё-то там\прога которая исолняет vbs скрипты\kill.vbs" и всё-проблема решена. Антивируска видимо удаляет всю строку, что и приводит к ошибке. классный форум, можно отписаться без регистрации) |
||
|
Гость
|
нет. мне ваши варианты не подходят =( а сносить винду неохота (только поставил)
|
||
|
SavageNoName
Администратор форума
|
несколько я помню, вирь сохраняет себя в потоке файла userinit.exe
если так, то можно скачать с sysinternals.com утилиту streams, посмотреть, есть ли поток у userinit.exe и если есть, то удалить его этой же утилитой. |
||
|
|
Гость
|
Привет. У меня такая проблема - удалил из реестра запись с Userinit.exe. Подскажите, как мне заставить Winlogon.exe все-таки запустить его при загрузке?
|
||
|
SavageNoName
Администратор форума
|
подключить реестр по сети и исправить
|
||
|
|
|
Гость
|
Ребята ... я столкнулся с той же проблемой ... но в 2003 винде .. не подскажите как решить ? при чем желательно слегка пошагово , а то я уже 8 часов перед монитором и башня не варит
|
||
|
polluted
|
Такая же проблема.
Зашел с live CD. В реестре было следующее HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Userinit"="Х:\I386\system32\userinit.exe," Поправил на С:. Перезагрузился, но бага к сожалению осталась. А запятая после "ехе," должна там быть? Кто что еще подскажет по поводу? |
||
|
Dmitry_4
Системный дефлоратор
|
polluted
Запятая должна быть. А userinit.exe ты восстановил незаражённый? |
||
|
|
|
fepl
רע
|
|
||
|
|
 |
|
polluted
|
Запятая должна быть. А userinit.exe ты восстановил незаражённый?
______________________________________ Сначала я просто исправил реестр и убрал запятую. Сейчас переписал свежий файл и оставил запятую. Сейчас цинкану как пойдет |
||
|
polluted
|
Еб№№№ййй в рот.
Не помогло. Снова выскакивает диалог лог-она. И подозреваю что если снова запущу с live CD и посомтрю реестр, то там снова будет "Userinit"="Х:\I386\system32\userinit.exe,", где диск Х это Live CD. Что за хрень? |
||
|
|
| Действия над темой | |
|
Похожие темы
|
||||
| Тема | Автор темы | Форум | Ответов | Последнее сообщение |
| КАК восстановить загрузчик WinXP после установки W2K или win98 | dim99 | Операционные системы Microsoft Windows | 13 | 19-01-2006 21:04 |
| как восстановить загрузочную область windows 2000? | Shredder2003 | Операционные системы Microsoft Windows | 2 | 21-02-2005 14:22 |
| Как восстановить режим Hypernate на лаптопе ? | Bumer | Операционные системы Microsoft Windows | 5 | 24-04-2004 01:16 |
| Подскажите как можно восстановить стёртые файлы под win98 | pegas | Операционные системы Microsoft Windows | 4 | 10-10-2001 22:04 |
| Как восстановить SysVol, если не делался backup? СРОЧНО! | Viator | Операционные системы Microsoft Windows | 3 | 19-09-2001 11:15 |
