Login и Logoff

Eprog

Member
Joined
Oct 17, 2006
Messages
24
Reaction score
0
Ситуация. БЫла вирюга/троян ... Spy Terminator шашел и грохнул что-то вроде (со слов пользователя) dellink.cmd. (KIS6 не отреагировал), но после перезагрузки происходит следующее
Выбираем пользователя и вводим пароль ... входит в сеанс.. мелькает рабочий стол... тутже выходит из сеанса ... и снова вижу приглашение выбрать пользователя для входа. Может кто подскажет где ручками поправить?
 

MDM

Member
Joined
Oct 30, 2005
Messages
18
Reaction score
1
Проверь что у тебя грузится автоматом. Для начала попробуй залогиниться, удерживая Shift, это исключит все то, что находится в папке "Автозагрузка" в "Главном Меню", в твоем профиле. Если не помогло, попробуй зайти в безопасном режиме и проанализировать все вхождения для автозагрузки, и удалить ненужное. Хороший помощник в этом Autoruns

Или загрузись с какого-нибудь ливсиди, поддерживающего работу с реестром.
 

pazdak

Member
Joined
Aug 7, 2007
Messages
78
Reaction score
165
Eprog
Это для любого пользователя включая локального админа происходит?
Если только для определенного то просто снеси (перемести) папку профиля пользователя из Documents and Settings.
 

Eprog

Member
Joined
Oct 17, 2006
Messages
24
Reaction score
0
Значится так...
Загружался с ливсиди.. ветки реестра где загрузка всякой шняги (RunOnce) вроде почистил.. Нового пользователя с админскими правами
сварганил.. Пофиг.. Выкидывает любого. Удерживание Shift не помогает.
Перемещение папки профиля не помогает. Думаю ботва как сервис прописалась. Буду пробовать.. потому как уже другие с такой траблой обратились.
Кстати в безопасном режиме тоже выкидывает.
 

Trigan

Reverse Engineer
Joined
Jul 13, 2005
Messages
2,090
Reaction score
716
Eprog, прочитай описаный мной способ восстановления (отката) Системы в этой теме:
http://dumpz.ru/showthread.php?t=44258

Возможно он, в твоем случае, поможет.
Если же стандартный откат по какой-то причине не нравится (не подходит), а доступ к реестру по этому способу получен (regedit), то этот момент можно использовать для проверки, чистки и др. корректировки реестра.
 

KelWin

Social Engineer
Joined
Sep 3, 2016
Messages
260
Reaction score
82
Добавлю: на диске ERD Commander (из пакета Winternals Administrators Pack, есть в варезе на форуме) есть все нужные инструменты, и Restore, и Autoruns. Очень мощная вещь, с ней наверняка справишься. Удачи.

P.S. Кстати не факт, что дрянь прописана сервисом, надо бы проверить системные файлы, а winlogon со здоровой машины взять.
 
Last edited by a moderator:

lammer

Botnet Operator
Joined
Dec 15, 2017
Messages
450
Reaction score
33
Легли файлы инициализации пользователя - userinit и еще какой-то второй (не помню) - давно это было, а симптомы те же. Винь 2003 ЕЕ сп1.
"лопату" я дал - приступайте :)
 

Eprog

Member
Joined
Oct 17, 2006
Messages
24
Reaction score
0
Спасибо за помощь.. значится так .. сегодня буду пробовать..
1) Замена winlogon, userinit и иже с ними..
2) Попытка восстановить с помощью ERD Commander...
О результатах отпишусь.. т.к. обращаются все больше людей
 

visual

Exploit Developer
Joined
Mar 26, 2019
Messages
131
Reaction score
20
А может подключить винт на другую машину и проверить новым антивирусом (другим и обновленным)? Уж коль у Вас там эпидемия.
 

s1n

Malware Analyst
Joined
Aug 21, 2020
Messages
547
Reaction score
211
Eprog
Попробуй удали параметры ветки HKLM\SYSTEM\MountedDevices.
Так же, если была какая то зараза в системе, то глянь тут http://www.winxptutor.com/wsaremove.htm
 

dmitry-23

Member
Joined
Sep 28, 2007
Messages
10
Reaction score
2
если нет результата, то можно сделать так:
1. загрузить комп (как я понял сетка есть )
2. с любого компа сети залогониться админом на этот комп, можно из командера, эксплорера \\комп_имя\c$ далее попросит имя и пароль.
3. запустить mmc - добавить оснастку Groupe Police для удаленного компа, проверить в разделах компа и пользователя скрипты на логон и стартап, удалить.
4. Если не помогло, можно использовать прогу для просмотра текущих процессов удаленного компьютера (предварительно выполнив пункт 1).
 

Merlin Cori

Member
Joined
Oct 11, 2006
Messages
22
Reaction score
16
с вероятностью процентов в 90 отсутствует вот это:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\WINDOWS\system32\userinit.exe," тип REG_SZ

Соостветственно, грузится с LIVECD и править реестр
 
Top