Problém při odstraňování havěti, nelze přihlásit uživatele

[HonzaD]

Byl jsem někde na pochybném webu s IE8 (windows XP home) a neměl žádný rezidentní štíť.
Napslao mi to chybu a modrnou smrt, restartl sem PC a pi nabíhání to házelo nějkou chybovou hlášku, tak jsem to pro jistotu restartoval a přepl do nouzového režimu.
Tam jsem zapl spyareterminator a dal ryhclý test co našel tak jsem dal do karantény (bylo tam io cosi jako winlogon ). Pak jsem dal super antispyware zase test, a protože trval dlouho tak jsem ho přerušil s tím že to doléčím v režimu normálním abych u toho mohl něco dělat:D. Nalezenou havěť jsem dal přesunout do karantény (byla tam jedna položka v operační paměti).

No ale po restartu se nepřihláší uživatel (přihlašuje se a aniž by naběhl tak se zase odhlásí, pořád tam je ta uvodní obrazovka).

Totéž i v nouzovém režimu..

Teď píšu z LiveCD Ubuntu a lámu si hlavu co stím..
Logy jsem našel jen u superantispywaru a to ještě nějáké historické..

Máte někdo nějáký nápad? (nic jsem nemazal, všechno sem dával do karantény, ale nevím jak to obnovit když se nepřihlásím do windows) na HDD se dostanu z linuxu a mám k dispozici i jiný PC s win XP..

[motji]

Dobrý večer
V SAS by měl být log pdo záložkou Preferences a tam překliknete na statistic/logs.

Můžete udělat obnovu systému?

[HonzaD]

potřebuji log otevřít na linuxu, program nezapnu, protože nepřihlásím žádného uživtele do windows ani v nouzovém režimu.
Obnovu udelat nemůžu, protože jsem ji mel vypnutou z nedostatku volneho místa na HDD a protoze mi v minulosti problemy neodstranila, ale nadelala dalsi .
A reinstal windows taky az posledni moznost, ktere se chci vyhnout.
Nejlepe zjistit ktere systemove soubory ty programy smazali a nahrat je odjindu nezavirovane zpatky..
Nebo je alepson nejak obnovit z karanteny..
Ja nejak doufal ze kdyz vsehcno dam do karanteny tak to pujde pri nejhorsim nejak obnovit.
Odted tem programum na mazani haveti zase verim mene nez drive

[motji]

Tak si ted vyberte , oprava z inst. cd, o data nepřijdete, nebo vypálíte live cd OTL a zkusíme to opravit.

[HonzaD]

live cd OTL Je co? a kde to stáhnu?

Oprava z inst. cd probíhá jak, když CD s windows je SP1 a já měl nainstalován SP3 a další různý patche z windows update..
Nepřijdu o nastavení v registrech atd?

[motji]

Zkusíme nejdřív opravu takto, pak případně ten OTL PE. Musíte ho vypálit na OS win xp


Cituji kolegu Tempesta

Tento krok proveď na PC s vypalovačkou, do které vlož prázdné CD vhodné k zápisu:

Stáhni si MSDaRT pro svůj příslušný operační systém:

Windows XP -> http://www.mediafire.com/?ddsfd2xdndw
Windows Vista -> http://www.mediafire.com/?knvmygelfxy
Windows 7 -> http://www.mediafire.com/?5qmmdkzjeg3

Nainstaluj program dle pokynů staženého instalátoru.
Po dokončení instalace spusť tento soubor: C:\Program Files\Microsoft Diagnostics and Recovery Toolset\ERDC.exe
Klikej postupně na tlačítko Next, nech vytvořit .iso soubor a pomocí průvodce ho vypal na CD.

2) Restartuj počítač, na kterém máš problémy a vlož do jeho mechaniky vypálené CD. Předtím, než se Windows načtou, mačkej libovolnou klávesu a počítač začne bootovat z CD.
Po nabootování jdi přes menu Start - System Tools - System Files Repair.
Spustí se průvodce, který vyhledá virem narušené / poškozené systémové soubory. Všechny soubory, které najde, nech opravit.

Jdi přes menu Start - Log Off - Restart - OK a tvůj počítač se restartuje.

3) Po restartu počítače jdi v OS přes menu Start - Nastavení - Ovládací panely - Přidat nebo odebrat programy - vyber: Microsoft Diagnostics and Recovery Toolset - klikni na Odebrat. Tohle MSDaRT zase odinstaluje.

Napiš výsledky.

[HonzaD]

Oká, díky.
Udělám jen asi né dnes.
Jediná vypalovacka kterou mam k dispozici je ta ze ktere mam nabootovano prave LiveCD.. takze jí budu muset prohazovat atd..

[motji]

To cd můžete vypálit i na jiném pc, ale musí to být s win xp.

[HonzaD]

Udělal jsem co bylo napsáno, ale problém trvá. (pořád totéž)
Napadá mě, jeslit tohle pouze opravuje soubory, tak mi to nepomůže.
Protože ty anti (sas a st) programy ty systémové soubory napadené malwarem dali k sobě do karantény a tudíš možná chybí OS pro běh..
Jak je ten Obraz521.jpg tak to sem přesunul jinam (zdálo se mi to podezřelé) myslím ten soubor wwwqxk32.exe

Jak dál?

[motji]

To co jste odstranil, vir skutečně je

Zkusíme OTL PE, snad Vám pujde.

Stáhněte OTL PE
http://www.itxassociates.com/OT-Tools/OTLPENet.exe
-vypalte v Neru nebo jiném vypalovacím programu.
- Vložte vypálené cd do počítače, restartujte počítač a nabootujte z Cd (předtím musíte v Biose nastavit bootování z cd romky)

-po naběhnutí bude na ploše ikona OTL.
Pokud se dostanete až sem, napište.

Pokud ani to nepůjde, mám v záloze ještě jeden program.



Psal jste, že máte k dispozici ještě jedno pc. Pokud vyděláte disk a vložíte ho do tohoto pc jako slave, dostanete se na disk?
Případně máte možnost se z linuxu, nebo co ted používáte, podívat se do systémové složky, co chybí za soubor?

[HonzaD]

Na disk se dostanu, jak z linuxu tak snad i z druhého PC (nevím jeslti nebude chybět kabel nebo tak) Disk není šifrovaný a je tam FAT32, je rozdělen na dvě části.

Podívat se mám mož nost kamkoliv bez potíží z linuxu ale problém je ten, že nevím už jaké ty soubory chybí (nevím jaké ty programy smazali a ani jaké tam mají být a nejsou.. těch souborů tam je přecijen hodně )

Vypalování zas znamená přehazovat mechaniku a instalovat sw na vypalování (Ten microsoftí prográmek to ISO vypálil sám), zas to nechám na zítra..

Kdžy by o šlo třebas z toho linuxu bez vypalování byl bych rád.. je pro mě snažší třebas nahodit vzdálenou plochu ( VNC ) než vypalovat CD

[HonzaD]

A co je ten smss.exe? tam vpravo pak bylo napsáno že soubor nebyl nalezen, mám dojem že to dal do karantény jeden z těch anti programů.

[motji]

Smss32.exe je šmejd

Dobře, zkuste se podívat po tomto souboru
D:\WINDOWS\system32\winlogon.exe

[HonzaD]

sice to neni na D, ale ve windows na C a v linuxu ještě jinde, ale jinak to tam je
\WINDOWS\system32\winlogon.exe

http://www.virustotal.com/analisis/fe79 ... 1280848073

[motji]

Omlouvám se .

Tak ted už fakt nevím co s Vámi , bud oprava z inst.cd nebo to OTL PE.

Ještě tak čistě náhodou, zálohu registrů jste neměl?