То ли вирус, то ли сбой

[Halli]

То ли вирус, то ли сбой

Здравствуйте!
У меня неожиданно возникла такая проблема:
Скачала музыку с нового сайта и решила на всякий случай проверится на вирусы (хотя до этого все работало и ничего не сбоило) и вот тут-то началось! Ни AVZ, ни Anti-Malware не запускаются. Либо открываются и тут же закрываются вместе с рабочим столом (т.е. пропадают все ярлыки на рабочем столе вместе с меню Пуск). В безопасном режиме все тоже самое.
Ни на сайт доктора Веба, ни на сайт Касперского зайти не могу. Пишет: Сервер недоступен. При попытке скачать AVZ мозила аварийно закрывается.
Друг прислал Live CD. Два раза прошуршала ситему, ничего не находится!!! Попробовала установить Avast - установился. Но тоже ничего не нашел.
Первый раз с таким сталкиваюсь. ЧТО ЭТО?! Подскажите, пожалуйста!

 

[Defer]

Попробуйте переименовать авз или запустить из архива.

 

[Halli]

Тоже пробовала. Не помогает. :tehnari_ru_121:

 

[Defer]

http://www.trendmicro.com/ftp/products/hijackthis/HijackThis.exe (~ 400 kb)
http://download.sysinternals.com/Files/Autoruns.zip (~ 600 Kb)
http://images.malwareremoval.com/random/RSIT.exe (~400 kb)
Какая-нибудь из этих программ запускается.

P.S.
Программы HiJackThis и RSIT переименуйте перед запуском (нужно изменить не только имя, но и расширение).
Допустимые расширения: com, bat, cmd, pif, scr.

 

[Halli]

Zapuskaetsya tolko Autoruns + otvalilsya russkiy yazyk. :tehnari_ru_281:

 

[Halli]

A kak polzovatsya Autoruns? Chto smotret?

 

[Defer]

Какая у вас ОС? Какой у вас LiveCD? Правку реестра поддерживает?

В Autoruns
В Windows Vista и Windows 7 программу autoruns.exe необходимо запускать от имени Администратора.
File - Save. Полученный файл добавьте в архив и прикрепите к сообщению.

otvalilsya russkiy yazyk

Переключение на клавиатуре не работает? Попробуйте перезапустить процесс ctfmon.exe.

 

[Halli]

Операционка - ХР SP2. Live CD не знаю какой версии, но на нем есть только Dr. Web Control Center for Linux Ver. 6.0.0.0 с базами от 02.05.11, Midnight Commander и Terminal.
С языком разобралась с помощью перезагрузки компа. В общем чует мое сердце, придется опять переустанавливаться.
Файл прикрепляю:
AutoRuns.rar.html

 

[Defer]

c:\windows\apppatch\ewrpmdc.dat - запакуйте в архив с паролем virus и отправьте его на имейл piros04Deferyahoo.com (Defer заменить на @). После чего удалите этот файл.




Пуск - Выполнить - ввести regedit

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Из параметра Userinit удалите c:\windows\apppatch\ewrpmdc.dat

Отправьте на мой имейл программу HiJackThis или RSIT, если вы их еще не удалили.
Перезагрузите компьютер.
Проверьте, чтобы файл c:\windows\apppatch\ewrpmdc.dat не появился на диске или в реестре после перезагрузки.
Попробуйте снова запустить AVZ, HiJackThis, RSIT.

 

[Halli]

Defer, сделала всё как ты сказал.
Удалила этот файл, из параметра Userinit c:\windows\apppatch\ewrpmdc.dat.
После это перезапустила комп и теперь у меня на пару минут загружается пустой рабочий стол,после этого он выплёвывает меня к концу приветствия и предлагает выбрать единственного пользователя. При активации пользователя - он пишет загрузка личных данных и т.п., а после этого сразу сохранение личных данных и завершение работы пользователя.:tehnari_ru_211: В безопасном режиме всё - тоже самое:tehnari_ru_211:. Подозреваю что, содержимое параметра Userinit - надо заменить адресом другого файла.
ЧТО ДЕЛАТЬ?!?:tehnari_ru_281:
P.S. переустанавливать систему не хотелось бы, так как переустанавливала недавно, и бэкап важных файлов не успела сделать.
Очень жду помощи!:tehnari_ru_121::tehnari_ru_121::tehnari_ru_121:

 

[Defer]

загружается пустой рабочий стол,после этого он выплёвывает меня к концу приветствия и предлагает выбрать единственного пользователя.

Данная проблема возможно по 2 причинам:
1. Удален или поврежден файл C:\WINDOWS\system32\userinit.exe
Вы точно удалили только файл c:\windows\apppatch\ewrpmdc.dat? Больше никаких файлов не удаляли?


2. Не корректное значение параметра Userinit. По умолчанию должно быть:

C:\WINDOWS\system32\userinit.exe,

Вы удалили из параметра Userinit только c:\windows\apppatch\ewrpmdc.dat? Случайно не задели\удалили C:\WINDOWS\system32\userinit.exe,?


3. Проделки вируса (мало вероятно, но возможно)

ЧТО ДЕЛАТЬ?!?

Для решения проблемы необходим LiveCD, который поддерживает правку реестра.
Заменить файл userinit.exe в следующих папках:
C:\WINDOWS\system32
C:\WINDOWS\system32\dllcache
Файл желательно взять из установочного диска Windows.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Проверить значение параметра Userinit

Если предыдущие советы не помогут, то можно восстановить вирус.

 

[Defer]

Нужно заменить файл в C:\WINDOWS\system32\dllcache, а затем в C:\WINDOWS\system32.

 

[Halli]

2. Не корректное значение параметра Userinit. По умолчанию должно быть:

C:\WINDOWS\system32\userinit.exe,

Вы удалили из параметра Userinit только c:\windows\apppatch\ewrpmdc.dat? Случайно не задели\удалили C:\WINDOWS\system32\userinit.exe,?

В том то и дело! Там был только один параметр: c:\windows\apppatch\ewrpmdc.dat
Соответственно, удалив его, я оставила параметр пустым.Что и привело к подобной проблеме. Но я уже разобралась. :tehnari_ru_707:

 

[Defer]

Там был только один параметр: c:\windows\apppatch\ewrpmdc.dat

Странно, поскольку в отчете программы Autoruns было показано, что этот файл был добавлен к значению по умолчанию.

 

[S_N]

Здравствуйте
Извиняюсь за незваное вторжение, меня привел Яндекс в поисках
C:\WINDOWS\AppPatch\ximvma.exe
Скачал с торента филм, проверил, посмотрел 5мин, - кончился windows media pleer
при откр. файла (avi, mp3) выдает AppName:wmplayer.exe
AppVer:11.0.5721.5262 (на проге - ...5280)
ModName: unrnown ModVer: 0.0.0.0 Offset: 00000000
AVAST молчит. На тех. поддержку с моего компа не выйти,

Сам только нашел папку с востанавливающимися файлами :
AppPatch\ximvma.exe , drvmain.sdb , msimain.sdb , AcGenral.dll ,
AcLayers.dll , AcXtrnal.dll , AcLua.dll , AcSpecfc.dll , apph_sp.sdb ,
apphelp.sdb , sysmain.sdb (_.dll первый раз вижу чтобы оживали)

PS
А где можно найти русское описание для использования autoruns.exe

 

[Витaлик]

Программа AutoRuns для Windows

 

[S_N]

Сегодня, 23:24 #16 (permalink) Витaлик

Программа AutoRuns для Windows

Спасибо ! Оперативно! Ценно!
А про C:\WINDOWS\AppPatch\ximvma.exe (и остальные)
Не могу найти

 

[S_N]

Всем здравствуйте!
Установил другой проигрыватель , ошибка та-же см. #15 (permalink)
Мой AVAST определил C:\WINDOWS\AppPatch\ximvma.exe
как Dc50.exe Win32:Malvare-gen и заблокировал его.
Но у мня в компе похоже еще целый список,
сканирование при загрузке тоже ни че не дает !?
PS
появился новый ximvma.exe , с другой иконкой !
Что это ? Или на чистый диск по новой - проще ?

 

[S_N]

появился новый ximvma.exe , с другой иконкой !

- иконка с анимацией!

 

[S_N]

Всем здраствуйте

появился новый ximvma.exe , с другой иконкой

AVAST забодал ЭТО ! C:\WINDOWS\AppPatch\ximvma.exe Win32:Shiz-KH [Tri]
Все пришло в норму:
- небыло выхода на многие сайты технической поддержки,
в том числе и avast-russia.com/rus/technical_support
- на (Яндекс.Музыка) пригрывание шло только первые 49 секунд,