Login и Logoff

[Eprog]

Ситуация. БЫла вирюга/троян ... Spy Terminator шашел и грохнул что-то вроде (со слов пользователя) dellink.cmd. (KIS6 не отреагировал), но после перезагрузки происходит следующее
Выбираем пользователя и вводим пароль ... входит в сеанс.. мелькает рабочий стол... тутже выходит из сеанса ... и снова вижу приглашение выбрать пользователя для входа. Может кто подскажет где ручками поправить?

 

[MDM]

Проверь что у тебя грузится автоматом. Для начала попробуй залогиниться, удерживая Shift, это исключит все то, что находится в папке "Автозагрузка" в "Главном Меню", в твоем профиле. Если не помогло, попробуй зайти в безопасном режиме и проанализировать все вхождения для автозагрузки, и удалить ненужное. Хороший помощник в этом Как увидеть ссылки? | How to see hidden links?

Или загрузись с какого-нибудь ливсиди, поддерживающего работу с реестром.

 

[pazdak]

Eprog
Это для любого пользователя включая локального админа происходит?
Если только для определенного то просто снеси (перемести) папку профиля пользователя из Documents and Settings.

 

[Eprog]

Значится так...
Загружался с ливсиди.. ветки реестра где загрузка всякой шняги (RunOnce) вроде почистил.. Нового пользователя с админскими правами
сварганил.. Пофиг.. Выкидывает любого. Удерживание Shift не помогает.
Перемещение папки профиля не помогает. Думаю ботва как сервис прописалась. Буду пробовать.. потому как уже другие с такой траблой обратились.
Кстати в безопасном режиме тоже выкидывает.

 

[TrigAn]

Eprog, прочитай описаный мной способ восстановления (отката) Системы в этой теме:
Как увидеть ссылки? | How to see hidden links?

Возможно он, в твоем случае, поможет.
Если же стандартный откат по какой-то причине не нравится (не подходит), а доступ к реестру по этому способу получен (regedit), то этот момент можно использовать для проверки, чистки и др. корректировки реестра.

 

[KelWin]

Добавлю: на диске ERD Commander (из пакета Winternals Administrators Pack, есть в варезе на форуме) есть все нужные инструменты, и Restore, и Autoruns. Очень мощная вещь, с ней наверняка справишься. Удачи.

P.S. Кстати не факт, что дрянь прописана сервисом, надо бы проверить системные файлы, а winlogon со здоровой машины взять.

 

[lammer]

Легли файлы инициализации пользователя - userinit и еще какой-то второй (не помню) - давно это было, а симптомы те же. Винь 2003 ЕЕ сп1.
"лопату" я дал - приступайте

 

[Eprog]

Спасибо за помощь.. значится так .. сегодня буду пробовать..
1) Замена winlogon, userinit и иже с ними..
2) Попытка восстановить с помощью ERD Commander...
О результатах отпишусь.. т.к. обращаются все больше людей

 

[Visual]

А может подключить винт на другую машину и проверить новым антивирусом (другим и обновленным)? Уж коль у Вас там эпидемия.

 

[s1n]

Eprog
Попробуй удали параметры ветки HKLM\SYSTEM\MountedDevices.
Так же, если была какая то зараза в системе, то глянь тут Как увидеть ссылки? | How to see hidden links?

 

[argon-fason]

??????????????

 

[dmitry-23]

если нет результата, то можно сделать так:
1. загрузить комп (как я понял сетка есть )
2. с любого компа сети залогониться админом на этот комп, можно из командера, эксплорера \\комп_имя\c$ далее попросит имя и пароль.
3. запустить mmc - добавить оснастку Groupe Police для удаленного компа, проверить в разделах компа и пользователя скрипты на логон и стартап, удалить.
4. Если не помогло, можно использовать прогу для просмотра текущих процессов удаленного компьютера (предварительно выполнив пункт 1).

 

[Merlin Cori]

с вероятностью процентов в 90 отсутствует вот это:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\WINDOWS\system32\userinit.exe," тип REG_SZ

Соостветственно, грузится с LIVECD и править реестр