possivel virus .. alguma resolução
- Autor do tópico fireburn
- Data Início
PaiNatal_DEUS
Power Member
tens mais algum PC em casa? Olha se o trabalho estiver no Disco Rígido, porque não montas o disco noutro PC e acedes como um disco secundário...?
é um portatil, se abrir perco a garantia
ShadeX
Power Member
Um dos boot CD's que podes usar é o BartPE, se precisares de o criar tens um tutorial no meu site.
Outra alternativa seriam os projectos do Winbuilder.
Outra alternativa seriam os projectos do Winbuilder.
PsicoPete
Power Member
Original: http://support.microsoft.com/kb/555648/en-usSuporte Microsoft disse:Windows Log on and Log off immediately.
View products that this article applies to.
Author: Nirmal Sharma MVP
Community Solutions Content Disclaimer
Article ID:555648Last Review:January 1, 1900Revision:1.0
SUMMARY
Windows Log on and Log off immediately
Back to the top
SYMPTOMS
You may face this problem when logging on to Windows. When you type user name and password you are again presented with User name and Password dialogue box. You try hard to get in but to no avail.
CAUSE
You may not be able to log on to system using either Normal Mode or Safe Mode. This occur only when Winlogon service tries to load the Windows default shell (explorer.exe) and user shell (userinit.exe) from registry. This service searches for Explorer.exe and Userinit.exe in the following path of registry:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
RESOLUTION
Edit these values and type the correct path of shell :
Shell = explorer.exe
Userinit=X:\windows\system32\userinit.exe
NOTE: These files may also be deleted by spywares. You may need to extract them using Windows CD.
Aqui têm uma possível resolução para a coisa. Isto aplica-se ao Win2000 mas penso que tb se pode aplicar ao XP.
Agora o que eu não sei é mesmo como fazer o que está na última nota que coloquei a Bold, ou seja, como é que eu extraio esses ficheiros do Cd do Windows? É que estou com a mesma porcaria de problema por causa de um virus/malware que apanhei estupidamente.
Cumps.
Última edição:
jalms
Power Member
Eu entrei em pânico quando me aconteceu o mesmo. E o pior é que nem fiz nada, hoje de tarde, para sacar esse bichinho. Mas a verdade é que aconteceu...
Se não fôsseis vós, a esta hora estava a praguejar contra o meu azar e, provavelmente, a atirar-me de volta para o tabaquinho, agora que ando há 2 semanas sem ele... LOL
Mas, indo ao que interessa, fiz o que o Fireburn pôs, assim como o PsicoPete, e já está a bombar!!!!!!
Mais uma vez, o TechzonePT salvou-me a vida (quase, pronto)!
Se não fôsseis vós, a esta hora estava a praguejar contra o meu azar e, provavelmente, a atirar-me de volta para o tabaquinho, agora que ando há 2 semanas sem ele... LOL
Mas, indo ao que interessa, fiz o que o Fireburn pôs, assim como o PsicoPete, e já está a bombar!!!!!!
Mais uma vez, o TechzonePT salvou-me a vida (quase, pronto)!
eu tenho exactamente o mesmo problema, nao consigo entrar, alias entra mas termina logo a sessao...
Como posso editar a reg keys sem poder aceder star-run?
Tou mesmo desesperado, tenho um montao de trabalhos que nao estao gravados em dvd e se os perco tou literalmente f******. Queria ver se conseguia salvar isso.
Gostava de tentar o que foi dito antes, mas nao sei como fazer, alguem pode explicar isso de uma forma mais simples.
Obrigado
Como posso editar a reg keys sem poder aceder star-run?
Tou mesmo desesperado, tenho um montao de trabalhos que nao estao gravados em dvd e se os perco tou literalmente f******. Queria ver se conseguia salvar isso.
Gostava de tentar o que foi dito antes, mas nao sei como fazer, alguem pode explicar isso de uma forma mais simples.
Obrigado
4r4uj0
Power Member
Boas.
Ora bem, como muitos de vocês tive o mesmo problema. Não conseguia entrar em modo de segurança sequer.
A minha solução foi pegar no CD original do Windows e fazer uma recuperação do Windows. Resultou na perfeição. Resolvi o problema sem perder nada do que tinha no disco.
Ora bem, como muitos de vocês tive o mesmo problema. Não conseguia entrar em modo de segurança sequer.
A minha solução foi pegar no CD original do Windows e fazer uma recuperação do Windows. Resultou na perfeição. Resolvi o problema sem perder nada do que tinha no disco.
PsicoPete
Power Member
Boas,
à partida a solução é relativamente simples...
Como já foi dito é só editar as chaves do registry do windows indicadas usando os programas que vêm no "hiren's boot cd" e mudar os valores referidos.
E isso é bastante simples de fazer usando por exemplo o Registry Viewer 4.2 que lá vem.
No meu caso foi bem mais dificil porque tenho os discos em raid 0 e o hiren's não carrega os drivers de sata raid do nforce3 o que faz com que não reconheça os ditos discos. Implicou nova instalação do XP noutra partição com um CD "nLited" do XP e edição do registo através da nova instalação.
Foi um "bico" do caraças mas já está resolvido.
Cumps.
à partida a solução é relativamente simples...
Como já foi dito é só editar as chaves do registry do windows indicadas usando os programas que vêm no "hiren's boot cd" e mudar os valores referidos.
E isso é bastante simples de fazer usando por exemplo o Registry Viewer 4.2 que lá vem.
No meu caso foi bem mais dificil porque tenho os discos em raid 0 e o hiren's não carrega os drivers de sata raid do nforce3 o que faz com que não reconheça os ditos discos. Implicou nova instalação do XP noutra partição com um CD "nLited" do XP e edição do registo através da nova instalação.
Foi um "bico" do caraças mas já está resolvido.
Cumps.
epa ja modifiquei os ficheiros no system32 e nao consegui aceder, ja fiz recuperaçao do sistema atraves do cd do windows e nao deu. Tentei criar uma usb pen con o hiren boot mas nao deu.
Vou tentar criar um cd, mas nao tenho gravador de cd´s no computador que me encontro....
Mais alguma sugestao?
Vou tentar criar um cd, mas nao tenho gravador de cd´s no computador que me encontro....
Mais alguma sugestao?
cunhak9
Power Member
Sempre k tento usar o registry viewer 4.2 ele diz "general failure reading c abort/retry/cancel ...tou mesmo lixado e foi d um virus k infectou um file k desgravei e isto fikou assim, ja nao sei kal o nome.
E tb nao consigo fazer o restauro do windows, kando sai pra dos depois d escolher r e o nome do admin, o k devo escrever na linha d comando?
cunhak9
Power Member
Ya..penso k o meu file tb yinha esse nome, o k fizeste? mudaste o nome de userinit.exe pra wscrntfy.exe ou usaste um boot cd?
ps: o file é um trojan! dam, pode tb ter estes nomes:
FLASH_WIZARD.EXE
SETUP_.EX_
58937875.EXE
68898151.EX_
61675886.EXE
84502151.EXE
40386511.EXE
44207953.EXE
85511954.EXE
48112173.EXE
92302933.EXE
69846797.EXE
07947854.EXE
85536588.EXE
CSI14.TMP
INSTALAR.EXE
26116544.EXE
89001459.SVD
...so m falta tentar esta solucao: http://eng.auburn.edu/~kummasr/download/FixLogoffXP.html
Última edição:
flash_wizard.exe e flash_activex.exe
Boas,
TROJAN como ja referido:
Ficheiros criados em %Temp%:
1%Temp%\3.tmp 125 bytes0x7C5F5A68051F6B0C0E9A2AD33C40D4152%Temp%\archive.arq 84.660 bytes0x266E8DD7F9372DAE4AFA09E44EDAD2573%Temp%\flash_wizard.exe
%System%\wscrntfy.exe 315.392 bytes0xDB5FAC56693476E750B589FB1907C4884[file and pathname of the sample #1] 139.264 bytes0x868135F0440BF6258B08A4BD73FD876C
O ficheiro flash_wizard.exe pode ter outros nomes (flash_update1.exe, flash_activex.exe, etc...). tmb devem existir uma data de pequenhos ficheiros *.tmp (~1Ko) no mesmo diretorio.
Valores no Registro:
> ELIMINAR A LINHA
> SUBSTITUIR Com o valor inicial: "%System%\userinit.exe,
Como me aconteceu, ha fortes probabilidades para não se poder abrir uma sessão windows (entrar usuario e password, mas a sessao windows fecha-se logo).
Aconselho o uso do exelentissimo AVAST! Bart CD que permite aceder ao registro sem ter que abrir uma sessao e assim suprimir e restaurar os valores suprareferidos. Não vale a pena reinstalar o windows! Uma vez a chaves do registo restauradas, pode se eliminar os ficheiros no diretorio %Temp% (cf tabel acima) + um bom scan antivirus. O AVAST permite efectuar as operaçoes todas sem ter que entrar no windows.
Cumps. M
Boas,
TROJAN como ja referido:
Ficheiros criados em %Temp%:
1%Temp%\3.tmp 125 bytes0x7C5F5A68051F6B0C0E9A2AD33C40D4152%Temp%\archive.arq 84.660 bytes0x266E8DD7F9372DAE4AFA09E44EDAD2573%Temp%\flash_wizard.exe
%System%\wscrntfy.exe 315.392 bytes0xDB5FAC56693476E750B589FB1907C4884[file and pathname of the sample #1] 139.264 bytes0x868135F0440BF6258B08A4BD73FD876C
O ficheiro flash_wizard.exe pode ter outros nomes (flash_update1.exe, flash_activex.exe, etc...). tmb devem existir uma data de pequenhos ficheiros *.tmp (~1Ko) no mesmo diretorio.
Valores no Registro:
- Registry Value criada:
- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
- unsrvc = "%System%\wscrntfy.exe -runservice"
- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
> ELIMINAR A LINHA
- Registry Value modificada:
- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
- Userinit = "%System%\wscrntfy.exe -runservice"
- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
> SUBSTITUIR Com o valor inicial: "%System%\userinit.exe,
Como me aconteceu, ha fortes probabilidades para não se poder abrir uma sessão windows (entrar usuario e password, mas a sessao windows fecha-se logo).
Aconselho o uso do exelentissimo AVAST! Bart CD que permite aceder ao registro sem ter que abrir uma sessao e assim suprimir e restaurar os valores suprareferidos. Não vale a pena reinstalar o windows! Uma vez a chaves do registo restauradas, pode se eliminar os ficheiros no diretorio %Temp% (cf tabel acima) + um bom scan antivirus. O AVAST permite efectuar as operaçoes todas sem ter que entrar no windows.
Cumps. M
Trojan, como ja referido:
Novos ficheiros criados em %Temp%:
1 %Temp%\3.tmp 125 bytes 0x7C5F5A68051F6B0C0E9A2AD33C40D415
2 %Temp%\archive.arq 84.660 bytes 0x266E8DD7F9372DAE4AFA09E44EDAD257
3 %Temp%\flash_wizard.exe
%System%\wscrntfy.exe 315.392 bytes 0xDB5FAC56693476E750B589FB1907C488
4 [file and pathname of the sample #1] 139.264 bytes 0x868135F0440BF6258B08A4BD73FD876C
Consoante as versões o nome pode variar: flash_update1.exe, flash_activex.exe, etc
São criados tmb uma data de pq ficheiros *.tmp (~1ko)
Novos processos criados:
wscrntfy.exe %System%\wscrntfy.exe 327.680 bytes
[filename of the sample #1] [file and pathname of the sample #1] 139.264 bytes
flash_wizard.exe %Temp%\flash_wizard.exe 327.680 bytes
Alterações no Registro:
Nova chave de registro:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
unsrvc = "%System%\wscrntfy.exe -runservice"
wscrntfy.exe arranca cada vez k o Windows abre
> ELIMINAR A CHAVE
chave de registro modificada:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
Userinit = "%System%\wscrntfy.exe -runservice"
wscrntfy.exe arranca cada vez k o Windows abre
> RESTAURAR A CHAVE INICIAL:
Userinit = "%System%\userinit.exe,"
Como me aconteceu, impossivel abrir uma sessao windows normal ou modo de segurança; Em vez de reinstalar o windows, sendo uma não solução, aconselho utilizar o exelente Avast! Bart CD que permite aceder ao registro sem iniciar o windows. Executa-se as operações necessarias no registo; o Avast permite tmb eliminar os ficheiros em causa no %Temp% + um scan do antivirus incluido, bastante potente.
A+. M
Novos ficheiros criados em %Temp%:
1 %Temp%\3.tmp 125 bytes 0x7C5F5A68051F6B0C0E9A2AD33C40D415
2 %Temp%\archive.arq 84.660 bytes 0x266E8DD7F9372DAE4AFA09E44EDAD257
3 %Temp%\flash_wizard.exe
%System%\wscrntfy.exe 315.392 bytes 0xDB5FAC56693476E750B589FB1907C488
4 [file and pathname of the sample #1] 139.264 bytes 0x868135F0440BF6258B08A4BD73FD876C
Consoante as versões o nome pode variar: flash_update1.exe, flash_activex.exe, etc
São criados tmb uma data de pq ficheiros *.tmp (~1ko)
Novos processos criados:
wscrntfy.exe %System%\wscrntfy.exe 327.680 bytes
[filename of the sample #1] [file and pathname of the sample #1] 139.264 bytes
flash_wizard.exe %Temp%\flash_wizard.exe 327.680 bytes
Alterações no Registro:
Nova chave de registro:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
unsrvc = "%System%\wscrntfy.exe -runservice"
wscrntfy.exe arranca cada vez k o Windows abre
> ELIMINAR A CHAVE
chave de registro modificada:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
Userinit = "%System%\wscrntfy.exe -runservice"
wscrntfy.exe arranca cada vez k o Windows abre
> RESTAURAR A CHAVE INICIAL:
Userinit = "%System%\userinit.exe,"
Como me aconteceu, impossivel abrir uma sessao windows normal ou modo de segurança; Em vez de reinstalar o windows, sendo uma não solução, aconselho utilizar o exelente Avast! Bart CD que permite aceder ao registro sem iniciar o windows. Executa-se as operações necessarias no registo; o Avast permite tmb eliminar os ficheiros em causa no %Temp% + um scan do antivirus incluido, bastante potente.
A+. M
jalms
Power Member
No meu caso, foi entrar com Modo de Segurança e mudar a string de "wscrntfy.exe" para "userinit.exe", reiniciar e já estava!
Ainda assim, pouco tempo depois, o AVG já o estava a topar, pois o ficheiro, naturalmente, ainda por cá vivia...
Lollipop_02
Membro
Preciso mesmo de ajuda, aconteceu me o mesmo... e tenho la um trabalho super importante que nao o posso perder... ja meti o cd do windows e nao deu nada.. nao sei o que fazer ... :S
Lollipop_02
Membro
Fiz isso, e nao resultou, nao deu para entrar a mesma.. Obrigado na mesma.
Tenho que mesmo ir a loja ..
Tenho que mesmo ir a loja ..