WIN XP, naběhne jen černá obr. a myš

tipuju zavirování

Já netipuji, nýbrž oznamuji, že je to vir (bohužel, nevím, jak se jmenuje). Je třeba:
Z jiného operačního systému v adresáři Windows (možná i Document and Settings) najít a smazat soubor s náhodným jménem (bohužel náhodné, ale tím pádem je jméno poněkud nesmyslné), a délkou 18432 bitů.
Potom je nutno v registrech (to již lze učinit z běžícího systému) vymazat ve větvi
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\Cu rrentVersion\Drivers32
položku midi, odkazující na tento soubor.
..........................
A stěžuji si Administrátorovi, že mně to nechce dovolit napsat CurrentVersion ve jméně toho klíče jako jedno slovo.

Jak praví klasik: Ano, to je správná odpověď!.
Díky, tohle mi (a asi nejen mně) ušetřilo mnoho hodin....

BTW: word wrap nám tu funguje záměrně, aby někdo dlouhým řetězcem znaků nerozhodit layout stránky.
Takhle by to mělo jít:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Drivers32

...díky moc za radu ohledně položky midi. Opravná instalace XP totiž také zůstává viset na černé obrazovce po prvním restartu. Přitom stačilo odmáznout patřičný klíč a XP jsem ani nemusel opravovat...(aspoň že se oprava po odmazání dál rozjela... ).

A jak se vám jej podařilo smazat, když jste neměl funkční Windows?

taky jsem se dostal k noťáku, kde naběhne jen modrá obrazovka s kurzorem myši, kterým lze pohybovat.
Jinak nereaguje na nic.

Žádná rada tady uvedená(resp. z odkazu na zive) nefunguje, udaný soubor nevidím, několik podivných jsem smazal , nezabralo.

Disk jsem schopen pomocí Converteru USB2.0>SATA/IDE DELOCK připojit k počítadlu, testuju to nejnovějším avastem.
Jen to šíleně trvá, protože z obavy natažení toho sajrajtu to testuju ve starém pomalém počítadle.

RegeditPE jsem na webu našel, ale nerozjede se, je nějaký starý(2007), nevim teď honem, co dál.

Máte někdo další nápady?

jen modrá obrazovka s kurzorem myši, kterým lze pohybovat

u tebe jde o něco úplně jiného - naběhne ti (neúplné) grafické rozhraní windows, jen se ti nenačte patrně zničený profil uživatele = aktuální větev hcu v registrech, čili nejspíš poškozený soubor C:\Documents and Settings\uživatel\NTUSER.DAT
druhou příčinou může být třeba vir nebo jiný nekompatibilní sw/ovladač po startu, na kterém se zasekne spouštění dalších procesů po startu z registrů, proto ti nepokračuje načítání profilu.

ctrl+alt+del funguje? jde odhlásit uživatele? přihlašuješ se běžně normálním účtem? jde se přihlásit jako "administrator", nejspíš bez hesla?
anebo - přihlásíš se aspoň v nouzovém režimu?

Mám tenhle problém taky. Nenačte se mi ani jeden profil uživatele, administrátor ani uživatel s omezenými právy. PS neraguje nanic, ani na CTRL + ALT + DEL, jemožní jen pohybovat myšítkem. Nezobrazuje se hlavní panel, není možné vyvolat nabídku START ani ručně, nefungují ani možnost spustit správce procesů z klávesnice. Jediné co jde, je vypnout PC natvrdo.
Petr

pravděpodobně se ti nespustí ani explorer.exe, zatuhne to na nějakém divném ovladači/viru.
- nouzový režim (f8 po startu) se spustí? pokud ano, dá se vlézt do prohlížeče událostí, co je tam za chyby?
- můžeš stáhnout a vypálit av rescue cd, nabootovat z něj a spustit av test?

Nouzový režim se nespustí, f8 po startu nereaguje. Když se tahle chyba objevila poprvé, wiňďous tuhle volbu (možnost přejít do nouzového reřimu etc.) otevřela automaticky. Zvolil jsem nejdřív "Poslední známou konfiguraci", pecko se restartovalo a znovu nabídlo tuhle volbu znovu. Vybral jsem nouzový režim, pecko se restartovalo a bez jakékoliv volby už napořád končí v popsaném stavu: Volba uživatele, obrázek pozadí (správný podle zvoleného uživatele), na něm běhající myšítko a jinak nejde nic. Ani Ctr+Alt+Del. Na klávesnici blikají všechny kontrolky a klávesnice nereaguje. Takže vypínám natvrdo...

HW - pecko má dva disky, na jednom jsou jen wiňďous a MANDRIVA, na druhém data. Třetí disk je externí, jsou na něm kopie některých dat.

AV rescue zkusím zítra, už mě bere spaní.

Celý mi to připadá uhozený, tyhle problémy tu jsou popisovaný v roce 2009 a tak si říkám, že AVAST v poslední verzi by je letos měl znát - pokud je to vir.

Na Pecku je instalovaná LINUX MANDRIVA, na první pohled jsou soubory na disku C: v pořádku, i uživatelské profily... Hledal jsem i ten výše zmiňovaný soubor (podle Pytlíkovy rady z 19.10.2009 10:01), ale marně, není. Do registru jsem nekoukal, musím najít něco co na MANDRIVĚ umí editovat wiňďousí registr...

Díky, Petr

řešil jsem teď dva případy, kdy komp nechtěl naběhnout přesně tebou popisovaným způsobem. U každýho byla příčina jiná. U prvního jsem přejmenoval rezidentně zaváděné drivery od Esetu a rozběhlo se to. Pak jsem jen přeinstaloval NOD32. U druhého jsem přejmenoval jakýsi ovladač od HP, který souvisel s přihlašováním pomocí karty a pak se to taky rozjelo. Ani v jednom případě antivirák žádného vira nehlásil. Combofix pak vymazal nějaké složky a soubory, pokaždé jiné.

Kur*va co to může být?

Mam tady taky jeden, jen cerna obrazovka a mys... jeste jsem to nezacal resit...

kamaratke na PC nastal ten isty problem - cierna obrazovka s kurzorom. skusil som Ubuntu a hladal som subor s dlzkou 18432 bajtov, ale nic som nenasiel. Teraz som supol disk do druheho PC a Avast nasiel virus subor s cudnym nazvom pblji.qxr, odstranil - nazval to Win32.Rootkit-gen(Rtk). Zajtra supnem disk spat do povodneho PC a uvidime ci nabootuje.

To by měl být on. Kde byl a jakou měl velikost?

bol vo Windows adresari, velkost mi zial Avast nezobrazil, kedze som ho hned zmazal

Hlavně, pokud počítač bude fungovat, se podívej, jestli na ten soubor odkazuje v registru položka midi, jak jsem zpočátku psal, tedy větev

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Drivers32

Ta položka může samozřejmě být pojmenována i trochu jinak - u mě to bylo "midi9".

nabootuju na boot cd Hirens verze 10,

registry z repair hrknu do Windows\System32\Config\

pak systém nastartuje, jako kdybych ho právě nainstaloval (musím vědět heslo admina).

Spustím obnovu systému, a žádné body k obnovení tam nejsou.

Co teď?

Ve složce C:\System Volume Information je složka _restore.
(Musím nejdříve v Možnosti složky->Zobrazení zrušit zatržítko u Použít zjednodušené zdílení souborů. Pak kliknu pravým myšítkem na složku System Volume Information, přejdeš na záložku Zabezpečení, nahoře vyberu účet, pod kterým jsem přihlášen a dole zatrhnu úplné řízení. Po této akci dostanu oprávnění štrachat ve složce. tam je složka RPxx, je v ní složka snapshot, která obsahuje novější zálohu registrů.)

ta složka snapshot je z 16.10.2009, asi je tam tedy záloha registrů.
soubory jsou prý:
_REGISTRY_MACHINE_SAM = sam
_REGISTRY_MACHINE_SECURITY = security
_REGISTRY_MACHINE_SOFTWARE = software
_REGISTRY_MACHINE_SYSTEM = system
_REGISTRY_USER_.DEFAULT = defautl
_REGISTRY_USER_NTUSER_S-1-5-xx = ntuser.dat

(trošku jsem ten postup "vykradl" tady http://forum.zive.cz/viewtopic.php?f=916&t=1089040 &st=0&sk=t&sd=a&sid=6073b4832fda88d5499376322e6a7a 45&start=15

ale nedaří se mi to dotáhnout do konce, tj. obnovit systém do původního stavu

můžu nahradit jen třeba software?

Já bych určitě doporučil postup popsaný na stránkách MS: cs

díky, taky si mi pomohl.
po prostudování teda mnoha návodů i tvého jsem dospěl k nejkratšímu řešení tohohle problému:

1. udělat si "hiren's boot cd"čko
2. nabootovat z něj do mini windows xp
3. najít na disku registry staršího data kdy to ještě fungovalo ve složce c:\system volume information\_restore (staršího data)\snapshot\-->
4. zkopírovat tamodtud
-->copy _registry_machine_sam jako sam do složky C:\windows\system32\conf\
-->copy _registry_machine_system jako system do složky C:\windows\system32\conf\
-->copy _registry_machine_security jako security do složky C:\windows\system32\conf\
-->copy _registry_machine_software jako software do složky C:\windows\system32\conf\
-->copy _registry_machine_.default jako default do složky C:\windows\system32\conf\

(v podstatě totéž píše v tvém odkazu i microsoft, i co píše už mnou odkazovaný miliness na živě)

5. restartovat z disku, systém naběhne, jen se chce znovu aktivovat(to mě trochu zarazilo), ale aktivace po síti proběhla v pohodě.

ÚÚÚÚÚÚFFFFFFFF !!!!!!!

Pardon, ze samé radosti jsem se spletl:

špatně c:\windows\system32\conf

dobře mám být c:\windows\system32\config !!!

(složka conf tam není, správně to nakopírujte do složky config.)

Radost mám proto, že je mi jasné, že si to tam ten člověk za chvíli natáhne pomocí "videjka od známého" znovu, takhle to dokážu za 2 minuty znovu rozchodit.

Mimochodem se mi zdá, že avast z dneška to nenajde škoda...

AVG jakbysmet - alespoň ne na mém PC, kam jsem si ten odkazovaný soubor nakopíroval pro pozdější testování....

tak i avast našel, jen se to u něj jmenuje trošlu jinak (než co hlásí nod): Win32:Rootkit-gen[Rtk] u mě v souboru bvbb.tmp, tak sláva.

Mam stejny problem jak tazatel.
Chtel jsem se zeptat zda muzu polozku(midi) z registru smazat nejakym zpusobem i kdyz ten disk mam pripojeny k jinemu pc??

Pokud naleznete ten soubor a smažete, pak už není potřeba mít disk připojený jinam - klidně jej vraťte a položku v registrech smažete po nabootování. Pokud soubor nenaleznete, pak nevím (nenašel jsem žádný funkční způsob editace registrů na jiném PC).

Ale určitě, po nabootování live systému z cd např. 10.0.html

tam najdeš "registry editor PE", který umí editovat i vzdálené registry.

Ale mě se to nějak nedařilo, najít tu položku midi.

ja som mal size polozky midi a midi9 ale smerovane zjavne na nejake audio dllky, avsak predtym bol este aux registry zaznam a ten smeroval na ten virus subor so zvlastnym nazvom. ten som zmazol, ale to je taka esteticka zalezitost, lebo podstatne je vymazat subor z disku, potom uz win funguju aj s registry zaznamom aj bez. ze vraj je to nejaky novy virus z madarska, co sa zacal lokalne tak rychlo sirit, ze zda sa nestihali vcas ani v esete... predsa len vyrobit signaturu trva par hodin, niekedy aj dni od boomu, ked sa zacne lavinovite novy virus sirit.

Ano, jde to, ale ne běžnými prostředky. Je potřeba nástroje, který umí editovat vzdálené registry. Já jsem na to sehnal prográmek Runscanner.exe (neplést si s programem stejného jména na vyhledávání spyware a podobných ptákovin, tenhle je tzv. registry redirector), pomocí něhož se spustí normální Regedit. Sehnal jsem ho z UBCD4Win.

By mě zajímlao co to je za svinstvo, když to dělá tolika idem. kde se to k sakru bere?

Takže aktualizujte avast v jiném pc na nejnovější datum potom k němu připojte disk a dejte v avastu hledat viry ve složce X:windows ....mělo by to najít nějaký rootkit tak to smažte a potom disk vratte do PC a mělo by to jet. Jinak ten vir je tam ještě pravděpodobně někde zakuklenej, takže doporučuju nainstalovat avasta a udělat aktualizace, prorože se mi v PC oběvil zas, ale avast to už kryje.

po odvireni Avastom a rozchodeni Win XP Home bez reinstalu som skontroloval updaty na WIn = vsetko aktualne, jedine co chybalo bol cumulative security pack for Explorer 6.0. takze tipujem, ze bezpecnostna diera bola v Exploreri bez poslednej zaplaty - navyse atypicky starsia MSIE 6.0 verzia, ktora je mozno nachylnejsia na bezpecnostne diery...

jak tento problem vyresit na nb kdyz nemuzu disk vyndat a jinde zavirovany soubor smazat?

nabootovat Hiren's boot CD, je tam nastroj co dokaze editovat registry vo WIndows na disku v notebooku, i ked sa nebootovalo z toho Win hdd. nasledne treba pohladat v registry odkaz v HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\Cu rrentVersion\Drivers32 na cudny nazov suboru /zvycajne polozka midi, alebo midi9, u mna dokonca aux/, vymazat. reboot z win by mal fungovat, nasledne ten subor treba aj vymazat z Windows adresara.

tak jak to je? neví někdo kde se to bere ?

Možná z toho internetu.

dobře, to mi došlo že si ldi neposílají infikované flash poštou. Ale co to je za svintsvo, co to dělá (krom nenajetí OS) atp...

Nejspíš vytváří botnet tj. samo o sobě to nic moc nedělá (nenajetí OS je spíše chyba než záměr), ale napadený počítač se pak dá zneužít v podstatě k libovolné činnosti - rozesílání spamu, hromadné útoky na servery, lámání hesel atd.

http://forum.avira.com/wbb/index.php?page=Thread&p ostID=785085
http://www.viry.cz/forum/viewtopic.php?f=13&p=7563 36#p756336

Tu ho máme,bastarda. Dnes jsem skolil 3 kousky.

Není to nějaká divočina?

To je x-let stará instalačka, pokud se nepletu - to "se nakazilo" teď?

Jo, to se mě neptej, co s tím zákazník dělal. NODa tam měl celou dobu, takže se to asi muselo "nakazit" až teď. Ale ještě tam jedna infekce je, až budu mít všechny testy hotové, mrknu na to a kdyžtak sem pastnu.
edit: v jednom z těch 3 PC nebyla infekce ani jedna. Avast, NOD, AVG ani SAS nic nenašly. Možná byl virus sebevražedný atentátník
edit2: tenhle obrázek je z jiného PC, to by spíš odpovídalo indiciím.

To bude ono.
Schválně se mrkni i do registru, zda xoluhib.old je svázán s midi (ve větvi drivers32, viz někde výše).

Upřímně řečeno, prdím na xoluhiba . Soubor jsem smazal, tak by tenhle zápis v registru IMHOj neměl už škodit. Už mám dost, dneska (včera) se všichni asi zbláznili a s nima i jejich počítače. A to mě ještě chytil v metru revizor, že mám prej špatnou jízdenku, o 8 Kč levnější. Za 700 Kč zlatá Praha. Holt příručku "Buran ve městě" jsem neměl zapomenout doma.

Jinak doplním výše uvedené návody na obnovu registru ze zálohy. Pokud máte Hiren´s CD, je zbytečná práce nastavovat práva na přístup do System Volume, zakazovat zjednodušené sdílení atd. Stačí spustit mini Windows XP z CD a jednoduše přejmenovat a překopírovat SAM a další ze zálohy do windows\system32\config.

ja nemam nic podozrive v registroch, ziadny odkaz na cestu kde by sa nachadzal podozrivy subor, takisto v x:\Windows nemam nic zvlastne no presto mi po nabootovani hodi ciernu obr. a kurzor.. iny PC nemam, mam len k dispozicii soft, od Hirens po live linux, tak ako to odstranit?

vytáhni disk a foukni ho k jinému pc jako druhý nebootovací.
tam odviruj, odspywaruj, odrootkituj.

vysie som spominal ze nemam iny pc, tj moznost pripojit k inemu Pc... no zas a znova sa mi potvrdila metoda napisat o svojom probleme a hned sa objavi riesenie--offtopic ale mozem hladat aj dva dni problem ako som robil. po napisani sa mi zjavilo riesnie a bolo opravene..

teda nasiel som nejake veci vo Windows adresari vymazal 2podozrive subory 8kB a 50kB jeden .old druhy .tmp no a Win nabehne ale vyhadzuje Neodoslat odoslat na Eset Service,dam Neodoslat a vyskoci o 5s zas

ja nemam nic podozrive v registroch

teda nasiel som nejake veci vo Windows adresari vymazal 2podozrive subory

Zbytek slov jsem moc nepochopil. Ten NOD32 snad píše i něco jiného, než jen odeslat-neodeslat.

píšeš do cizího threadu, lepíš se k jinému možná podobnému případu. kdo má podle tebe najít v desítkách reakcí (momentálně 71), že ty nemáš právě po ruce jiný pc a nemáš ani žádné kamarády?

něco jsi sice vymazal ale vyskakuje to zas. tak se snad podívám do něčeho co umí kontrolovat autoruns - automaticky spouštěné procesy po startu. a taky výpis toho co mám momentálně v paměti - nějaký lepší správce úloh.
názvy programů jako msconfig.exe, tasklist nebo taskmgr, z lepších starter, process explorer, zmíněný autoruns, log z combofix, hijackthis ... už tu většinou padly. co ti brání je použít?

Stačí spustit mini Windows XP z CD a jednoduše přejmenovat a překopírovat SAM a další ze zálohy do windows\system32\config.

Máš to tu jasně napsané. Co chceš ještě víc? Funguje to.

aj brtnik: vdaka uz som aplikoval nejake nastroje a tak,..

Dnes jsem opravoval počítač, který se choval stejně. Žádný podivný soubor na disku nebyl, ale v registru byla položka midi9. Pomohlo až její vymazání z Hirens CD. Díky všem za rady