היי.

יש לי NOD32.

היום הורדתי קובץ כלשהו שנראה לי חשוד, אז בדקתי אותו עם התוכנה. הכל היה בסדר, האנטי וירוס שלי אמר שהקובץ תקין ואין מה לחשוש.

אז הפעלתי את הקובץ. בדיוק שניה אחרי שהפעלתי את הקובץ, התחילו לקפוץ לי חלונות של NOD32 עם הודעות שנכנסו לי וירוסים.

החלטתי לעשות סריקה, ובזמן שאני עושה סריקה - ה NOD32 יוצא אחרי 5 דקות מהסריקה ולא ניתן לבצע סריקה.

בקיצור, עשיתי הפעלה מחדש, פתאום ה explorer.exe לא עלה עם הוינדוס, ועלתה הודעת שגיאה שממש הפחידה אותי: "על מנת להגן על מחשבך, userinit.exe נסגר (זה כל מה שמפעיל את המחשב בריבוט).

אז ניסיתי להפעיל את האקספלורר ידנית דרך מנהל המשימות, וגם מנהל המשימות קרס.

אז עשיתי שוב, ומנהל המשימות נפתח, ופתחתי את האקספלורר.

לאחר מכן, אחרי הרבה ניסיונות כושלים בהפעלת המצב הבטוח, הפעלתי את המצב הבטוח דרך ה msconfig. ניסיתי שיחזור מערכת כמה פעמים - לא הצליח. גם במצב בטוח וגם בלי המצב הבטוח.

אחרי שיצאתי מהמצב הבטוח, הייתי אמור לראות עוד פעם את שגיאת ה userinit.exe - אבל הפעם היא לא הופיעה והמחשב עלה בסדר גמור.

אבל כמה שניות מאוחר יותר שוב כמה חלונות של נוד32 נפתחו לי.

בקיצור, אני מנסה להפעיל סרטים עכשיו, ומופיעה לי שגיאה של ה BSPLAYER שאומר שיש לי וירוס במחשב:

http://up102.siz.co.il/up2/iyf2miwumwyy.png

אני לא מצליח להפעיל את הסרטים דרך תוכנות מדיה אחרות - הן קורסות.

הוירוס נכנס לקבצים חשובים בתייקית Windows.

אני גם לא מצליח לכבות את המחשב - כשאני לוחץ על "כיבוי" המחשב לא מתכבה, אלא עושה הפעלה מחדש.

הוירוס עדיין קיים, ואני לא מצליח לעשות פירמוט.

הכנסתי את דיסק ה XP ועשיית הפעלה מחדש - אך כלום לא עלה, לא החלון שאמור להגיד לי ללחוץ על כפתור כלשהו כדי להתחיל בהתקנה.

מה אני אמור לעשות?

יכול להיות שזה פגע לי בהארד-דיסק?

אני נואש נואש נואש, אני מ 12:00 בלילה עד עכשיו (05:30) מנסה לפתור את זה...

יש לציין שאתרים אחרים לא עולים לי, האתר הזה עלה לי במזל.

אגב, כשהאנטי וירוס קופץ, רושם ששתי וירוסים נדבקו ב svhost.exe (איך שרשמים את זה) וב System.

תודה וסליחה על החפירה הענקית.

מועבר לפורום תוכנה.

חיפוש קצר בגוגל מעלה את האשכול הזה: http://www.bleepingcomputer.com/forums/topic31163.html.

פותח האשכול שם נתקל ככל הנראה באותה תקלה שאתה נתקלת בה, ונדבק באותה דרך- ע"י קובץ חשוד.

בכל אופן, אני מצטט כאן את השלבים שהוא ניסה כדי להיפתר מזה:

To remove it:

1. Before you start, check 2 places - Use Startup|Run to run MSCONFIG.EXE - in the startup tab, you ought to see the 'RUNDLL32 (8 gibberish lettered name).dll in the list. Make a note of the .dll name. Close MSCONFIG. Then open Windows Explorer and take a look in C:\Windows\System32. Sort by date modified, newest at the top. You will see a couple of 'StBcWXYZ-like'.ini and ini2 files - about 500KB in size, with a somewhat random-looking name with the datestamp of the moment when you got infected. Also, you will see several (8 gibberish lettered name).dll files with lengths between 60KB and 250KB. They will also have a similar creation date - note that some will be newer (these are the copies that I mentioned above). Erase all that you can - note that some of the .DLLs will refuse to be erased (since they are in use or otherwise protected).

2. Now, WRITE DOWN THE EXACT NAMES OF ALL OF THESE FILES!. Note that there are a few recent files made by Windows - they are wpa.dbl, fntcache and config.nt - Oh, BTW, I'm using Windows XP SP2.

3. Restart your computer using a floppy or CD that boots you into DOS!!!!! If you don't have one, use Windows Explorer (or some other computer) to make a bootable floppy or CD.

4. In DOS, navigate to C:\windows\system32 and erase the offending files. If you don't know how, use DIR /? and ERASE /? for help. I think one of them is marked as a system/read-only file, so you may have to use the DIR /A options to get at it.

5. Once you're sure that they have ALL been deleted, restart your PC from C:

6. It should startup ok, give you a taskbar, and complain that it couldn't run the .DLL that held the virus.

7. NOW - reopen MSCONFIG.EXE and uncheck the line that tries to load the (now-missing) virus file.

8. Re-boot and go have a drink of success!!

AND PROMISE TO BE MORE CAREFUL NEXT TIME!

I'm documenting this before I forget, and who knows, I may be looking for this solution some years from now myself :-( !

בכל מקרה, לפני שתנסה את זה, נסה קודם את אחד מתיקוני ה Registery מהקישור הבא: http://www.kellys-korner-xp.com/xp_tweaks.htm

נסה דברים שקשורים ל: Restore Winlogon\Userinit