Проблемы с рабочим столом

[yurko-i]

Добрый день.
Вот неполучается восстановить загрузку рабочего стола.
Удалял ключи реестра как написано вот здесь:
http://prizrak.livejournal.com/145085.html
С помощью AVZ делал восстановление параметров рабочего стола, загрузки explorer.exe.
Настораживает то что при проверке avz говорит что выполняется прямое чтение userinit.exe
При сборе логов для форума комп ПЕРЕЗАГРУЖАЕТСЯ.
Вот то что утилита успела собрать:

[yurko-i]

Да еще, я отключел восстановления системы на всех диска, но после этого доступ к папке: "System Volume Information" запрещен всеравно.
AVZ на нее постоянно ругается..
Если стартовать explorer.exe вручную, то раб. стол запускается...
оттакая блин петрушка.

[kps]

Выполните скрипт в AVZ:

Код:

begin
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\cmprop.dll','');
 QuarantineFile('C:\WINDOWS\system32\userinit.exe','');
 QuarantineFile('C:\WINDOWS\system32\WinNt32.dll','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Wnn34.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Vfe20.sys','');
 QuarantineFile('C:\WINDOWS\system32\PDFreDirectLEMonNT.dll','');
 DeleteFile('C:\WINDOWS\System32\Drivers\Vfe20.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Wnn34.sys');
 DeleteFile('C:\WINDOWS\system32\WinNt32.dll');
DelWinlogonNotifyByKeyName('WinNt32');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('Wnn34');
BC_DeleteSvc('Vfe20');
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно приложению №3 правил (загружать здесь: http://virusinfo.info/upload_virus.php?tid=24579 ).

Очистите временные папки и кеш браузера.
Сделайте новые логи.

[yurko-i]

Пришлите карантин согласно приложению №3 правил (загружать здесь: http://virusinfo.info/upload_virus.php?tid=24579 ).
Выслал..
Очистите временные папки и кеш браузера.
Сделайте новые логи.[/QUOTE]
Логи сделал

[kps]

C:\WINDOWS\system32\ADMDLL.dll - not-a-virus:RemoteAdmin.Win32.RAdmin.20
Вы Remote admin устанавливали? Он Вам нужен?

C:\WINDOWS\system32\userinit.exe - Trojan-Downloader.Win32.Injecter.fz

C:\WINDOWS\System32\Drivers\Vfe20.sys - Rootkit.Win32.Qandr.cc (уже удален)

Выполните скрипт в AVZ:

Код:

begin
ClearQuarantine;
 QuarantineFile('C:\WINDOWS\system32\cmprop.dll','');
 QuarantineFile('C:\WINDOWS\system32\PDFreDirectLEMonNT.dll','');
If CheckFile('%System32%\userini.exe') = 3 then
 begin
 AddToLog('Файл %System32%\userini.exe опознан как безопасный');
 CopyFile('%System32%\userini.exe', '%System32%\userinit.exe'); 
 If CheckFile('%System32%\userinit.exe') = 3 then
  AddToLog('Файл %System32%\userinit.exe теперь опознан как безопасный') 
  else 
   begin 
   AddToLog('Внимание, файл %System32%\userinit.exe не опознан как безопасный!');
   If CheckFile('%System32%\dllcache\userinit.exe') = 3 then
    begin
    AddToLog('Файл %System32%\dllcache\userinit.exe опознан как безопасный');
    CopyFile('%System32%\dllcache\userinit.exe', '%System32%\userinit.exe');
    If CheckFile('%System32%\userinit.exe') = 3 then
     AddToLog('Файл %System32%\userinit.exe теперь опознан как безопасный') else AddToLog('Внимание, файл %system32%\userinit.exe не опознан как безопасный. Рекомендуется выполнить sfc /scannow');
    end else
    AddToLog('Внимание, файл %System32%\dllcache\userinit.exe не опознан как безопасный. Рекомендуется выполнить sfc /scannow');
   end;
 end else 
  begin
  AddToLog('Внимание, файл %System32%\userini.exe не опознан как безопасный!');
  If CheckFile('%System32%\dllcache\userinit.exe') = 3 then
    begin
    AddToLog('Файл %system32%\dllcache\userinit.exe опознан как безопасный');
    CopyFile('%System32%\dllcache\userinit.exe', '%System32%\userinit.exe');
    If CheckFile('%System32%\userinit.exe') = 3 then
     AddToLog('Файл %System32%\userinit.exe теперь опознан как безопасный') else AddToLog('Внимание, файл %system32%\userinit.exe не опознан как безопасный. Рекомендуется выполнить sfc /scannow');
    end else
    AddToLog('Внимание, файл %System32%\dllcache\userinit.exe не опознан как безопасный. Рекомендуется выполнить sfc /scannow');
  end;
SaveLog(GetAVZDirectory + 'userinit.log');
RebootWindows(false);
end.

Компьютер перезагрузится.

Пришлите карантин по правилам.
Сделайте новые логи по правилам (все 3) и прикрепите еще файл userinit.log из папки AVZ.

[yurko-i]

Карантин выслал, вот логи:
Кстати комп перестал перезагружать при выполнении скриптов сбора инфы.

[yurko-i]

И еще userinit.log:

[yurko-i]

По поводу Radmin, он нужен через него я к тачке подключаюсь...

[V_Bond]

пофиксите ....

Код:

F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe

пуск выполнить sfc /scannow (понадобится диск с дистрибутивом) или замените userinit.exe на чистый с другой машины ...

[yurko-i]

пофиксите ....

Код:

F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe

пуск выполнить sfc /scannow (понадобится диск с дистрибутивом) или замените userinit.exe на чистый с другой машины ...

насколько я понял дання операция удалит userinit.exe

[V_Bond]

насколько я понял дання операция удалит userinit.exe

вы не правильно поняли ....

[yurko-i]

Большое спасибо, помогло.
Профиксил, подбросил чистый userinit.exe и все заработало.

[kps]

Сделайте новые логи для контроля.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 29
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\windows\\system32\\admdll.dll - not-a-virus:RemoteAdmin.Win32.RAdmin.20 (DrWEB: Program.RemoteAdmin.21)
  2. c:\\windows\\system32\\drivers\\vfe20.sys - Rootkit.Win32.Qandr.cc (DrWEB: Trojan.Sentinel.101)
  3. c:\\windows\\system32\\userinit.exe - Trojan-Downloader.Win32.Injecter.fz (DrWEB: Trojan.DownLoader.62860)