Симптомы: в диспетчере задач висит процесс svchost.exe и загружает процессор не менее чем на 50%. Антивирус умер, стоял доктор веб, базы были неактуальны. При попытке переустановки антивируса (пробовал доктор веб и касперский) выдается ошибка и установка прекращается (установка не может скопировать файлы с расширением *.avz). При запуске проверки CureIT выходит BSOD и система перезагружается. При распаковке AVZ, скачанной по ссылке с вашего сайта, так же не распаковываются фалы с расирением *.avz. Распаковал архив на флэшку на другом компьютере, запускаю программу на зараженном. Сначала выходит ошибка "не могу прочитать файл. Недостаточно квот для выполнения операции", файл так же с расширением *.avz. После закрытия этой ошибки прога запускается, но с корявыми шрифтами и сразу вылезает куча ошибок Access violation. В проге сделать ничего нельзя. Переименование исполняемого фалйа результатов не дает. HiJackThis запустился, лог прикладываю.
ps. Зараженный компьютер - ноутбук, винт не получится подрубить к другому компу для проверки. Все операции были повторены так же в безропасном режиме с теми же результатами
обещанное вложение...
Последний раз редактировалось Rene-gad; 26.07.2008 в 21:13.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Какой результат? Вы его скачали и запустили? Эта версия не в архиве и у нее нет файлов *.avz
Прошу прощения. Программа запустилась, идет сканирование... Скоро выложу результаты
Добавлено через 21 минуту
Программа запустилась, обновление баз было недоступно. База поcледний раз обновлялась 23.04.2008. Скрипт смог прогнать только после того, как запустил AVZGuard, без этого система сваливалась в BSOD.
Последний раз редактировалось timur_nagimov; 26.07.2008 в 21:44.
Причина: Добавлено
begin
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\System32\lstream.dll');
DelWinlogonNotifyByKeyName('lstream');
BC_ImportDeletedList;
SysCleanAddFile('C:\Documents and Settings\enzo_matrix\cmanger.exe');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
c:\windows\system32\userinit.exe - этот системный файл у Вас подменен зловредом. Обязательно замените его на чистый из дистрибутива или с другой чистой системы (замену лучше проводить из консоли восстановления).
Программу FolderLock Вы устанавливали?
Такой большой файл Hosts Вам нужен? В нем много записей - его можно почистить.
FolderLock сам ставил, ип адреса -адреса днс серверов провайдера. userinint за что отвечает? Не за экран выбора пользователей при загрузке винды? просто он изменился после установки одного из драйверов. Про файл Hosts тоже не понятно мне, где его настраивать? Не про файл подкачки вы говорите? логи утром выложу...
userinit.exe - системный файл, необходимый для загрузки системы. У Вас он подменен зловредом. Это не предположение, а факт - я его проверил.
Поэтому замените его на чистый, как я написал.
вобщем вот какая ситуация получилась. я запустил ваш последний скрипт, поставил доктор веб (он нормально установился и скачал последние базы, чего до этого сделать не получалось). Перезагрузил компьютер. После выбора пользователя начинается загрузка системы, и тут же идет завершение сеанса и система возвращается к выбору пользователя. То же самое и при загрузке в безопасном режиме. Попробовал прогнать установку windows в режиме восстановления, результатов это не дало. Пишу сейчас с другого компьютера, на том сейчас нельзя работать никак, только из командной строки если. Подскажите, что делать...
Я же Вам говорил, замените userinit.exe на чистый. Вы этого не сделали. Вот и пожинаете теперь плоды.. ДрВеб его удалил, потому что это зловред, но не заменил (антивирус - это не искуственный интеллект), вот у Вас теперь и проблема.
Решение проблемы: зайдите в консоль восстановления или загрузитесь с загрузочного диска типа BartPE и положите чистый (из дистрибутива или с чистой системы) файл userinit.exe в папку c:\windows\system32\
доктор веб (он нормально установился и скачал последние базы, чего до этого сделать не получалось).
А кто базы АВЗ обновлять будет? Внимание !!! База поcледний раз обновлялась 23.04.2008 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Сегодня м.п. 27.07.2008
Файл hosts почистил, там куча адресов были завязаны на 127.0.0.1, в том числе сайты каспесркого и микрософта. На данный момент компьютер работает стабильно, антивирус стоит и обновляется. Большое спасибо за помощь. желаю вам по-меньше таких вот как я шибко самостоятельных юзеров
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: