Здравствуйте.
Ситуация следующая: на зараженном компе отказывался грузиться рабочий стол. Все (те, что успел осмотреть) программы работают, однако, нормально. В ходе выполнения Правил AVZ удалила некоторые вирусы и, как результат, стал грузиться рабочий стол. Однако кое-что, насколько я понял, осталось под подозрением...
Логи прилагаю:
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\Temp\spy.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по красной ссылке вверху темы.
- Прикрепите логи к новому сообщению.
После выполнения скрипта и перезагрузки оказалось, что рабочий стол так и не грузится, при этом на долю секунд вылезает ДОСовское окошко с указанием файла C:\WINDOWS\system32\userinit.exe. Затем я как обычно открыл проводник и, о чудо, рабочий стол вновь появился...
CureIt ом проверялись? Если нет - сделайте проверку.
Потом:
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное востановление.
- Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Eugeny\Local Settings\Temp\tmp3E.tmp','');
QuarantineFile('C:\Documents and Settings\Eugeny\Local Settings\Temp\tmp3.tmp','');
QuarantineFile('C:\WINDOWS\Temp\gold.exe','');
QuarantineFile('C:\WINDOWS\Temp\187A.tmp','');
QuarantineFile('C:\WINDOWS\system32\drivers\spools.exe','');
DeleteFile('C:\WINDOWS\system32\drivers\spools.exe');
DeleteFile('C:\WINDOWS\Temp\187A.tmp');
DeleteFile('C:\WINDOWS\Temp\gold.exe');
DeleteFile('C:\Documents and Settings\Eugeny\Local Settings\Temp\tmp3.tmp');
DeleteFile('C:\Documents and Settings\Eugeny\Local Settings\Temp\tmp3E.tmp');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по красной ссылке вверху темы.
- Прикрепите логи к новому сообщению.
у меня не качается по фтп (или может я что-то не так делаю?)
А на другом компе скачать и провериться нет возможности? Тогда сделайте по крайней мере проверку установленным Антивирусом.
В логах сейчас чисто, Сервис Пак 3 установить нужно. Но АВЗ может не видеть каких-то файловых вирусов, поэтому рекомендуем провериться полноценным антивирусом.
А проблема-то, собственно, не исчезла! Все так же при загрузке выскакивает ДОСовское окошко с указанием файла C:\WINDOWS\system32\userinit.exe, а рабочий стол появляется только если из диспетчера задач запустить какое-нить приложение...
Что мне делать дальше? Проверять систему каким-нить антивирусом?
Приложение 3. Как прислать запрошенные файлы.
1. Запустите AVZ, выберите из меню "Файл" - >"Просмотр карантина".
2. Справа в списке файлов отметьте те файлы которые нужно выслать.
3. Нажмите на кнопку "Архивировать" и укажите место на диске где будет сохранён архив.
4. Загрузите полученный архив используя ссылку на станичку загрузки (Прислать запрошенный карантин) в шапке Вашей темы (тогда поле "Ссылка на тему" заполнится автоматически) или по адресу http://virusinfo.info/upload_virus.php , указав в поле "Ссылка на тему" ссылку на открытую Вами тему (ссылка должна быть вида httр://virusinfo.info/showthread.php?t=ХХХХ).
Загружать только один (1) раз, если вам кажется что не получилось- спросите об этом в теме.
Извините, я, наверное, чего-то не понимаю... Когда я в АВЗ ставлю птичку и нажимаю "Архивировать", то в полученном архиве находится файл с расширением ini по типу моего прошлого поста. А когда я руками запаковал и запаролил userinit.exe, то при загрузке мне выдает: ""A:\virus.zip" указал один или несколько файлов, которые невозможно найти."
???
Добавлено через 32 минуты
Вопрос все-еще в силе. Объясните пожалуйста, как заархивировать userinit.exe ???
Последний раз редактировалось nestor; 04.08.2008 в 17:04.
Причина: Добавлено
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: