Помогите уничтожить заразу.
Помогите уничтожить заразу.
Последний раз редактировалось Тарасов Сергей; 15.07.2009 в 14:07.
Выполните скрипт
пришлите карантин согласно приложения 3 правилКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('c:\windows\system32\drivers\winmgmt.exe',''); QuarantineFile('G:\RECYCLER\S-1-6-21-2438476501-1644491937-701003331-1213\WinMgmt.exe',''); QuarantineFile('G:\autorun.inf',''); DeleteFile('G:\RECYCLER\S-1-6-21-2438476501-1644491937-701003331-1213\WinMgmt.exe'); DeleteFile('G:\autorun.inf'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
повторите логи
Файл сохранён как 090224_133925_virus_49a3ce5de0d1e.zip
Размер файла 1466861
MD5 bd45d5cd0fc0f9ad986a114ba89bf2d9
Последний раз редактировалось Тарасов Сергей; 15.07.2009 в 14:07.
-Пофиксите
проблема решилась?Код:F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
Пофиксил.
Нет, зараза (подозрение у меня на C:\WINDOWS\system32\drivers\WinMgmt.exe) жива.
Сделайте полную проверку AVPTool...
выполните скрипт ...
Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\y3q2s3w17m5.exe'); TerminateProcessByName('c:\windows\system32\drivers\winmgmt.exe'); DeleteFile('c:\windows\system32\drivers\winmgmt.exe'); DeleteFile('c:\y3q2s3w17m5.exe'); DeleteFile('C:\WINDOWS\system32\drivers\WinMgmt.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
пофиксил, теперь не грузится винда, дальше винлогона не идет, сбрасывает опять на приветствие(ввод логина и пароль)
Что делать? Переустанавливать только? Или userinit можно скопировать с другого компьютера?
Добавлено через 7 часов 17 минут
расскажите как вернуть пофиксенное в хайджеке обратно, не грузится винда из-за этого. Или расскажите что именно я изменил этим фиксом?
Последний раз редактировалось Тарасов Сергей; 25.02.2009 в 16:08. Причина: Добавлено
Тут явно какой-то глюк случился, т.к. фикс этой строчки ничего не удаляет, а только исправляет ключ userinit. И вообще в таком виде эта строчка не должна была появиться в логе хайджека, т.к. она правильная и исправлять там нечего.
Проверьте наличие файла C:\WINDOWS\system32\userinit.exe. Его можно скопировать из другой системы или восстановить из дистрибутива, используя консоль восстановления или LiveCD. На всякий случай скопируйте его еще и в папку C:\WINDOWS\ .
I am not young enough to know everything...
Как вы это узнали? Другой - это какой? Положите userinit.exe и туда тоже!Там другой путь
I am not young enough to know everything...
Я уже положил этот файл везде где только можно.
Другой путь -
при просмотре ERD(G:\i386..\userinit.exe) и WiNPE в реестре этот путь для обеих оболочек разный. Я так понимаю, что смотрю реестр не этого компьютера, а реестр этих LIVECD. Нормальный реестр компа не подхватывается.
Вобщем как бы ни хотелось винду придется переустанавливать, вместе со всеми приложениями. Всего изза одного неправильного пути в реестре на один долбаный файлик.
у вас Platform: Windows 2003 SP2 поэтому фиксить нельзя ... нужно экспортировать ветку из другой системы ....
точно загрузите нужный реестрпонимаю, что смотрю реестр не этого компьютера, а реестр этих LIVECD.
C:\WINDOWS\system32\config - файлы software и system без расширений.
Профиль пользователя - ntuser.dat.
I am not young enough to know everything...
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 4
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\drivers\winmgmt.exe - Backdoor.Win32.SdBot.knb
- g:\recycler\s-1-6-21-2438476501-1644491937-701003331-1213\winmgmt.exe - Backdoor.Win32.SdBot.knb
Уважаемый(ая) Тарасов Сергей, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.