Не удаеться определить к какой модификации относиться и методы лечения. Пробовал разные коды для разблокировки опубликованные на форуме, не помогло. Загружался с Live CD, просматривал содержимое папок, нет таких файлов о которых здесь так же писали. Как определить что это и как в дальнейшем с ним бороться? Возможно немного неудачный снимок.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
запустить надо avz на заражённой системе и сделать логи, скопируем экземпляр- будет лечение и возможность предотвращения не только для вас, но и для остальных.
1. На клавиатуре необходимо нажать сочетание клавиш Windows+U, вызывая окно Мастера специальных возможностей:
2. Из указанного меню может быть запущена Экранная лупа, активация которой сопровождается пояснительным текстом:
Нажав на ссылку "Веб-узел Майкрософт", пользователь получает доступ к обозревателю Интернета, а, следовательно, может загружать и запускать антивирусные инструменты - AVZ, AVPTool, CureIt и т.д.
Загрузитесь с виндовского LiveCD или же подключите жесткий диск с больной системой к другому компьютеру. Но ничего не запускайте на подключенном диске!
Проверьте наличие файлика userinit.exe в папке windows\system32.
Далее
1. Запустите regedit и выделите раздел HKEY_USERS.
2. Выберите в меню программы File - Load Hive (Файл - Загрузить куст) и перейдите к папке, где находится реестр вашей Windows (обычно C:\Windows\System32\Config).
3. Выделите файл SOFTWARE без расширения и нажмите Open (Открыть).
4. Введите имя для раздела, который вы загрузили, например, MyHive.
посмотрите Microsoft\Windows NT\Winlogon(в обычном виде это [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
параметр Userinit должен быть такой C:\WINDOWS\system32\userinit.exe, (с запятой)
не забудьте выгрузить куст
Загрузился с Live CD. Перешел windows\system32 файл userinit.exe присутствует. Запустил regedit загрузил куст в этом разделе в параметре Userinit c:\windows\help\hlp.exe Что нужно дальше сделать? Удалить этот параметр? И попытаться загрузиться уже с зараженной системы?
Последний раз редактировалось voleka; 22.07.2009 в 14:16.
В приветствии выбираю пользователя с правами администратора, рабочий стол моргает на мнговенье и в строке выбора пользователя появляется "завершение сеанса" При нажатии windows+U появляется выше указаное окно на фоне приветствия и выбора пользователей без сопровождения пояснительного текста. Так и не получается попасть на рабочий стол и запустить что либо. Что еще можно сделать?
Простите... каюсь... поторопился и сделал не внимательно... имя файла изменил на правильное, а пути остались старые... c:\windows\help\userinit.exe, сейчас установил правильно c:\windows\system32\userinit.exe, попал на рабочий стол... запустил AVZ, сейчас сканирует и готовит отчет.
Да, конечно сохранил. Сделал диагностику из правил п1. перезагрузил компьютер, иеперь не удалось попасть на рабочий стол... пришлось воспользоваться методом из поста №2 запустить AVZ еще раз и выполнить скрипт сбора информации для раздела "Помогите!" но логи отличаються и то что находиться в карантине и папке инфецированые и то что приготовлено в архиве virus.zip Что дальше сделать?
Файл, из-за которого все началось, найти через AVZ, добавить в карантин и прислать через красную ссылку
Не нашел как через AVZ добавить файл, просто добавил его в архив.
Результат загрузки
Файл сохранён как 090722_180725_virus_4a671d1d7d8d0.zip
Размер файла 84813
MD5 f40108f83532a0661c5a176407d92e78
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: