Помогите определить и ликвидировать заразу

**Teyry** · 07.01.2010, 09:13

Есть машина, ко мне она попала с симптомами "загружается раб. стол и сразу идет завершение сеанса", загрузила с ERD commander, исправила реестр - в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\userinit вместо C:\WINDOWS\system32\userinit.exe, было \\.\globalroot\systemroot\system32\userinit.exe, восстановила userinit.exe, он отсутствовал, проверила liveCD dr.web, нашел 2 трояна (правда не могу сказать какие). система грузится, только в реестре постоянно восстанавливается путь \\.\globalroot\systemroot\system32\userinit.exe, как бы не меняла (загружается с правильным путем, а после закрытия реестра опять не правильный). это немного напрягает, боюсь как-бы userinit.exe опять не исчез. помогите найти заразу.

Вложение 202367

Вложение 202368

Вложение 202369

hijackthis не удалось запустить с правами администратора, стоит ХР HE, и под администратором пускает только в безопасном режиме

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**gjf** · 07.01.2010, 09:27

- Закройте/выгрузите все программы кроме Internet Explorer.
Отключите
- ПК от интернета/локальной сети.
- Антивирус и Файрвол.
- Системное восстановление!!! Это ВАЖНО!
- Выполните скрипт AVZ:

Код:

begin
 RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
 SetAVZPMStatus(true);
 RebootWindows(true);
end.

Система перезагрузится.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи согласно Правил (Диагностика)
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антивирус и Файрвол
- Подключите ПК к интернету/локальной сети
- Прикрепите новые логи к новому сообщению в этой ветке.

**Teyry** · 07.01.2010, 10:30

интернета на той машине нету, файрвол выключен, каспер выгружен, но в диспетчере задач висит какой-то avp.exe, один из 3 обычных, который мне завершить никак не удалось, система не дает; скрипт выполнила, темпы, кэш, корзину почистила

Вложение 202372
Вложение 202373
Вложение 202374

**Bratez** · 07.01.2010, 12:14

Пофиксите в HijackThis:

Код:

F2 - REG:system.ini: UserInit=\\.\globalroot\systemroot\system32\userinit.exe,

Перезагрузите компьютер и повторите лог HijackThis.

Сообщение от Teyry

каспер выгружен, но в диспетчере задач висит какой-то avp.exe

Это сервисная часть антивируса Касперского, она просто так не выгружается.

**Teyry** · 07.01.2010, 13:23

Фиксю, перегружаю, до видимой загрузки KAV в трей запускаю HijackThis в первый раз Вложение 202417

второй раз запускаю HijackThis Вложение 202418 - опять появляется строка
F2 - REG:system.ini: UserInit=\\.\globalroot\systemroot\system32\userin it.exe,

**Teyry** · 08.01.2010, 05:05

Тему можно закрыть, потому что машину пришлось отдать, экспериментировать больше не на чем. Всем большое спасибо

Помогите определить и ликвидировать заразу (заявка № 66190)

Опции темы

Помогите определить и ликвидировать заразу

Похожие темы

Помогите определить руткит или нет

Помогите определить причину

Помогите определить вирусы

Помогите определить зловреда.

помогите ликвидировать засранцев!

Ваши права в разделе