Здравствуйте. У меня проблема с userinit и system.exe, даже после переустановки виндоус они остались активными и вредными Вообщем из-за них или нет, но сильно нарушается стабильность системы.
Здравствуйте. У меня проблема с userinit и system.exe, даже после переустановки виндоус они остались активными и вредными Вообщем из-за них или нет, но сильно нарушается стабильность системы.
Проверьте для начала, есть ли файл userinit.exe в папке system32
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Да, есть. Он как-то был и просто в WINDOWS
Пока не будем рисковать
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221); QuarantineFile('C:\Documents and Settings\All Users\Documents\Все док.Флэшка\USB DRIVE (G)\Secret.exe',''); QuarantineFile('C:\Documents and Settings\All Users\Documents\Все док.Флэшка\USB DRIVE (G)\Recycled.exe',''); QuarantineFile('C:\System Volume Information\_restore{2A55A581-44DD-41DA-9447-6AE199685002}\RP7\A0001959.exe',''); QuarantineFile('D:\autorun.inf',''); QuarantineFile('E:\autorun.inf',''); QuarantineFile('E:\Secret.exe',''); QuarantineFile('c:\windows\system32\trkwrunsrv.dll',''); QuarantineFile('c:\windows\userinit.exe',''); QuarantineFile('c:\windows\system32\userinit.exe',''); QuarantineFile('c:\windows\system32\system.exe',''); DeleteFile('c:\windows\system32\system.exe'); DeleteFile('c:\windows\system32\trkwrunsrv.dll'); DeleteFile('E:\Secret.exe'); DeleteFile('E:\autorun.inf'); DeleteFile('D:\autorun.inf'); DeleteFile('C:\System Volume Information\_restore{2A55A581-44DD-41DA-9447-6AE199685002}\RP7\A0001959.exe'); DeleteFile('C:\Documents and Settings\All Users\Documents\Все док.Флэшка\USB DRIVE (G)\Recycled.exe'); DeleteFile('C:\Documents and Settings\All Users\Documents\Все док.Флэшка\USB DRIVE (G)\Secret.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Скачайте AVZ 4.32, обновите его базы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Карантин отослал, логи к сожалению сделать не успел. Выполнял скрипт для логов, но после перезагрузки ноутбука перестало входить в систему. Я так понимаю userinit выделывается, но ведь его не удалял..
Вот это посмотрите и постарайтесь выполнить http://virusinfo.info/showthread.php?t=51777
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Live CD и ERD Commander'a под рукой не оказалось..скачивать долговато их, не мало весят. Решил просто форматировать раздел C и заново туда поставить windows. Поставил, установил Kaspersky 7, он сразу начал реагировать на system.exe . Логи сделал.
Также у меня еще проблема..падает процесс Generic Host Process for Win32 Services с отчетом об отправке майкрософту. После этого сразу прерывается связь с интернетом (подключение работает, но ни один сайт не открывается, касперский не обновляется). Спустя несколько минут меню пуск и все окна меняют тему на классическую. После перезагрузки все сразу нормально..
P.S. avz4 версии 4.32, базы новые. Не создает почему-то в логах syscheck.zip
Понятно с sp2 Вот ток Каспер достает с процессом system.exe.
Как включишь, так сразу запрещать процесс приходится..
Ну avz4 удаляет его конечно, только ко всему прочему userinit остается..отмечается как Worm.Win32.AutoRun.cbm и уж его то удалять никак нельзя. Но и не лечится..
Удалять его можно и нужно, только делать это надо грамотно.
AutoRun.cbm записывает себя как C:\Windows\userinit.exe и соответственно изменяет в реестре параметр Userinit. Настоящий же userinit.exe живет в папке C:\Windows\System32. Таким образом, если просто удалить файл червя, то после перезагрузки войти в систему уже не удастся. Нужно править реестр, но активный червь за этим тщательно бдит и возвращает неправильное значение.
Чтобы вам не лазить вручную в реестр, можно сделать так: когда антиврус обезвредит червя в памяти, сделайте копию файла C:\Windows\System32\userinit.exe в папку C:\Windows и перезагрузите компьютер. После этого сделайте лог HijackThis и мы подправим реестр.
I am not young enough to know everything...
Вот лог
Чисто, ничего править и не понадобилось.
Обновляйте систему и будет вам счастье
I am not young enough to know everything...
Ага, огромное спасибо Вам=) Вопрос решен
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 29
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\all users\documents\все док.флэшка\usb drive (g)\recycled.exe - Worm.Win32.AutoRun.cbm ( DrWEB: Win32.HLLW.Autoruner.1083, BitDefender: Dropped:Trojan.Downloader.VB.AXY, NOD32: Win32/AutoRun.PD virus, AVAST4: Win32:AutoRun-AHD [Wrm] )
- c:\documents and settings\all users\documents\все док.флэшка\usb drive (g)\secret.exe - Worm.Win32.AutoRun.cbm ( DrWEB: Win32.HLLW.Autoruner.1083, BitDefender: Dropped:Trojan.Downloader.VB.AXY, NOD32: Win32/AutoRun.PD virus, AVAST4: Win32:AutoRun-AHD [Wrm] )
- c:\system volume information\_restore{2a55a581-44dd-41da-9447-6ae199685002}\rp7\a0001959.exe - Worm.Win32.AutoRun.cbm ( DrWEB: Win32.HLLW.Autoruner.1083, BitDefender: Dropped:Trojan.Downloader.VB.AXY, NOD32: Win32/AutoRun.PD virus, AVAST4: Win32:AutoRun-AHD [Wrm] )
- c:\windows\system32\system.exe - Worm.Win32.AutoRun.cbm ( DrWEB: Win32.HLLW.Autoruner.1083, BitDefender: Dropped:Trojan.Downloader.VB.AXY, NOD32: Win32/AutoRun.PD virus, AVAST4: Win32:AutoRun-AHD [Wrm] )
- c:\windows\system32\trkwrunsrv.dll - Trojan-Downloader.Win32.FraudLoad.wxnu ( BitDefender: DeepScan:Generic.Peed.A0E35CEC )
- c:\windows\userinit.exe - Worm.Win32.AutoRun.cbm ( DrWEB: Win32.HLLW.Autoruner.1083, BitDefender: Dropped:Trojan.Downloader.VB.AXY, NOD32: Win32/AutoRun.PD virus, AVAST4: Win32:AutoRun-AHD [Wrm] )
- e:\secret.exe - Worm.Win32.AutoRun.cbm ( DrWEB: Win32.HLLW.Autoruner.1083, BitDefender: Dropped:Trojan.Downloader.VB.AXY, NOD32: Win32/AutoRun.PD virus, AVAST4: Win32:AutoRun-AHD [Wrm] )
Уважаемый(ая) Wiggles, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.