Показано с 1 по 16 из 16.

Проблемы с userinit.exe и system.exe (заявка № 66092)

  1. #1
    Junior Member Репутация
    Регистрация
    06.01.2010
    Сообщений
    8
    Вес репутации
    52

    Thumbs up Проблемы с userinit.exe и system.exe

    Здравствуйте. У меня проблема с userinit и system.exe, даже после переустановки виндоус они остались активными и вредными Вообщем из-за них или нет, но сильно нарушается стабильность системы.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Проверьте для начала, есть ли файл userinit.exe в папке system32
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  4. #3
    Junior Member Репутация
    Регистрация
    06.01.2010
    Сообщений
    8
    Вес репутации
    52
    Да, есть. Он как-то был и просто в WINDOWS

  5. #4
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Пока не будем рисковать

    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
    QuarantineFile('C:\Documents and Settings\All Users\Documents\Все док.Флэшка\USB DRIVE (G)\Secret.exe','');
     QuarantineFile('C:\Documents and Settings\All Users\Documents\Все док.Флэшка\USB DRIVE (G)\Recycled.exe','');
     QuarantineFile('C:\System Volume Information\_restore{2A55A581-44DD-41DA-9447-6AE199685002}\RP7\A0001959.exe','');
     QuarantineFile('D:\autorun.inf','');
     QuarantineFile('E:\autorun.inf','');
     QuarantineFile('E:\Secret.exe','');
     QuarantineFile('c:\windows\system32\trkwrunsrv.dll','');
     QuarantineFile('c:\windows\userinit.exe','');
    QuarantineFile('c:\windows\system32\userinit.exe','');
     QuarantineFile('c:\windows\system32\system.exe','');
     DeleteFile('c:\windows\system32\system.exe');
     DeleteFile('c:\windows\system32\trkwrunsrv.dll');
     DeleteFile('E:\Secret.exe');
     DeleteFile('E:\autorun.inf');
     DeleteFile('D:\autorun.inf');
     DeleteFile('C:\System Volume Information\_restore{2A55A581-44DD-41DA-9447-6AE199685002}\RP7\A0001959.exe');
     DeleteFile('C:\Documents and Settings\All Users\Documents\Все док.Флэшка\USB DRIVE (G)\Recycled.exe');
     DeleteFile('C:\Documents and Settings\All Users\Documents\Все док.Флэшка\USB DRIVE (G)\Secret.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Скачайте AVZ 4.32, обновите его базы
    Сделайте новые логи
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  6. #5
    Junior Member Репутация
    Регистрация
    06.01.2010
    Сообщений
    8
    Вес репутации
    52
    Карантин отослал, логи к сожалению сделать не успел. Выполнял скрипт для логов, но после перезагрузки ноутбука перестало входить в систему. Я так понимаю userinit выделывается, но ведь его не удалял..

  7. #6
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Вот это посмотрите и постарайтесь выполнить http://virusinfo.info/showthread.php?t=51777
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  8. #7
    Junior Member Репутация
    Регистрация
    06.01.2010
    Сообщений
    8
    Вес репутации
    52
    Live CD и ERD Commander'a под рукой не оказалось..скачивать долговато их, не мало весят. Решил просто форматировать раздел C и заново туда поставить windows. Поставил, установил Kaspersky 7, он сразу начал реагировать на system.exe . Логи сделал.
    Также у меня еще проблема..падает процесс Generic Host Process for Win32 Services с отчетом об отправке майкрософту. После этого сразу прерывается связь с интернетом (подключение работает, но ни один сайт не открывается, касперский не обновляется). Спустя несколько минут меню пуск и все окна меняют тему на классическую. После перезагрузки все сразу нормально..
    P.S. avz4 версии 4.32, базы новые. Не создает почему-то в логах syscheck.zip

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Выполните скрипт:
    Код:
    begin
     DeleteFile('F:\autorun.inf');
     DeleteFile('F:\Secret.exe');
    ExecuteSysClean;
    end.
    Цитата Сообщение от Wiggles Посмотреть сообщение
    падает процесс Generic Host Process for Win32 Services с отчетом об отправке майкрософту
    А это потому что:
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    Нужно ставить SP3 + последующие обновления.
    I am not young enough to know everything...

  10. #9
    Junior Member Репутация
    Регистрация
    06.01.2010
    Сообщений
    8
    Вес репутации
    52
    Понятно с sp2 Вот ток Каспер достает с процессом system.exe.
    Как включишь, так сразу запрещать процесс приходится..

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Цитата Сообщение от Wiggles Посмотреть сообщение
    Каспер достает с процессом system.exe.
    Как включишь, так сразу запрещать процесс приходится..
    Да не запрещать его надо, а удалить!
    В логах его впрочем не видно.
    Сделайте полную проверку антивирусом.
    I am not young enough to know everything...

  12. #11
    Junior Member Репутация
    Регистрация
    06.01.2010
    Сообщений
    8
    Вес репутации
    52
    Ну avz4 удаляет его конечно, только ко всему прочему userinit остается..отмечается как Worm.Win32.AutoRun.cbm и уж его то удалять никак нельзя. Но и не лечится..

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Цитата Сообщение от Wiggles Посмотреть сообщение
    userinit остается..отмечается как Worm.Win32.AutoRun.cbm и уж его то удалять никак нельзя.
    Удалять его можно и нужно, только делать это надо грамотно.

    AutoRun.cbm записывает себя как C:\Windows\userinit.exe и соответственно изменяет в реестре параметр Userinit. Настоящий же userinit.exe живет в папке C:\Windows\System32. Таким образом, если просто удалить файл червя, то после перезагрузки войти в систему уже не удастся. Нужно править реестр, но активный червь за этим тщательно бдит и возвращает неправильное значение.

    Чтобы вам не лазить вручную в реестр, можно сделать так: когда антиврус обезвредит червя в памяти, сделайте копию файла C:\Windows\System32\userinit.exe в папку C:\Windows и перезагрузите компьютер. После этого сделайте лог HijackThis и мы подправим реестр.
    I am not young enough to know everything...

  14. #13
    Junior Member Репутация
    Регистрация
    06.01.2010
    Сообщений
    8
    Вес репутации
    52
    Вот лог

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Чисто, ничего править и не понадобилось.
    Обновляйте систему и будет вам счастье
    I am not young enough to know everything...

  16. #15
    Junior Member Репутация
    Регистрация
    06.01.2010
    Сообщений
    8
    Вес репутации
    52
    Ага, огромное спасибо Вам=) Вопрос решен

  17. #16
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 29
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\documents and settings\all users\documents\все док.флэшка\usb drive (g)\recycled.exe - Worm.Win32.AutoRun.cbm ( DrWEB: Win32.HLLW.Autoruner.1083, BitDefender: Dropped:Trojan.Downloader.VB.AXY, NOD32: Win32/AutoRun.PD virus, AVAST4: Win32:AutoRun-AHD [Wrm] )
      2. c:\documents and settings\all users\documents\все док.флэшка\usb drive (g)\secret.exe - Worm.Win32.AutoRun.cbm ( DrWEB: Win32.HLLW.Autoruner.1083, BitDefender: Dropped:Trojan.Downloader.VB.AXY, NOD32: Win32/AutoRun.PD virus, AVAST4: Win32:AutoRun-AHD [Wrm] )
      3. c:\system volume information\_restore{2a55a581-44dd-41da-9447-6ae199685002}\rp7\a0001959.exe - Worm.Win32.AutoRun.cbm ( DrWEB: Win32.HLLW.Autoruner.1083, BitDefender: Dropped:Trojan.Downloader.VB.AXY, NOD32: Win32/AutoRun.PD virus, AVAST4: Win32:AutoRun-AHD [Wrm] )
      4. c:\windows\system32\system.exe - Worm.Win32.AutoRun.cbm ( DrWEB: Win32.HLLW.Autoruner.1083, BitDefender: Dropped:Trojan.Downloader.VB.AXY, NOD32: Win32/AutoRun.PD virus, AVAST4: Win32:AutoRun-AHD [Wrm] )
      5. c:\windows\system32\trkwrunsrv.dll - Trojan-Downloader.Win32.FraudLoad.wxnu ( BitDefender: DeepScan:Generic.Peed.A0E35CEC )
      6. c:\windows\userinit.exe - Worm.Win32.AutoRun.cbm ( DrWEB: Win32.HLLW.Autoruner.1083, BitDefender: Dropped:Trojan.Downloader.VB.AXY, NOD32: Win32/AutoRun.PD virus, AVAST4: Win32:AutoRun-AHD [Wrm] )
      7. e:\secret.exe - Worm.Win32.AutoRun.cbm ( DrWEB: Win32.HLLW.Autoruner.1083, BitDefender: Dropped:Trojan.Downloader.VB.AXY, NOD32: Win32/AutoRun.PD virus, AVAST4: Win32:AutoRun-AHD [Wrm] )


  • Уважаемый(ая) Wiggles, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. userinit.exe и taskman.exe - проблемы
      От andy88 в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 19.03.2012, 20:00
    2. Ответов: 8
      Последнее сообщение: 16.01.2010, 21:23
    3. Проблемы с userinit.exe, и не только
      От akd в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 16.03.2009, 23:13
    4. Проблемы с файлом userinit.exe
      От Slayerfan в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 12.02.2009, 17:38
    5. заражены 2 файла: userinit.exe и system32/system.exe
      От rcarlos в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 29.09.2008, 15:58

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00028 seconds with 17 queries