WinXP: несколько процессов userini.exe грузят процессор на 100%
Здравствуйте!
Шеф развёл на ноутбуке настоящий гадюшник. Десяток бяк нашёл AVG, ещё пяток -- CureIt. Тем не менее, при загрузке системы в обычном (не безопасном) режиме через некоторое время запускаются несколько процессов userini.exe или explorer:userini.exe и грузят процессор на 100%.
Сделал, вроде, всё по вашим правилам, логи прилагаю. Если я правильно понял, антивирус надо было отключать только при первом запуске AVZ? После перезагрузки, перед вторым запуском AVZ я его снова включил.
Ещё перед первым запуском, поскольку было сказано закрыть программы, позакрывал в трее и поотключал в диспетчере программ всяких резидентов типа PowerDVD, SQLServer и т.д. -- может, зря?, процессы userini.exe не трогал.
DVDROM на ноуте что-то не работает, не виден даже в БИОСе, но это же, наверно, железо не работает? Трояны такого же не могут? Так что файлы переносил на него на флешке.
Буду признателен за помощь.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Доброго времени суток
Отключите компьютер от интернета, а также антивирус и/или файрвол.
Закройте все программы, выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\userini.exe');
QuarantineFile('C:\Documents and Settings\admin\ctfmon.exe','');
QuarantineFile('c:\windows\explorer.exe:userini.exe:$DATA','');
QuarantineFile('C:\WINDOWS\system32\drivers\lgsnd_filter.sys','');
QuarantineFile('Tdsarpowiwm.sys','');
QuarantineFile('C:\WINDOWS\system32\viwi.exe','');
QuarantineFile('c:\windows\system32\userini.exe','');
DeleteFile('c:\windows\system32\userini.exe');
DeleteFile('c:\windows\explorer.exe:userini.exe:$DATA');
DeleteFile('C:\Documents and Settings\admin\ctfmon.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','userini');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','userini');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini');
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи по правилам
Скрипт запустил, новые логи потом сделал. Спасибо большое! Вроде, помогло. Эти процессы перестали запускаться.
Не понял вот что: в присланном скрипте были строки:
Т.е. эти файлы должны были попасть в карантин? Но в карантине потом их не оказалось. Такое впечатление, что там остались только файлы, к-е AVZ в первый раз при сканировании туда положил. Что-то не так сработало или я что-то не понял? Нужны ли вам эти файлы?
Что-то в системе, похоже, не работает? Окно служб выглядит не очень: только в станд. режиме работает, в расширенном не отрисовывается. И программа восстановления системы не запускается.
Последний раз редактировалось knecht; 09.06.2010 в 15:11.
обновите систему
- SP2 обновите до Service Pack 3(может потребоваться активация) * Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
- Установите Internet-Explorer 8.(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - тут
- поставте Adobe Reader 9.3 или удалите старый.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: