Показано с 1 по 8 из 8.

Беспокоит userinit.exe (заявка № 81716)

  1. #1
    Junior Member Репутация
    Регистрация
    28.05.2010
    Адрес
    Минск
    Сообщений
    35
    Вес репутации
    51

    Thumbs up Беспокоит userinit.exe

    Когда захожу в папку System32, и просто выделяю userinit - срабатывает NOD32:

    "C:\WINDOWS\system32\kqHKyVd.exe Win32/Spy.Shiz.NAL троянская программа очищен удалением - изолирован NASTOLNII\User Событие произошло при попытке доступа к файлу следующим приложением: C:\Program Files\Total Commander\Totalcmd.exe"

    и так несколько раз, обнаруживает вирусы с разными именами.

    Прошу также обратить внимание на лог HJT - строка с userinit!

    При проверке userinit.exe на Virustotal результата никакого.
    Последний раз редактировалось Lebetski; 20.07.2010 в 18:10.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    01.06.2007
    Сообщений
    3,112
    Вес репутации
    293
    Отключите восстановление системы
    Пофиксите в Hijackthis:
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,\\?\globalroot\systemroot\system32\IW8oelg.exe,\\?\globalroot\systemroot\system32\LpV2R1W.exe,
    Отключите компьютер от интернета, а также отключите антивирус и/или файрвол.
    Закройте все программы, выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('\\?\globalroot\systemroot\system32\LpV2R1W.exe','');
     DeleteFile('\\?\globalroot\systemroot\system32\LpV2R1W.exe');
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1); 
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    ExecuteWizard('TSW',2,2,true);
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи по правилам (virusinfo_syscure.zip, virusinfo_syscheck.zip и hijackthis.log)

  4. #3
    Junior Member Репутация
    Регистрация
    28.05.2010
    Адрес
    Минск
    Сообщений
    35
    Вес репутации
    51
    Вот логи...
    Последний раз редактировалось Lebetski; 20.07.2010 в 18:10.

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    01.06.2007
    Сообщений
    3,112
    Вес репутации
    293
    Пофиксите в Hijackthis:
    Код:
    O20 - Winlogon Notify: TPSvc - TPSvc.dll (file missing)
    проблема решилась?

  6. #5
    Junior Member Репутация
    Регистрация
    28.05.2010
    Адрес
    Минск
    Сообщений
    35
    Вес репутации
    51
    Да, спасибо! Но как он мог пролезть!? Базы NODa обновляю каждый день!

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    01.06.2007
    Сообщений
    3,112
    Вес репутации
    293
    \LpV2R1W.exe - данный файл не детектируеться NOD32 ( Trojan.Win32.Scar.cjvh по Касперскому)
    Если есть возможность, то поищите здесь C:\WINDOWS\system32\ подозрительные имена файлов, по типа LpV2R1W.exe, IW8oelg.exe, kqHKyVd.exe и пришлите их по правилам
    Рекомендуется обновите Acrobat Reader до последней версии

  8. #7
    Junior Member Репутация
    Регистрация
    28.05.2010
    Адрес
    Минск
    Сообщений
    35
    Вес репутации
    51
    Спасибо, теперь все в порядке.

  9. #8
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 1
    • В ходе лечения обнаружены вредоносные программы:
      1. \\?\globalroot\systemroot\system32\lpv2r1w.exe - Trojan.Win32.Scar.cjvh ( DrWEB: Trojan.Packed.20385, BitDefender: Trojan.Generic.4142923 )


  • Уважаемый(ая) Lebetski, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 4
      Последнее сообщение: 29.04.2012, 01:11
    2. Ответов: 2
      Последнее сообщение: 13.08.2011, 22:44
    3. Ответов: 10
      Последнее сообщение: 17.01.2010, 01:37
    4. Ответов: 8
      Последнее сообщение: 16.01.2010, 21:23
    5. Беспокоит Explorer
      От Dancer в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 01.12.2008, 16:59

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01011 seconds with 19 queries