-
Junior Member
- Вес репутации
- 51
Беспокоит userinit.exe
Когда захожу в папку System32, и просто выделяю userinit - срабатывает NOD32:
"C:\WINDOWS\system32\kqHKyVd.exe Win32/Spy.Shiz.NAL троянская программа очищен удалением - изолирован NASTOLNII\User Событие произошло при попытке доступа к файлу следующим приложением: C:\Program Files\Total Commander\Totalcmd.exe"
и так несколько раз, обнаруживает вирусы с разными именами.
Прошу также обратить внимание на лог HJT - строка с userinit!
При проверке userinit.exe на Virustotal результата никакого.
Последний раз редактировалось Lebetski; 20.07.2010 в 18:10.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Отключите восстановление системы
Пофиксите в Hijackthis:
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,\\?\globalroot\systemroot\system32\IW8oelg.exe,\\?\globalroot\systemroot\system32\LpV2R1W.exe,
Отключите компьютер от интернета, а также отключите антивирус и/или файрвол.
Закройте все программы, выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('\\?\globalroot\systemroot\system32\LpV2R1W.exe','');
DeleteFile('\\?\globalroot\systemroot\system32\LpV2R1W.exe');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('TSW',2,2,true);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи по правилам (virusinfo_syscure.zip, virusinfo_syscheck.zip и hijackthis.log)
-
-
Junior Member
- Вес репутации
- 51
Последний раз редактировалось Lebetski; 20.07.2010 в 18:10.
-
Пофиксите в Hijackthis:
Код:
O20 - Winlogon Notify: TPSvc - TPSvc.dll (file missing)
проблема решилась?
-
-
Junior Member
- Вес репутации
- 51
Да, спасибо! Но как он мог пролезть!? Базы NODa обновляю каждый день!
-
\LpV2R1W.exe - данный файл не детектируеться NOD32 ( Trojan.Win32.Scar.cjvh по Касперскому)
Если есть возможность, то поищите здесь C:\WINDOWS\system32\ подозрительные имена файлов, по типа LpV2R1W.exe, IW8oelg.exe, kqHKyVd.exe и пришлите их по правилам
Рекомендуется обновите Acrobat Reader до последней версии
-
-
Junior Member
- Вес репутации
- 51
Спасибо, теперь все в порядке.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения обнаружены вредоносные программы:
- \\?\globalroot\systemroot\system32\lpv2r1w.exe - Trojan.Win32.Scar.cjvh ( DrWEB: Trojan.Packed.20385, BitDefender: Trojan.Generic.4142923 )
-