Здравствуйте! Антивирус при проверке находит в userinit троян, вылечить не может и удаляет его, я восстанавливаю с диска, но он при следующей загрузке опять оказывается зараженным. Кто-то его заражает еще до загрузки виндовс, т.к. на диске с которого я его восстанавливал он чистый.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
var
i : integer;
KeyList : TStringList;
begin
KeyList := TStringList.Create;
RegKeyEnumKey('HKLM','SYSTEM', KeyList);
for i := 0 to KeyList.Count-1 do
if pos('controlset', LowerCase(KeyList[i])) > 0 then
begin
if RegKeyExistsEx('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\BITS') then
begin
RegKeyResetSecurity('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\BITS');
RegKeyStrParamWrite('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+KeyList[i]+'\Services\BITS исправлено на оригинальное.');
end;
if RegKeyExistsEx('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\wuauserv') then
begin
RegKeyResetSecurity('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\wuauserv');
RegKeyStrParamWrite('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+KeyList[i]+'\Services\wuauserv исправлено на оригинальное.');
end;
end;
KeyList.Free;
SaveLog(GetAVZDirectory + 'fystemRoot.log');
QuarantineFile('C:\WINDOWS\system32\userinit.exe','');
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
- Сделайте лог MBAM
Не дождался сегодня ответа, буду теперь только завтра, так что все действия буду производить тоже завтра. По возможности опишите шаги которые нужно предпринять, чтоб не ждать весь день ответа (из за разницы в часовых поясах долгое лечение получается).
после сделанного combofix лога и перезагрузки не стартует explorer.exe, приходится запускать его ручками из диспетчера задач. (выяснил случайно, рубанули свет, комп выключился, после включения рабочего стола как не бывало )
Заметил что при загрузке сразу открывается папка мои документы, такое чувство что вместо explorer она прописана.
Последний раз редактировалось kondrat82; 01.12.2010 в 09:58.
Я понял что не причем. Вобщем взяли меня за горло по поводу лечения, ибо комп был нужен срочно, пока ждал ответа, пришлось накатывать сп3, userinit.exe explorer.exe beep.sys были заменены на оригиналы с диска. После наката выполнил приложенный код. Лог прикрепляю. По поводу работы системы нареканий нет, каспер молчит, процесов левых вроде не видно. Знаю что поступил не совсем по правилам, но времени уже не было ждать. Всем огромное спасибо за помощь! В след году сам запишусь на курсы т.к. сталкиваюсь с лечением постоянно, но такое впервые мне попалось.
Добавлено через 4 минуты
лог не прикрепился т.к. после сп3 стал весть 830 килобайт, а у вас стоит ограничение. Ну в общем я думаю проблем больше не будет с ним, еще раз спасибо! Здорово выручили!
Последний раз редактировалось kondrat82; 01.12.2010 в 13:43.
Причина: Добавлено
Обновите систему
- Установите Internet-Explorer 8.(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - тут
После обновления:
- Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
Последний раз редактировалось thyrex; 02.12.2010 в 00:04.
Причина: SP3 уже накатили
Вчера при обновлении и поставил internet explorer 8. За скрипт спасибо проверю заодно свою машинку. За обновлениями старюсь следить вовремя, просто этот чужой компьютер был.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: