-
Junior Member
- Вес репутации
- 55
не могу авторизоваться в Windows xp
доброго времени суток!
nod32 накануне обнаружил троянскую программу (какую-то Kryptik) в файле windows/system32/userinit.exe . Результат лечения - "лечение невозможно, файл изолирован", "для окончательного удаления следует перезагрузиться".
спустя некоторое время перекособочило Adobe Reader и Firefox. После закрытия программ запустить их уже не смог. Перезагрузился и теперь не могу авторизоваться ни в нормальном режиме, ни в безопасном ни под одной учетной записью, в том числе и под администратором. при попытке войти сразу пишется "завершение сеанса", "сохранение параметров".
собственно, я в растеряности.. попасть в систему не могу, переустановкой оси и всех программ заниматься нет ни времени, ни желания..
что делать?
есть livecd (и виндовый, и линуховый), но, насколько я понимаю, при загрузке с livecd логи avz и HJ не имеют смысла... может быть можно как-то заменить этот файл userinit.exe нормальным? он вообще нужен этот файл для нормальной работы системы?
Заранее спасибо за помощь!
Последний раз редактировалось krexxxer; 16.02.2011 в 18:55.
Причина: исправление орфографии
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Да, нужен.
Найдите заведомо исправный файл windows/system32/userinit.exe на другой системе, такой же как ваша и скопируйте его себе (например на флешку).
Загрузитесь с LiveCD, переименуйте windows/system32/userinit.exe в больной системе в userinit.bak и скопируйте в эту же папку исправный userinit.exe.
Попробуйте загрузить систему.
Если не получится, воспользуйтесь этим:
Как работать с системным реестром, загрузившись с LiveCD
http://virusinfo.info/showthread.php?t=72176
Посмотрите в реестре:
ветка
Код:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
параметр
параметр
Содержимое этих параметров напишите в своем сообщении.
-
-
Junior Member
- Вес репутации
- 55
Получилось. Просто скопировал файл с другой системы, т.к. в больной файла не было вовсе..
прогнал KaspVirRemovTool, тот нашел трояна и червя, сделал логи avz и hjt (прикладываю).
посмотрите, пожалуйста.
Заранее спасибо!
-
Загрузите virusinfo_cure.zip из папки AVZ\LOG по красной ссылке вверху темы "Прислать запрошенный карантин".
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('%windir%\system32\Drivers\sfc.SYS','');
QuarantineFile('%windir%\system32\sfcfiles.dll','');
if CheckFile('%windir%\system32\dllcache\sfcfiles.dll')=3 then
begin
RenameFile('%windir%\system32\sfcfiles.dll', '%windir%\system32\sfcfiles.bak');
CopyFile('%windir%\system32\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
AddToLog('Замена sfcfiles.dll успешно произведена из кеша');
end
else
begin
AddToLog('файл sfcfiles.dll в кеше не прошел по базе безопасных или отсутствует');
if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then
begin
RenameFile('%windir%\system32\sfcfiles.dll', '%windir%\system32\sfcfiles.bak');
CopyFile('%windir%\ServicePackFiles\i386\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
AddToLog('Замена sfcfiles.dll успешно произведена из i386');
end
else
begin
AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных или отсутствует');
end;
end;
//sfcfiles.log сохранится в папке, из которой был запущен AVZ
SaveLog('sfcfiles.log');
DeleteFile('%windir%\system32\drivers\sfc.sys');
DeleteFile('%windir%\system32\sfcfiles.bak');
QuarantineFile('C:\WINDOWS\system\iyvu9.dll','');
QuarantineFile('C:\WINDOWS\system\ir41.dll','');
QuarantineFile('C:\WINDOWS\system\ir32.dll','');
QuarantineFile('C:\WINDOWS\system\dllcache.exe','');
DeleteFile('C:\WINDOWS\system\dllcache.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','netmon');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
После перезагрузки выполните скрипт в AVZ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".
Файл sfcfiles.log в папке, из которой был запущен AVZ приложите в теме.
Повторите лог virusinfo_syscheck.zip и приложите в теме.
-
-
Junior Member
- Вес репутации
- 55
Карантины прислал, логи приложил.
-
Выполните скрипт в AVZ:
Код:
begin
DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
ExecuteSysClean;
end.
Больше ничего плохого не видно.
Что с проблемой?
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 55
проблема исчезла. по крайней мере пропали все проблемы, которые были на виду (не работал Acrobat и Firefox).
Спасибо!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 4
- Обработано файлов: 26
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\sfcfiles.dll - Trojan-Spy.Win32.Agent.bpgb ( DrWEB: Trojan.WinSpy.990, BitDefender: Gen:Variant.Kazy.10709, AVAST4: Win32:Parchood-E [Trj] )
- c:\\windows\\system32\\tyundcg.dll - Trojan-Ransom.Win32.Cidox.gen ( DrWEB: Trojan.Mayachok.based, BitDefender: Trojan.Generic.6277910, NOD32: Win32/Agent.SFM trojan, AVAST4: Win32:Malware-gen )
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
-