Добрый. день.
Касперский нашел кучу файлов, зараженных Trojan.Win32.Patched.dr. Вобщем-то их несложно удалить, но сам троян находится в файле user32.dll, удалять который не хочется в силу его важности. Что можно сделать в этом случае с этим файлом?
Printable View
Добрый. день.
Касперский нашел кучу файлов, зараженных Trojan.Win32.Patched.dr. Вобщем-то их несложно удалить, но сам троян находится в файле user32.dll, удалять который не хочется в силу его важности. Что можно сделать в этом случае с этим файлом?
Выполните [URL="http://virusinfo.info/showthread.php?t=1235"]правила оформления запроса[/URL].
Логи прикрепил.
Возьмем его в карантин, а там посмотрим.
[URL="http://virusinfo.info/showthread.php?t=7239"]В AVZ -> файл-> Выполнить скрипт[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\user32.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\oreans32.sys','');
DeleteService('WmiApSrvWmiApSrv');
DeleteService('WmdmPmSNseclogon');
DeleteService('MSIServerW32Time');
DeleteService('mnmsrvcProtectedStorage');
DeleteService('HTTPFilterSCardSvr');
DeleteFile('srv.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится.
Пришлите карантин согласно [URL="http://virusinfo.info/showthread.php?t=1235"]правил[/URL] по ссылке [URL="http://virusinfo.info/upload_virus.php?tid=36063"]http://virusinfo.info/upload_virus.php?tid=36063[/URL]
Повторите логи по правилам.
Лог HiJackThis где?
ага, спасибо.
Файл в карантине, лог хайджека в аттаче.
user32.dll в карантин не попал, но это моя вина. Путь указал не тот.
Скопируйте user32.dll . Заархивируйте копию с паролем virus и пришлите по ссылке [URL="http://virusinfo.info/upload_virus.php?tid=36063"]http://virusinfo.info/upload_virus.php?tid=36063[/URL]
[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]
и логи повторите .
Логи обновил, файл прислал. Он только не слишком э запароленный получился.
У меня каспер user32.dll вылечил. KAV2009 . Но лучше всего замените user32.dll с ВАШЕГО дистрибутива windows.
[URL="http://www.virusinfo.info/showthread.php?t=4491"]"Пофиксите"[/URL] в HijackThis
[CODE]
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe
[/CODE]
[URL="http://virusinfo.info/showthread.php?t=7239"]В AVZ -> файл-> Выполнить скрипт[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('win32x');
SetServiceStart('win32x', 4);
DeleteFile('C:\WINDOWS\system32\drivers\win32x.sys');
DeleteService('win32x');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('win32x');
BC_Activate;
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится.
Повторите логи по правилам.
Благодарю за помощь. Честно говоря, руки до дистрибутива винды дошли только вчера. Сейчас всё чисто.
Спасибо большое.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]6[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] \\user32.dll - [B]Trojan.Win32.Patched.dr[/B] (DrWEB: BackDoor.Zapinit)[/LIST][/LIST]