Помогите уничтожить заразу.
Printable View
Помогите уничтожить заразу.
Выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\drivers\winmgmt.exe','');
QuarantineFile('G:\RECYCLER\S-1-6-21-2438476501-1644491937-701003331-1213\WinMgmt.exe','');
QuarantineFile('G:\autorun.inf','');
DeleteFile('G:\RECYCLER\S-1-6-21-2438476501-1644491937-701003331-1213\WinMgmt.exe');
DeleteFile('G:\autorun.inf');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил
повторите логи
Файл сохранён как 090224_133925_virus_49a3ce5de0d1e.zip
Размер файла 1466861
MD5 bd45d5cd0fc0f9ad986a114ba89bf2d9
-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
[/CODE]
проблема решилась?
Пофиксил.
Нет, зараза (подозрение у меня на C:\WINDOWS\system32\drivers\WinMgmt.exe) жива.
Сделайте полную проверку AVPTool...
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\y3q2s3w17m5.exe');
TerminateProcessByName('c:\windows\system32\drivers\winmgmt.exe');
DeleteFile('c:\windows\system32\drivers\winmgmt.exe');
DeleteFile('c:\y3q2s3w17m5.exe');
DeleteFile('C:\WINDOWS\system32\drivers\WinMgmt.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
[quote=V_Bond;361406]выполните скрипт ...[/quote]
и после перезагрузки сделайте новые логи.
[QUOTE=Rene-gad;361383]-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
[/CODE]
проблема решилась?[/QUOTE]
пофиксил, теперь не грузится винда, дальше винлогона не идет, сбрасывает опять на приветствие(ввод логина и пароль)
Что делать? Переустанавливать только? Или userinit можно скопировать с другого компьютера?
[size="1"][color="#666686"][B][I]Добавлено через 7 часов 17 минут[/I][/B][/color][/size]
расскажите как вернуть пофиксенное в хайджеке обратно, не грузится винда из-за этого. Или расскажите что именно я изменил этим фиксом?
Тут явно какой-то глюк случился, т.к. фикс этой строчки ничего не удаляет, а только исправляет ключ userinit. И вообще в таком виде эта строчка не должна была появиться в логе хайджека, т.к. она правильная и исправлять там нечего.
Проверьте наличие файла C:\WINDOWS\system32\userinit.exe. Его можно скопировать из другой системы или восстановить из дистрибутива, используя консоль восстановления или LiveCD. На всякий случай скопируйте его еще и в папку C:\WINDOWS\ .
[QUOTE=Bratez;362061]Тут явно какой-то глюк случился, т.к. фикс этой строчки ничего не удаляет, а только исправляет ключ userinit. И вообще в таком виде эта строчка не должна была появиться в логе хайджека, т.к. она правильная и исправлять там нечего.
Проверьте наличие файла C:\WINDOWS\system32\userinit.exe. Его можно скопировать из другой системы или восстановить из дистрибутива, используя консоль восстановления или LiveCD. На всякий случай скопируйте его еще и в папку C:\WINDOWS\ .[/QUOTE]
Проверил, файл там есть, но я перезаписал с дистрибутива(так же и в папку c:\windows\). Результат нулевой. Еще бы понять как с помощью ERD CD посмотреть реестр машины. Там другой путь (не C:\WINDOWS\system32\userinit.exe), но при рестарте, эта строка меняется на исходную.
[QUOTE]Там другой путь [/QUOTE]
Как вы это узнали? Другой - это какой? Положите userinit.exe и туда тоже!
[QUOTE=Bratez;362091]Как вы это узнали? Другой - это какой? Положите userinit.exe и туда тоже![/QUOTE]
Я уже положил этот файл везде где только можно.
Другой путь -
при просмотре ERD(G:\i386..\userinit.exe) и WiNPE в реестре этот путь для обеих оболочек разный. Я так понимаю, что смотрю реестр не этого компьютера, а реестр этих LIVECD. Нормальный реестр компа не подхватывается.
Вобщем как бы ни хотелось винду придется переустанавливать, вместе со всеми приложениями. Всего изза одного неправильного пути в реестре на один долбаный файлик.
у вас [B]Platform: Windows 2003 SP2[/B] поэтому фиксить нельзя ... нужно экспортировать ветку из другой системы ....
[QUOTE]
понимаю, что смотрю реестр не этого компьютера, а реестр этих LIVECD.
[/QUOTE]
точно загрузите нужный реестр
[quote=Тарасов Сергей;362128] Я так понимаю, что смотрю реестр не этого компьютера, а реестр этих LIVECD. Нормальный реестр компа не подхватывается. [/quote]
Правильно понимаете. Нужно выделить слева блок HKEY_USERS, выбрать в меню Файл - Загрузить куст... и указать файл реестра больной системы. По окончании редактирования выделить слева этот куст и сделать Файл - Выгрузить куст.
[QUOTE=Bratez;362392]Правильно понимаете. Нужно выделить слева блок HKEY_USERS, выбрать в меню Файл - Загрузить куст... и указать файл реестра больной системы. По окончании редактирования выделить слева этот куст и сделать Файл - Выгрузить куст.[/QUOTE]
Файл реестра больной системы? А где его взять если бэкапы реестра не производились, в какой директории он лежит? Ни разу не видел чтобы реестр хранился в каком то отдельном файле, если его предварительно не выгрузить в *.reg.
C:\WINDOWS\system32\config - файлы [B]software[/B] и [B]system[/B] без расширений.
Профиль пользователя - [B]ntuser.dat[/B].
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\drivers\winmgmt.exe - [B]Backdoor.Win32.SdBot.knb[/B][*] g:\recycler\s-1-6-21-2438476501-1644491937-701003331-1213\winmgmt.exe - [B]Backdoor.Win32.SdBot.knb[/B][/LIST][/LIST]