Помогите пожалуйста - ругается файервол - приложение userinit.exe изменило что-то в explorer.exe. Находит sysdata.exe в какой-то странной корзине. Нод и док.Веб ничего не ловит.
Printable View
Помогите пожалуйста - ругается файервол - приложение userinit.exe изменило что-то в explorer.exe. Находит sysdata.exe в какой-то странной корзине. Нод и док.Веб ничего не ловит.
выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\RECYCLER\S-1-5-21-9339280270-4838008147-717560539-9065\sysdate.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-9339280270-4838008147-717560539-9065\sysdate.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил
повторите логи
Спасибо за ответ. Сделала все что нужно. И еще у меня есть выносной жесткий диск, сейчас отключен, но думаю что там эта зараза прописалась то-же и на флешках то-же. Что с ними делать.
Карантин отослала.
[QUOTE=vvvvvvvvvv1972;430295]Карантин отослала.[/QUOTE]
В карантине sysdate.exe - [B]Trojan.Packed.541[/B]
[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]
c:\documents and settings\Администратор\Рабочий стол\undernet.exe - это программа для доступа в Интернет?
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите в HijackThis:[/URL]
[QUOTE]F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe[/QUOTE]
Undernet - это программа доступа в интернет.
Профиксила эту строку. Что дальше предпринять? Вирус еще есть на компе или мы его уже убили?
Вирус удален. Ничего зловредного в логах нет.
что делать со всеми флешками и внешним диском?
сделать логи со всеми подключенными внешними носителями
вот сделала новые логи.
1. Отключите восстановление системы и антивирус.
2. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ:[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\RECYCLER\S-1-5-21-9928495809-2287018887-815691070-0940\sysdate.exe');
DeleteFile('N:\autorun.inf');
DeleteFile('O:\autorun.inf');
DeleteFile('P:\autorun.inf');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteWizard('TSW', 3, 3, true);
BC_Activate;
RebootWindows(true);
end.[/CODE]После выполнения скрипта компьютер перезагрузится!
3. Повторите лог [B]virusinfo_syscheck.[/B]
СПАСИБО БОЛЬШОЕ ЗА ПОМОЩЬ. Вроде все прояснилось. Удачи вам и терпения.
А это где?
[QUOTE=Aleksandra;430620]3. Повторите лог [B]virusinfo_syscheck.[/B][/QUOTE]
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\recycler\s-1-5-21-9339280270-4838008147-717560539-9065\sysdate.exe - [B]P2P-Worm.Win32.Palevo.ihv[/B] ( DrWEB: Trojan.Packed.541 )[/LIST][/LIST]