User32.dll - Win32.sysP

Printable View

18.07.2009, 10:36
JaneYa

User32.dll - Win32.sysP

На машине стоит Windows XP SP2 и Avast Antivirus.

При включении Аваст обнаруживает вирус:
Имя файла: C:\Windows\System32\User32.dll
Имя вируса: Win32.sysPatch [Wrm]
Тип вируса: Вирус/Червь
Версия VPS: 090129-0, 29.01.2009

Я проходился CureIt, он его в карантин себе переместил.
После этого Windows перестала загружаться - она начинает загружаться, и перезагружается компьютер, ... и так по кругу.

Я с карантина вернул User32.dll на место.
Сделал логи. Прилагаю.
18.07.2009, 11:13
Bratez

Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\USER32.dll','');
QuarantineFile('C:\WINDOWS\system32\nvrmn.dll','');
BC_ImportALL;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=50210[/url]).
18.07.2009, 11:13
Rene-gad

[QUOTE]Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)[/QUOTE]У уважаемого JaneYa как всегда не нашлось возможности, своевременно пропатчить систему. Зато у нас всегда есть время и возможость, лечить дырявые системы... scnr

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
[/CODE]
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\nvrmn.dll','');
DeleteFile('C:\WINDOWS\system32\nvrmn.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.
[/CODE]

После перезагрузки:

- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи
[b]virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log [/b]
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
18.07.2009, 11:48
JaneYa

Да, [B]Rene-gad[/B], укол принят, дырка зарубцовуется. :)

Благодарю за отклик!

Рекомендации выполнил. Карантин отправил. Логи прилагаю.

P.s. После выполнения скрипта авз и перезагрузки система стала пытаться установить какое-то устройство, не пишет какое и драйвера не находит.
18.07.2009, 12:19
V_Bond

C:\WINDOWS\system32\USER32.dll - пришлите согласно приложения 2 правил
18.07.2009, 14:18
JaneYa

Прислал.
18.07.2009, 19:20
Rene-gad

Распакуйте файл в аттаче, загрузитесь в консоли восстановления или с LiveCD и скопируйте его в папку C:\WINDOWS\system32\, переписывание подтвердите.
19.07.2009, 08:08
JaneYa

Благодарю!!!

Прошелся ещё раз авз.
Вроде, не всё.
В завершение скрипта лечения/карантина.... появилось сообщение о восстановлении 13 функций в ходе антируткита.

а также выдало:
[COLOR="Red"][B]moderated:::: * Логи нужно прикрепить к теме вложениями (а не запостить в теме). [/B][/COLOR]

Логи прилагаю.
19.07.2009, 11:10
Rene-gad

[QUOTE=JaneYa;434005]
В завершение скрипта лечения/карантина.... появилось сообщение о восстановлении 13 функций в ходе антируткита..[/QUOTE]Ну и где тут проблема? У меня тоже Нокия Сюита установлена, правда с автозагрузки я её убрал.
- В логах ничего подозрительного.
- Установите Сервис Пак 3 - возможно потребуется активация, и все последующие важные патчи.
Перед установкой Сервис Пака необходимо выгрузить [B][COLOR="Red"]все защитные приложения[/COLOR][/B] (антивирус, файрвол а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
- Установите IE 8
19.07.2009, 12:34
JaneYa

Ясно.
Благодарю!
20.07.2009, 12:34
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\nvrmn.dll - [B]Trojan-Dropper.Win32.Agent.awmo[/B] ( BitDefender: Worm.Generic.73192 )[*] c:\windows\system32\user32.dll - [B]Trojan.Win32.Patched.gq[/B] ( DrWEB: BackDoor.Zapinit )[/LIST][/LIST]