Добрый день. При загрузке выдает ошибку userinit.exe и несколько раз самостоятельно удалялся антивирус 0_0
Printable View
Добрый день. При загрузке выдает ошибку userinit.exe и несколько раз самостоятельно удалялся антивирус 0_0
Выполните скрипт в avz
[code]begin
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelCLSID('{A5FBF67C-C4EB-5F77-96E7-3824D449F987}');
DelCLSID('{4CSQ607S-C262-NH5G-1JXM-16838E32A6A5}');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('C:\WINDOWS\majestic.exe','');
QuarantineFile('C:\wutemp\srvxc.exe','');
QuarantineFile('C:\WINDOWS\microcoft\merio.exe','');
QuarantineFile('C:\Program Files\psy\mkserv.exe','');
QuarantineFile('c:\windows\system32\dllservice.dll','');
QuarantineFile('c:\windows\system32\userinit.exe','');
DeleteFile('c:\windows\system32\dllservice.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\MacroSoft\Parameters','ServiceDll');
DeleteFile('C:\WINDOWS\microcoft\merio.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Policies');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Policies');
DeleteFile('C:\wutemp\srvxc.exe');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','wininet');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','wininet');
DeleteFile('C:\WINDOWS\majestic.exe');
DeleteFile('C:\autorun.inf');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(8);
RebootWindows(true);
end.[/code]
ПК перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте новые логи.
сделано
[B][COLOR="Red"]- Обновите базы АВЗ: (Файл/Обновление баз).[/COLOR][/B]
-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]:
[CODE]O4 - HKCU\..\Run: [wininet] C:\WINDOWS\system32\userinit.exe
[/CODE]
Перегрузите систему, повторите логи по п.2 и 3 Диагностики.
Касперского снова нет.
И строчка с userinit продолжает появляться, несмотря на fix :(
[B][COLOR="Red"]c:\windows\system32\userinit.exe - Trojan.Win32.Buzus.cowx[/COLOR][/B]
-[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]:
[CODE]begin
SetAVZGuardStatus(True);
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','wininet');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.[/CODE]
Файл [B]c:\windows\system32\userinit.exe[/B] замените на чистый: [url]http://virusinfo.info/showthread.php?t=51654[/url].
[COLOR="Red"]Если у Вас после перезагрузки появится неизвестное устройство - удалите его через диспетчер устройств.[/COLOR]
После перезагрузки:
-[URL="http://virusinfo.info/upload_virus.php?tid=60449"] Закачайте карантин [/URL] (см. дополнительную информацию Приложения 2 и 3 правил).
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.
userinit.exe заменил на чистый, но для этого пришлось завершить 2 процесса userinit.exe в диспетчере задач. Неизвестное устройство появилось. Удалил. Карантин закачан. Логи сейчас будут.
[QUOTE]c:\windows\system32\userinit.exe - Trojan.Win32.Buzus.cowx[/QUOTE]
Поскольку касперского снова нет (после пропажи не переустанавливал), вирус определить нечем. Установить снова?
[QUOTE=laio;511574]userinit.exe заменил на чистый, но для этого пришлось завершить 2 процесса userinit.exe в диспетчере задач.[/QUOTE]
А как Вам вообще удалось, заменить файл при работающей ОС?
Установите последнюю версию Капсерского, обновите базы, сделайте полную проверку с включённой по максимуму эвристикой. В это время лучше на ПК не работать. Если находки и/или проблемы будут - сделайте логи, если ни находок ни проблем не будет - отпишитесь всё равно.
логи
-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]:
[CODE]O4 - HKLM\..\Run: [Rean] C:\WINDOWS\system32\jero.exe
O4 - HKCU\..\Run: [wininet] C:\WINDOWS\system32\userinit.exe
[/CODE]
-[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\jero.exe','');
QuarantineFile('C:\WINDOWS\PI\Users\GALINA^galya\Download\666.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-1708537768-1647877149-839522115-1003\Dc13.exe','');
QuarantineFile('C:\4.exe','');
DeleteFile('C:\4.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-1708537768-1647877149-839522115-1003\Dc13.exe');
DeleteFile('C:\WINDOWS\PI\Users\GALINA^galya\Download\666.exe');
DeleteFile('C:\WINDOWS\system32\jero.exe');
DeleteFileMask('C:\RECYCLER\S-1-5-21-1708537768-1647877149-839522115-1003','*.*',true);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
-[URL="http://virusinfo.info/upload_virus.php?tid=60449"] Закачайте карантин [/URL] (см. дополнительную информацию Приложения 2 и 3 правил).
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.
логи.
Похоже победили. Проблема решена?
Касперским удалил остатки. Вроде, пропадать перестал. Спасибо
Рано обрадовался: Касперский снова пропал. Заодно с ним пропал и office. Ща логи сделаю :)
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]34[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\microcoft\merio.exe - [B]Trojan.Win32.Scar.aowy[/B] ( DrWEB: Win32.HLLW.SpyNet, BitDefender: Dialer.Generic.49963, AVAST4: Win32:Dialer-gen [Dialer] )[*] c:\windows\pi\users\galina^galya\download\666.exe - [B]Backdoor.Win32.Poison.aec[/B] ( DrWEB: BackDoor.Poison.1021, BitDefender: Trojan.Keylog.ZKT, NOD32: Win32/Poison.NAE trojan, AVAST4: Win32:Agent-ACII [Trj] )[*] c:\windows\system32\jero.exe - [B]Backdoor.Win32.Poison.aec[/B] ( DrWEB: BackDoor.Poison.1021, BitDefender: Trojan.Keylog.ZKT, NOD32: Win32/Poison.NAE trojan, AVAST4: Win32:Agent-ACII [Trj] )[*] c:\windows\system32\userinit.exe - [B]Trojan.Win32.Buzus.cowx[/B] ( DrWEB: Trojan.DownLoad.40447, BitDefender: Trojan.Delf.Inject.S )[*] c:\wutemp\srvxc.exe - [B]Trojan.Win32.Buzus.cowz[/B] ( DrWEB: Trojan.DownLoad.40447, BitDefender: GenPack:Trojan.Delf.Inject.S, AVAST4: Win32:Zbot-LYA [Trj] )[/LIST][/LIST]