Здравствуйте. У меня проблема с userinit и system.exe, даже после переустановки виндоус они остались активными и вредными:) Вообщем из-за них или нет, но сильно нарушается стабильность системы.
Printable View
Здравствуйте. У меня проблема с userinit и system.exe, даже после переустановки виндоус они остались активными и вредными:) Вообщем из-за них или нет, но сильно нарушается стабильность системы.
Проверьте для начала, есть ли файл userinit.exe в папке system32
Да, есть. Он как-то был и просто в WINDOWS
Пока не будем рисковать
Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
QuarantineFile('C:\Documents and Settings\All Users\Documents\Все док.Флэшка\USB DRIVE (G)\Secret.exe','');
QuarantineFile('C:\Documents and Settings\All Users\Documents\Все док.Флэшка\USB DRIVE (G)\Recycled.exe','');
QuarantineFile('C:\System Volume Information\_restore{2A55A581-44DD-41DA-9447-6AE199685002}\RP7\A0001959.exe','');
QuarantineFile('D:\autorun.inf','');
QuarantineFile('E:\autorun.inf','');
QuarantineFile('E:\Secret.exe','');
QuarantineFile('c:\windows\system32\trkwrunsrv.dll','');
QuarantineFile('c:\windows\userinit.exe','');
QuarantineFile('c:\windows\system32\userinit.exe','');
QuarantineFile('c:\windows\system32\system.exe','');
DeleteFile('c:\windows\system32\system.exe');
DeleteFile('c:\windows\system32\trkwrunsrv.dll');
DeleteFile('E:\Secret.exe');
DeleteFile('E:\autorun.inf');
DeleteFile('D:\autorun.inf');
DeleteFile('C:\System Volume Information\_restore{2A55A581-44DD-41DA-9447-6AE199685002}\RP7\A0001959.exe');
DeleteFile('C:\Documents and Settings\All Users\Documents\Все док.Флэшка\USB DRIVE (G)\Recycled.exe');
DeleteFile('C:\Documents and Settings\All Users\Documents\Все док.Флэшка\USB DRIVE (G)\Secret.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
[B]Скачайте AVZ 4.32, обновите его базы[/B]
Сделайте новые логи
Карантин отослал, логи к сожалению сделать не успел. Выполнял скрипт для логов, но после перезагрузки ноутбука перестало входить в систему. Я так понимаю userinit выделывается, но ведь его не удалял..
Вот это посмотрите и постарайтесь выполнить [url]http://virusinfo.info/showthread.php?t=51777[/url]
Live CD и ERD Commander'a под рукой не оказалось..скачивать долговато их, не мало весят. Решил просто форматировать раздел C и заново туда поставить windows. Поставил, установил Kaspersky 7, он сразу начал реагировать на system.exe . Логи сделал.
Также у меня еще проблема..падает процесс Generic Host Process for Win32 Services с отчетом об отправке майкрософту. После этого сразу прерывается связь с интернетом (подключение работает, но ни один сайт не открывается, касперский не обновляется). Спустя несколько минут меню пуск и все окна меняют тему на классическую. После перезагрузки все сразу нормально..
P.S. avz4 версии 4.32, базы новые. Не создает почему-то в логах syscheck.zip
Выполните скрипт:
[CODE]begin
DeleteFile('F:\autorun.inf');
DeleteFile('F:\Secret.exe');
ExecuteSysClean;
end.[/CODE]
[QUOTE='Wiggles;556587']падает процесс Generic Host Process for Win32 Services с отчетом об отправке майкрософту[/QUOTE]
А это потому что:
[QUOTE]Platform: Windows XP SP2 (WinNT 5.01.2600)[/QUOTE]
Нужно ставить SP3 + последующие обновления.
Понятно с sp2:) Вот ток Каспер достает с процессом system.exe.
Как включишь, так сразу запрещать процесс приходится..
[QUOTE='Wiggles;556749']Каспер достает с процессом system.exe.
Как включишь, так сразу запрещать процесс приходится.. [/QUOTE]
Да не запрещать его надо, а удалить!
В логах его впрочем не видно.
Сделайте полную проверку антивирусом.
Ну avz4 удаляет его конечно, только ко всему прочему userinit остается..отмечается как Worm.Win32.AutoRun.cbm и уж его то удалять никак нельзя. Но и не лечится..
[QUOTE='Wiggles;557304']userinit остается..отмечается как Worm.Win32.AutoRun.cbm и уж его то удалять никак нельзя.[/QUOTE]
Удалять его можно и нужно, только делать это надо грамотно.
AutoRun.cbm записывает себя как C:\Windows\userinit.exe и соответственно изменяет в реестре параметр Userinit. Настоящий же userinit.exe живет в папке C:\Windows\System32. Таким образом, если просто удалить файл червя, то после перезагрузки войти в систему уже не удастся. Нужно править реестр, но активный червь за этим тщательно бдит и возвращает неправильное значение.
Чтобы вам не лазить вручную в реестр, можно сделать так: когда антиврус обезвредит червя в памяти, сделайте копию файла [B]C:\Windows\System32\userinit.exe[/B] в папку [B]C:\Windows[/B] и перезагрузите компьютер. После этого сделайте лог HijackThis и мы подправим реестр.
Вот лог
Чисто, ничего править и не понадобилось.
Обновляйте систему и будет вам счастье :D
Ага, огромное спасибо Вам=) [COLOR="Lime"]Вопрос решен[/COLOR]
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]29[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\all users\documents\все док.флэшка\usb drive (g)\recycled.exe - [B]Worm.Win32.AutoRun.cbm[/B] ( DrWEB: Win32.HLLW.Autoruner.1083, BitDefender: Dropped:Trojan.Downloader.VB.AXY, NOD32: Win32/AutoRun.PD virus, AVAST4: Win32:AutoRun-AHD [Wrm] )[*] c:\documents and settings\all users\documents\все док.флэшка\usb drive (g)\secret.exe - [B]Worm.Win32.AutoRun.cbm[/B] ( DrWEB: Win32.HLLW.Autoruner.1083, BitDefender: Dropped:Trojan.Downloader.VB.AXY, NOD32: Win32/AutoRun.PD virus, AVAST4: Win32:AutoRun-AHD [Wrm] )[*] c:\system volume information\_restore{2a55a581-44dd-41da-9447-6ae199685002}\rp7\a0001959.exe - [B]Worm.Win32.AutoRun.cbm[/B] ( DrWEB: Win32.HLLW.Autoruner.1083, BitDefender: Dropped:Trojan.Downloader.VB.AXY, NOD32: Win32/AutoRun.PD virus, AVAST4: Win32:AutoRun-AHD [Wrm] )[*] c:\windows\system32\system.exe - [B]Worm.Win32.AutoRun.cbm[/B] ( DrWEB: Win32.HLLW.Autoruner.1083, BitDefender: Dropped:Trojan.Downloader.VB.AXY, NOD32: Win32/AutoRun.PD virus, AVAST4: Win32:AutoRun-AHD [Wrm] )[*] c:\windows\system32\trkwrunsrv.dll - [B]Trojan-Downloader.Win32.FraudLoad.wxnu[/B] ( BitDefender: DeepScan:Generic.Peed.A0E35CEC )[*] c:\windows\userinit.exe - [B]Worm.Win32.AutoRun.cbm[/B] ( DrWEB: Win32.HLLW.Autoruner.1083, BitDefender: Dropped:Trojan.Downloader.VB.AXY, NOD32: Win32/AutoRun.PD virus, AVAST4: Win32:AutoRun-AHD [Wrm] )[*] e:\secret.exe - [B]Worm.Win32.AutoRun.cbm[/B] ( DrWEB: Win32.HLLW.Autoruner.1083, BitDefender: Dropped:Trojan.Downloader.VB.AXY, NOD32: Win32/AutoRun.PD virus, AVAST4: Win32:AutoRun-AHD [Wrm] )[/LIST][/LIST]