Printable View
Так же как и locale заблокировал доступ к реестру, диспетчеру задач и свойствам папки, но в тоже время очень сильно попортил hosts, запретил выполнение многих программ. самого файла и процесса locale.exe обнаружить не смог.
пытался вылечить самостоятельно, часть симптомов снял, часть не удалось. при попытке загрузиться в безопасном режиме комп падает в BSOD без дампа с кодом 0x0000007b, поэтому CureIt не был применен. прилагаю логи.
Отключите компьютер от интернета, а также [B]антивирус[/B] и/или [B]файрвол[/B].
Закройте все программы, выполните скрипт в AVZ:[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\userinit.exe','');
QuarantineFile('C:\WINDOWS\mxmxxl.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\win32x.sys','');
QuarantineFile('C:\WINDOWS\system32\cscript.exe','');
QuarantineFile('C:\WINDOWS\system32\msdtc.exe','');
QuarantineFile('C:\WINDOWS\system32\wuauclt.exe','');
QuarantineFile('C:\WINDOWS\system32\ntkrnlpa.exe','');
QuarantineFile('C:\WINDOWS\system32\comres.dll','');
QuarantineFile('C:\WINDOWS\system32\sfcfiles.dll','');
QuarantineFile('c:\windows\explorer.exe','');
DeleteFile('C:\WINDOWS\mxmxxl.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
ExecuteRepair(9);
ExecuteRepair(10);
ExecuteRepair(11);
ExecuteRepair(17);
ExecuteWizard('TSW',2,2,true);
SetAVZPMStatus(True);
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил [COLOR="DarkRed"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы.
[B]C:\WINDOWS\system32\userinit.exe[/B] - замените чистым с дистрибутива. Подробнее [URL="http://virusinfo.info/showthread.php?t=51654"]здесь[/URL]
Сделайте новые логи по правилам
[QUOTE=DefesT;609866]
[B]C:\WINDOWS\system32\userinit.exe[/B] - замените чистым с дистрибутива. Подробнее [URL="http://virusinfo.info/showthread.php?t=51654"]здесь[/URL][/QUOTE]
с чистой установленной ОС подойдет?
[QUOTE='Venenum;609910']с чистой установленной ОС подойдет?[/QUOTE]Если она с аналогичным сервис-паком
Скрипт выполнил, карантин залил, логи прилагаю. подробный осмотр проводить времени не было, но все еще не заработала языковая панель (в настройках клавиатуры кнопка неактивна до какой-либо смены параметров, после того как становится активной заходим - все галочки некликабельны.)
п.с. юзеринит заменил файлом с чистой системы, тоже с 3-м сервис-паком
[QUOTE='Venenum;609954']все еще не заработала языковая панель[/QUOTE]Проверьте наличие файла ctfmon.exe в папке system32
Выполните скрипт в AVZ
[code]begin
DeleteService('win32x');
DeleteFile('C:\WINDOWS\system32\drivers\win32x.sys');
ExecuteSysClean;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Сделайте новые логи
спасибо, ctfmon.exe действительно отсутствовал.
прикладываю свежие логи.
Выполните скрипт в AVZ
[code]begin
DeleteFile('C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\TEMP\AVSCAN-20091021-075827-0FC1900A\ARK42.tmp');
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Сделайте новый лог virusinfo_syscheck.zip
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]12[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\userinit.exe - [B]Packed.Win32.Krap.ai[/B] ( BitDefender: Trojan.Dropper.Agent.UWP, AVAST4: Win32:FakeAlert-JL [Trj] )[/LIST][/LIST]