NT Authority и перезагрузка

Printable View

05.05.2010, 16:17
ntauth

NT Authority и перезагрузка

Добрый день!
Заранее прошу меня простить за неследование правилам
в той части, где надо работать с утилитами типа AVZ: на данный
момент компом просто не могу пользоваться!
Описание как и у других:
[url]http://www.avsoft.ru/forum/read.php?FID=31&TID=2922[/url]
[url]http://virusinfo.info/showthread.php?t=74418[/url]
Происходит перезагрузка после одной минуты ожидания
ч таким окном, которое появляется сразу после входа любым пользователем.
Ранее Гость мог входить, теперь на нем машина просто виснет.
Другие пользователи приводят к перезагрузке.
Тоже самое и в безопасном режиме.
Диспетчер задач включается, говорит, при нажатие на Перейти к процессам на окне с сообщением о перезагрузке показывает на процесc winlogon.
После выполнения команды shutdown -a компьютер начинает сильно тормозить. Включаю explorer (все через кнопку Новая задача в диспетчере задач) - он зависает, другие программы тоже зависают.
Не могу включить AVZ, CureIt и проч...

Сейчас сканирую C:\Windows с помощью Dr.Web Live CD.
Кстати, этот же LiveCD вываливает кучу ошибок при выборе Test memory. Тем не менее сам LiveCD работает стабильно, не похоже на то, что память отвалилась.

Ноутбук Samsung X11, Intel Core2Duo, 1024 MB RAM Patriot DDR2,
OS Windows XP SP2 (или SP3, напишу точнее, когда скан закончится) Home Edition, лицензия.

Заранее благодарен за помощь.
Извините, если упустил какие-то моменты.
Волнуюсь, хочу набить морду уродам, которые испортили рабочий день...

[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]

Важная деталь!
В папке System32 был неубиваемый файл userinit.exe, я его заметил,
когда еще мог войти из-под Гостя.
С помощью AVZ я тогда перебил все процессы не выделенные зеленым и удалил файл.
Тем не менее, вирус остался.

[size="1"][color="#666686"][B][I]Добавлено через 5 минут[/I][/B][/color][/size]

Не знаю, как быть, комп настроен, не хочется вырубать все и переставлять...

[size="1"][color="#666686"][B][I]Добавлено через 11 минут[/I][/B][/color][/size]

Нашлось 2 инфицированных файла, но Dr.Web с ними ничего не сделал.
Запустил снова с опцией -cud - лечение и удаление неизлечимых.
05.05.2010, 16:18
V_Bond

userinit.exe - системный файл ... без него система грузиться не будет !!!!
05.05.2010, 16:50
ntauth

Помогите, пожалуйста!
Скопировал с другой Windows файл userinit.exe.
Dr. Web LiveCD сканер удалил два файла в system32...
Пробую загрузиться - Не помогло - снова перезапуск.

[size="1"][color="#666686"][B][I]Добавлено через 5 минут[/I][/B][/color][/size]

Точнее: перезапуск не случился, окно вылезло, погрозило перезапуском, но потом система повисла, без перезагрузок.

[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]

Повисла система, ничего сделать нельзя...
05.05.2010, 16:54
thyrex

Попробуйте [url]http://virusinfo.info/showthread.php?t=51777[/url]
05.05.2010, 17:03
ntauth

Спасибо.
Сейчас буду читать, а пока:
Удалось зайти в Гостя, из него переключится в администратора, и там
запустить AVZ. Лог прикрепил.
05.05.2010, 17:07
thyrex

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
QuarantineFile('C:\DOCUME~1\8D45~1\LOCALS~1\Temp\esp2D9F.tmp','');
DelBHO('{D4027C7F-154A-4066-A1AD-4243D8127440}');
QuarantineFile('\\?\globalroot\systemroot\system32\Y2rB3VX.exe','');
QuarantineFile('\\?\globalroot\systemroot\system32\8ZdTcWS.exe','');
QuarantineFile('\\?\globalroot\systemroot\system32\7uTpbKb.exe','');
QuarantineFile('C:\WINDOWS\system32\2c8be9f1.exe','');
DeleteFile('C:\WINDOWS\system32\2c8be9f1.exe');
RegKeyParamDel('HKEY_USERS','S-1-5-21-1659004503-1085031214-725345543-501\Software\Microsoft\Windows\CurrentVersion\Run','FileSystem');
DeleteFile('\\?\globalroot\systemroot\system32\7uTpbKb.exe');
DeleteFile('\\?\globalroot\systemroot\system32\8ZdTcWS.exe');
DeleteFile('\\?\globalroot\systemroot\system32\Y2rB3VX.exe');
DeleteFile('C:\Program Files\Ask.com\GenericAskToolbar.dll');
DeleteFile('C:\DOCUME~1\8D45~1\LOCALS~1\Temp\esp2D9F.tmp');
DeleteFile('C:\Program Files\Ask.com\UpdateTask.exe');
DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
DeleteFileMask('C:\Program Files\Ask.com', '*.*', true);
DeleteDirectory('C:\Program Files\Ask.com');
DeleteFile('C:\Windows\Tasks\Scheduled Update for Ask Toolbar.job');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи
05.05.2010, 17:27
ntauth

Спасибо большое!
Я не понял, куда и как надо грузить карантин, поэтому подцепил.

Как мне снова не подхватить эту заразу?

[size="1"][color="#666686"][B][I]Добавлено через 7 минут[/I][/B][/color][/size]

Надеюсь, файл попал куда надо.. Но ссылки я не вижу, хоть и прочитал приложение 3.

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

Кстати, создать Windows Live CD я бы не смог, у меня OEM дистрибутив.
Может быть есть где-то готовый?
05.05.2010, 18:11
миднайт

[QUOTE='thyrex;632555']Сделайте новые логи[/QUOTE]
? :)