Printable View
Когда захожу в папку System32, и просто выделяю userinit - срабатывает NOD32:
"C:\WINDOWS\system32\kqHKyVd.exe Win32/Spy.Shiz.NAL троянская программа очищен удалением - изолирован NASTOLNII\User Событие произошло при попытке доступа к файлу следующим приложением: C:\Program Files\Total Commander\Totalcmd.exe"
и так несколько раз, обнаруживает вирусы с разными именами.
Прошу также обратить внимание на лог HJT - строка с userinit!
При проверке userinit.exe на Virustotal результата никакого.
[URL="http://virusinfo.info/showthread.php?t=4905"]Отключите восстановление системы[/URL]
[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL] в Hijackthis:[CODE]F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,\\?\globalroot\systemroot\system32\IW8oelg.exe,\\?\globalroot\systemroot\system32\LpV2R1W.exe,
[/CODE]
Отключите компьютер от интернета, а также [URL="http://virusinfo.info/showthread.php?t=57441"]отключите[/URL] [B]антивирус[/B] и/или [B]файрвол[/B].
Закройте все программы, выполните скрипт в AVZ:[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('\\?\globalroot\systemroot\system32\LpV2R1W.exe','');
DeleteFile('\\?\globalroot\systemroot\system32\LpV2R1W.exe');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('TSW',2,2,true);
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил [COLOR="DarkRed"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы. Сделайте новые логи по правилам (virusinfo_syscure.zip, virusinfo_syscheck.zip и hijackthis.log)
Вот логи...
[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL] в Hijackthis:[CODE]O20 - Winlogon Notify: TPSvc - TPSvc.dll (file missing)[/CODE]
проблема решилась?
Да, спасибо! Но как он мог пролезть!? Базы NODa обновляю каждый день!
\LpV2R1W.exe - данный файл не детектируеться NOD32 ( [B]Trojan.Win32.Scar.cjvh[/B] по Касперскому)
Если есть возможность, то поищите здесь C:\WINDOWS\system32\ подозрительные имена файлов, по типа LpV2R1W.exe, IW8oelg.exe, kqHKyVd.exe и пришлите их по правилам
Рекомендуется обновите Acrobat Reader до последней версии
Спасибо, теперь все в порядке.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] \\?\globalroot\systemroot\system32\lpv2r1w.exe - [B]Trojan.Win32.Scar.cjvh[/B] ( DrWEB: Trojan.Packed.20385, BitDefender: Trojan.Generic.4142923 )[/LIST][/LIST]