Засада по полной

Printable View

26.08.2010, 11:52
steel-prom

Засада по полной

На компе не было вообще антивируса. Что то цепанули, при каких обстоятельствах неизвестно. Принесли с синим экраном, BSOD ругался на aec.sys Файлик заменил в Безопасном режиме, и зашел в реестр посмотреть что по ем.. И... Userinit попачен:
[QUOTE]C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\a5f4fac8.exe,C:\WINDOWS\system32\nsuljn.exe,
[/QUOTE]

также появился новый параметр Userint:
[QUOTE]C:\WINDOWS\system32\lgevwj.exe[/QUOTE]

В автозапуске лежало 2 файла:
[QUOTE]sisgbi32.exe
syscron.exe[/QUOTE]

все поправил.. пергружаюсь.... Система стартует, но не AVZ не Хайджек не полиморф не запускается.. блокирует

Запустил ДокторВеб CurIT нашел 1 файлик *.bat -> bat.killfiles.33
26.08.2010, 11:55
polword

попробуем сделать так:
- скачайте [URL="http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/"]AVPtool[/URL]
- установите и запустите его
- откройте вкладку [B][COLOR="Blue"]Ручное лечение[/COLOR][/B]
- Нажмите кнопку [COLOR="Blue"]«Сбор информации о системе»[/COLOR].
- создавшийся лог прикрепите к новому сообщению
26.08.2010, 12:26
steel-prom

пока качался AVPTool посмотрел еще раз в безопасном... в реестре строка восстанавливается
[QUOTE]C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system 32\a5f4fac8.exe,C:\WINDOWS\system32\nsuljn.exe,[/QUOTE]

Сейчас с LiveCD попробую ее поправить... думаю что в ней вся засада, еще глянул процессы программкой autoruns от Руссиновича... именно nsuljn.exe работает.. отключая ее.. запускается опять....
26.08.2010, 14:09
steel-prom

в точку))) логи
26.08.2010, 14:18
steel-prom

а вот файлики:
[QUOTE]C:\WINDOWS\system 32\a5f4fac8.exe
C:\WINDOWS\system32\nsuljn.exe
C:\WINDOWS\system32\lgevwj.exe[/QUOTE]
не поймались... и что делать с
[QUOTE]sisgbi32.exe
syscron.exe[/QUOTE]
в карантин их?

ВТ дает 7/42 и 4/42 соответственно
26.08.2010, 14:28
olejah

Вроде же договаривались где студентам темы создавать, зачем Помогите захламлять?
26.08.2010, 14:36
steel-prom

[QUOTE=Olejah;695870]Вроде же договаривались где студентам темы создавать, зачем Помогите захламлять?[/QUOTE]

да в начале был просто в растерянности...... на первый взгляд посчитал, что трудноватый случай для меня :O
27.08.2010, 14:36
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]