User32.dll - Win32.sysP

[JaneYa]

На машине стоит Windows XP SP2 и Avast Antivirus.

При включении Аваст обнаруживает вирус:
Имя файла: C:\Windows\System32\User32.dll
Имя вируса: Win32.sysPatch [Wrm]
Тип вируса: Вирус/Червь
Версия VPS: 090129-0, 29.01.2009

Я проходился CureIt, он его в карантин себе переместил.
После этого Windows перестала загружаться - она начинает загружаться, и перезагружается компьютер, ... и так по кругу.

Я с карантина вернул User32.dll на место.
Сделал логи. Прилагаю.

[Bratez]

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\USER32.dll','');
 QuarantineFile('C:\WINDOWS\system32\nvrmn.dll','');
BC_ImportALL;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=50210).

[Rene-gad]

Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

У уважаемого JaneYa как всегда не нашлось возможности, своевременно пропатчить систему. Зато у нас всегда есть время и возможость, лечить дырявые системы... scnr

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-Пофиксите

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe

- Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\nvrmn.dll','');
 DeleteFile('C:\WINDOWS\system32\nvrmn.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.

После перезагрузки:

- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.

[JaneYa]

Да, Rene-gad, укол принят, дырка зарубцовуется.

Благодарю за отклик!

Рекомендации выполнил. Карантин отправил. Логи прилагаю.

P.s. После выполнения скрипта авз и перезагрузки система стала пытаться установить какое-то устройство, не пишет какое и драйвера не находит.

[V_Bond]

C:\WINDOWS\system32\USER32.dll - пришлите согласно приложения 2 правил

[JaneYa]

Прислал.

[Rene-gad]

Распакуйте файл в аттаче, загрузитесь в консоли восстановления или с LiveCD и скопируйте его в папку C:\WINDOWS\system32\, переписывание подтвердите.

[JaneYa]

Благодарю!!!

Прошелся ещё раз авз.
Вроде, не всё.
В завершение скрипта лечения/карантина.... появилось сообщение о восстановлении 13 функций в ходе антируткита.

а также выдало:
moderated:::: * Логи нужно прикрепить к теме вложениями (а не запостить в теме).

Логи прилагаю.

[Rene-gad]

В завершение скрипта лечения/карантина.... появилось сообщение о восстановлении 13 функций в ходе антируткита..

Ну и где тут проблема? У меня тоже Нокия Сюита установлена, правда с автозагрузки я её убрал.
- В логах ничего подозрительного.
- Установите Сервис Пак 3 - возможно потребуется активация, и все последующие важные патчи.
Перед установкой Сервис Пака необходимо выгрузить все защитные приложения (антивирус, файрвол а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
- Установите IE 8

[JaneYa]

Ясно.
Благодарю!

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 2
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\windows\system32\nvrmn.dll - Trojan-Dropper.Win32.Agent.awmo ( BitDefender: Worm.Generic.73192 )
  2. c:\windows\system32\user32.dll - Trojan.Win32.Patched.gq ( DrWEB: BackDoor.Zapinit )