Ну, я писал там выше, что пытался проверить систему касперским, для этого из безопасного режима сносил Нод и пытался поставить касперский. Но из безопасного режима касперский не захотел ставиться вообще, пришлось вернуть НоД обратно. Видать касперский успел где то прописаться.
Карантин и логи выложил.
Последний раз редактировалось Gamil; 28.04.2009 в 04:20.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Выполните
Карантин пришлите по правиламКод:begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\WINDOWS\system32\userinit.exe',''); QuarantineFile('C:\WINDOWS\system32\ntos.exe',''); QuarantineFile('c:\windows\system32\vhosts.exe',''); DeleteFile('c:\windows\system32\vhosts.exe'); DeleteFile('Hysu87.sys'); DeleteFile('C:\WINDOWS\system32\ntos.exe'); BC_ImportAll; BC_DeleteSvc('msupdate'); BC_DeleteSvc('Hysu87'); BC_Activate; ExecuteSysClean; RebootWindows(true); end.
сделал
Последний раз редактировалось Gamil; 28.04.2009 в 04:20.
Пара антивирусов это круто, но бесполезно. Нужно оставить одного с лицензией.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Я ж написал, что они не стоят одновременно.Сообщение от PavelA
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Если попадет в карантин,пришлите согласно приложению 3 правил,в логах явно вредоносного ничего нет,проблема по прежнему актуальна?Код:begin QuarantineFile('C:\WINDOWS\system32\userinit.exe',''); end.
Компьютер уже не перегружается. Жду когда вы скажете что все чисто.
Скрипт и карантин завтра уже только выполню.
Выполнил скрипт)) в карантине че то появилось. Выложил архив в карантин.
(по ссылке http://virusinfo.info/upload_virus.php?tid=20944)
C:\WINDOWS\system32\userinit.exe - Trojan-Downloader.Win32.Injecter.ll
Распакуйте приложенный архив в папку C:\WINDOWS\system32 с заменой имеющегося файла.
Перезагрузите компьютер.
Последний раз редактировалось AndreyKa; 11.01.2009 в 18:09.
Сделайте лог по 10-му пункту Правил и приложите к теме.
В папке C:\WINDOWS\system32\userinit.exe - два файла userinit.exe и userini.exe. это нормально ?
Заменил файликом из userinit.zip
лог virusinfo_syscheck.zip сделал
Последний раз редактировалось Gamil; 28.04.2009 в 04:20.
C:\DOCUME~1\9335~1\LOCALS~1\Temp\ieA4.tmp/r - поищи вот этот файлик.
Найдется - пришли.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
userini.exe это копия трояна. Удалите его вручную или с помощью скрипта AVZ:
Код:begin DeleteFile('C:\WINDOWS\system32\userini.exe'); end.
удалил userini
не поняль. Вот только в C:\Documents and Settings\Администратор\Local Settings\Temp нашел файлик ieA4.tmp
Вот его заархивируйте с паролем virus и пришлите нам http://virusinfo.info/upload_virus.php?tid=20944
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
(извините за задержку, но не мог выложить до сегодняшнего дня)
Выложил файлик из C:\Documents and Settings\Администратор\Local Settings\Temp - ieA4.tmp в карантин
Последний раз редактировалось Gamil; 15.04.2008 в 11:22.
ieA4.tmp-Trojan-Downloader.Win32.Mutant.ic
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Очистите все временные папки.Повторите логи.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temp\ieA4.tmp '); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Выполнил скрипт, удалил временные файлы, выложил логи
Последний раз редактировалось Gamil; 28.04.2009 в 04:20.
может ну его нафиг ? сохранить важное и отформатировать винт ?
Сегодня обнаружил что после перезагрузки два раза прописывались какие то странные ДНС адреса (85.255.114.194 и 85.255.112.120), сегодня же запустилась какая то программка RussiaPorno .... попросила установиться.
(но компе работает девушка и днс прописывать не умеет, и программка тоже всяко не её %) ). И в конце концов эксплорер начал как то странно работать, при отправке сообщения просто закрывается и все.
Пофиксите в HijackThis:
Выполните скрипт в AVZ:Код:O2 - BHO: (no name) - {F2F2A4CB-DAAD-4D0C-BDFC-E945647202C2} - c:\autoex.dll O4 - HKLM\..\Run: [advap32] C:\DOCUME~1\9335~1\LOCALS~1\Temp\ieA4.tmp/r O4 - HKLM\..\Run: [svchost] C:\WINDOWS\svchost.exe
Компьютер перезагрузится.Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('kdlit.exe',''); QuarantineFile('C:\WINDOWS\svchost.exe',''); QuarantineFile('C:\Program Files\Internet Explorer\SETUPAPI.dll',''); QuarantineFile('C:\Documents and Settings\Наташа\ie_updates3r.exe',''); QuarantineFile('c:\autoex.dll',''); DeleteFile('c:\autoex.dll'); DeleteFile('C:\Documents and Settings\Наташа\ie_updates3r.exe'); DeleteFile('C:\Program Files\Internet Explorer\SETUPAPI.dll'); DeleteFile('C:\WINDOWS\svchost.exe'); DelBHO('{F2F2A4CB-DAAD-4D0C-BDFC-E945647202C2}'); BC_ImportALL; BC_DeleteSvc('Google Online Services'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно приложению 3 правил
Сделайте новые логи, начиная с п.10 правил.
I am not young enough to know everything...
Уважаемый(ая) Gamil, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
