Добрый день. При загрузке выдает ошибку userinit.exe и несколько раз самостоятельно удалялся антивирус 0_0
Добрый день. При загрузке выдает ошибку userinit.exe и несколько раз самостоятельно удалялся антивирус 0_0
Последний раз редактировалось laio; 05.12.2009 в 16:58.
Выполните скрипт в avz
ПК перезагрузится.Код:begin DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); SearchRootkit(true, true); SetAVZGuardStatus(True); DelCLSID('{A5FBF67C-C4EB-5F77-96E7-3824D449F987}'); DelCLSID('{4CSQ607S-C262-NH5G-1JXM-16838E32A6A5}'); QuarantineFile('C:\autorun.inf',''); QuarantineFile('C:\WINDOWS\majestic.exe',''); QuarantineFile('C:\wutemp\srvxc.exe',''); QuarantineFile('C:\WINDOWS\microcoft\merio.exe',''); QuarantineFile('C:\Program Files\psy\mkserv.exe',''); QuarantineFile('c:\windows\system32\dllservice.dll',''); QuarantineFile('c:\windows\system32\userinit.exe',''); DeleteFile('c:\windows\system32\dllservice.dll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\MacroSoft\Parameters','ServiceDll'); DeleteFile('C:\WINDOWS\microcoft\merio.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Policies'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Policies'); DeleteFile('C:\wutemp\srvxc.exe'); RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','wininet'); RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','wininet'); DeleteFile('C:\WINDOWS\majestic.exe'); DeleteFile('C:\autorun.inf'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteRepair(6); ExecuteRepair(8); RebootWindows(true); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи.
Последний раз редактировалось PavelA; 17.11.2009 в 13:03.
сделано
Последний раз редактировалось laio; 05.12.2009 в 16:58.
- Обновите базы АВЗ: (Файл/Обновление баз).
-Пофиксите:
Перегрузите систему, повторите логи по п.2 и 3 Диагностики.Код:O4 - HKCU\..\Run: [wininet] C:\WINDOWS\system32\userinit.exe
Касперского снова нет.
Последний раз редактировалось laio; 05.12.2009 в 16:58.
И строчка с userinit продолжает появляться, несмотря на fix
c:\windows\system32\userinit.exe - Trojan.Win32.Buzus.cowx
-Выполните скрипт:
Файл c:\windows\system32\userinit.exe замените на чистый: http://virusinfo.info/showthread.php?t=51654.Код:begin SetAVZGuardStatus(True); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','wininet'); BC_ImportAll; ExecuteSysClean; BC_Activate; SetAVZPMStatus(True); RebootWindows(true); end.
Если у Вас после перезагрузки появится неизвестное устройство - удалите его через диспетчер устройств.
После перезагрузки:
- Закачайте карантин (см. дополнительную информацию Приложения 2 и 3 правил).
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.
userinit.exe заменил на чистый, но для этого пришлось завершить 2 процесса userinit.exe в диспетчере задач. Неизвестное устройство появилось. Удалил. Карантин закачан. Логи сейчас будут.
Поскольку касперского снова нет (после пропажи не переустанавливал), вирус определить нечем. Установить снова?c:\windows\system32\userinit.exe - Trojan.Win32.Buzus.cowx
А как Вам вообще удалось, заменить файл при работающей ОС?
Установите последнюю версию Капсерского, обновите базы, сделайте полную проверку с включённой по максимуму эвристикой. В это время лучше на ПК не работать. Если находки и/или проблемы будут - сделайте логи, если ни находок ни проблем не будет - отпишитесь всё равно.
логи
Последний раз редактировалось laio; 05.12.2009 в 16:58.
-Пофиксите:
-Выполните скрипт:Код:O4 - HKLM\..\Run: [Rean] C:\WINDOWS\system32\jero.exe O4 - HKCU\..\Run: [wininet] C:\WINDOWS\system32\userinit.exe
- Закачайте карантин (см. дополнительную информацию Приложения 2 и 3 правил).Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; QuarantineFile('C:\WINDOWS\system32\jero.exe',''); QuarantineFile('C:\WINDOWS\PI\Users\GALINA^galya\Download\666.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-1708537768-1647877149-839522115-1003\Dc13.exe',''); QuarantineFile('C:\4.exe',''); DeleteFile('C:\4.exe'); DeleteFile('C:\RECYCLER\S-1-5-21-1708537768-1647877149-839522115-1003\Dc13.exe'); DeleteFile('C:\WINDOWS\PI\Users\GALINA^galya\Download\666.exe'); DeleteFile('C:\WINDOWS\system32\jero.exe'); DeleteFileMask('C:\RECYCLER\S-1-5-21-1708537768-1647877149-839522115-1003','*.*',true); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.
логи.
Последний раз редактировалось laio; 05.12.2009 в 16:58.
Похоже победили. Проблема решена?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Касперским удалил остатки. Вроде, пропадать перестал. Спасибо
Рано обрадовался: Касперский снова пропал. Заодно с ним пропал и office. Ща логи сделаю
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 34
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\microcoft\merio.exe - Trojan.Win32.Scar.aowy ( DrWEB: Win32.HLLW.SpyNet, BitDefender: Dialer.Generic.49963, AVAST4: Win32:Dialer-gen [Dialer] )
- c:\windows\pi\users\galina^galya\download\666.exe - Backdoor.Win32.Poison.aec ( DrWEB: BackDoor.Poison.1021, BitDefender: Trojan.Keylog.ZKT, NOD32: Win32/Poison.NAE trojan, AVAST4: Win32:Agent-ACII [Trj] )
- c:\windows\system32\jero.exe - Backdoor.Win32.Poison.aec ( DrWEB: BackDoor.Poison.1021, BitDefender: Trojan.Keylog.ZKT, NOD32: Win32/Poison.NAE trojan, AVAST4: Win32:Agent-ACII [Trj] )
- c:\windows\system32\userinit.exe - Trojan.Win32.Buzus.cowx ( DrWEB: Trojan.DownLoad.40447, BitDefender: Trojan.Delf.Inject.S )
- c:\wutemp\srvxc.exe - Trojan.Win32.Buzus.cowz ( DrWEB: Trojan.DownLoad.40447, BitDefender: GenPack:Trojan.Delf.Inject.S, AVAST4: Win32:Zbot-LYA [Trj] )
Уважаемый(ая) laio, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.