Аваст каждые 20 сек выводит сообщение о блокировке некого URL, google chrome не открывает ни одну страницу (Opera работает нормально). Проверял с помощью CureIt и VRTool, удалил несколько троянов, проблема осталась.
Аваст каждые 20 сек выводит сообщение о блокировке некого URL, google chrome не открывает ни одну страницу (Opera работает нормально). Проверял с помощью CureIt и VRTool, удалил несколько троянов, проблема осталась.
Последний раз редактировалось Nikkollo; 28.03.2012 в 21:08.
Уважаемый(ая) Sasha-Demon, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Пофиксите в HijackThis (как пофиксить):
Выполните скрипт в AVZ (как выполнить):Код:F2 - REG:system.ini: UserInit=userinit.win /PASSWORD=912357691091235495 /verysilent O4 - HKLM\..\Policies\Explorer\Run: [Win] wincore.exe O20 - AppInit_DLLs: Netdv.dll
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; QuarantineFile('Netdv.dll',''); QuarantineFile('C:\WINDOWS\system32\wincore.exe',''); QuarantineFile('C:\WINDOWS\system32\userinit.win',''); DeleteFile('C:\WINDOWS\system32\userinit.win'); DeleteFile('C:\WINDOWS\system32\wincore.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Win'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
После перезагрузки выполните скрипт в AVZ:
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".Код:begin CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); end.
Сделайте заново лог virusinfo_syscheck.zip и лог HijackThis (пункты 2 и 3 раздела Диагностика правил) и приложите в теме.
Даже в самом пустом из самых пустых есть двойное дно © Пикник
Вы можете отблагодарить нас так
Компьютер не смог перезагрузиться нормально, вылетел BSOD со стоп ошибкой 0x00000019. После резета происходит завершение сеанса при входе в систему (шалит userinit, который был пофиксен в HJT).
Тут такое дело... Эти же файлы, которые Вы удалили через avz, я уже удалял через VRTool сегодня. Юзеринит так же упал, я его пофиксил вручную в реестре через LiveCD. Прошу прощения, что не рассказал подробнее в первом посте.
Сейчас у меня к этому компьютеру доступа нет, поэтому исправить userinit я в данный момент не могу. Соответственно карантин и логи (если еще надо) смогу отправить только завтра после обеда.
Винду переставлять очень не хочется, прошу помочь.. Заранее благодарен.
Загрузитесь с LiveCD.
Распакуйте файл userinit.exe из приложенного архива в папку C:\WINDOWS\system32 (на больном компьютере).
Убедитесь в отсутствии в этой папке файлов userinit.win и wincore.exe.
Если присутствуют, переименуйте их (например в userinit.bak и wincore.bak).
Подключитесь к реестру больного компьютера (здесь удобно пользоваться ERD Commander).
Посмотрите :
параметрКод:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Должно быть (вместе с запятой на конце):Код:userinit
Если не так - исправьте.Код:C:\WINDOWS\system32\userinit.exe,
Если используете другой LiveCD, здесь описано как работать с чужим реестром:
http://virusinfo.info/showthread.php?t=72176
Попробуйте загрузить компьютер.
Если получилось, загрузите карантин (если есть), сделайте новые логи и приложите.
Даже в самом пустом из самых пустых есть двойное дно © Пикник
Вы можете отблагодарить нас так
Добрался до компьютера )
Значит, файла userinit.win не оказалось, wincore.exe переименовал, реестр поправил. В винду зашел нормально. Карантин в архиве отправил по ссылке сверху, логи вложил.
Проблема осталась.
Последний раз редактировалось Sasha-Demon; 28.03.2012 в 13:51.
Переименованный wincore.exe удалите вручную.
Пофиксите в HijackThis (как пофиксить):
Выполните скрипт в AVZ (как выполнить):Код:O4 - HKLM\..\Policies\Explorer\Run: [Win] wincore.exe O20 - AppInit_DLLs: Netdv.dll
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; QuarantineFile('C:\WINDOWS\system32\mssrv32.exe',''); DeleteFile('C:\WINDOWS\System32\Netdv.dll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Win'); DeleteFile('C:\WINDOWS\system32\mssrv32.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
После перезагрузки выполните скрипт в AVZ:
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".Код:begin CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); end.
Сделайте заново лог virusinfo_syscheck.zip и лог HijackThis (пункты 2 и 3 раздела Диагностика правил) и приложите в теме.
После этого:
При подключенном интернете выполните скрипт в AVZ (как выполнить):
Скрипт будет выполняться несколько минут (обычно не больше 10), по окончании появится окно с сообщением о успешном выполнении скрипта.Код:begin ClearQuarantine; ExecuteAVUpdate; ExecuteStdScr(4); end.
После этого в папке AVZ\LOG появится файл вида virusinfo_files_<имя вашего компьютера>.zip.
Загрузите этот файл по этой ссылке:
http://virusinfo.info/upload_clean.php
По окончании загрузки скопируйте информацию о загрузке и вставьте ее в ваше следующее сообщение.
Даже в самом пустом из самых пустых есть двойное дно © Пикник
Вы можете отблагодарить нас так
Результат загрузки
Файл сохранён как 120328_113610_virusinfo_files_MICROSOF-D2E87A_4f72f7aa91113.zip
Размер файла 10977639
MD5 c0fbe7c6ad5acf46251f32e176111d21
Что с проблемой?
Рекомендую сменить все пароли.
Даже в самом пустом из самых пустых есть двойное дно © Пикник
Вы можете отблагодарить нас так
Проблема исчезла. Огромное спасибо за помощь!
Последний раз редактировалось Nikkollo; 28.03.2012 в 21:08.
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 6
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\mssrv32.exe - Trojan.Win32.Buzus.husz ( DrWEB: Trojan.DownLoader.46203, BitDefender: Trojan.Generic.2367166, AVAST4: Win32:Malware-gen )
- c:\\windows\\system32\\netdv.dll - Trojan-Spy.Win32.Agent.bsfl ( DrWEB: Trojan.PWS.Spy.13955, BitDefender: Gen:Trojan.Heur.GM.4400060020, AVAST4: Win32:Malware-gen )
- c:\\windows\\system32\\userinit.win - Backdoor.Win32.RAdmin.da ( DrWEB: Trojan.MulDrop3.42990, BitDefender: Trojan.Agent.ARVD )
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
Уважаемый(ая) Sasha-Demon, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.