-
Junior Member
- Вес репутации
- 55
Снова этот пресловутый userinit.exe
Здравствуйте,
С недавних пор, в любом приложении, чтобы открыть или сохранить файл, стало очень долго появляться окно пути. Сканирование NOD'ом ничего не выявило. Установил Trojan Remover, который сразу же определил, что в папке \system32\userinit.exe - подозрительный файл и что сделать с ним ничего невозможно (wrong size or bad version). В поисках решения попал на virusinfo. Предложенная здесь диагностика дала результаты, в которых без специалистов не разобраться.
Последний раз редактировалось solarr; 20.03.2009 в 13:53.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
У Вас сборка Винды не от МС, поэтому Вас и обругали.
Выполнить;
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\drivers\sdcplh.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\grande48.sys','');
DelBHO('{3041d03e-fd4b-44e0-b742-2d9b88305f98}');
DelBHO('{201f27d4-3704-41d6-89c1-aa35e39143ed}');
QuarantineFile('C:\Program Files\AskBarDis\bar\bin\askBar.dll','');
DeleteFile('C:\Program Files\AskBarDis\bar\bin\askBar.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
C:\Program Files\AskBarDis - деинсталлировать.
Такого множества защитных программ я давно не видел. Надо определяться с кем жить, кому доверять.
Сделать новые логи. Диск "D" - флешка?
Последний раз редактировалось PavelA; 11.03.2009 в 23:50.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 55
Sorry, не увидел сразу...
C:\Program Files\AskBarDis - не хочет деинсталироваться. Можно снести папку?
Последний раз редактировалось solarr; 12.03.2009 в 00:16.
-
Junior Member
- Вес репутации
- 55
"D" - это том жесткого диска. На нем была утилита по настройке беспроводной сети. Я ее перенес.
На счет многих программ: каюсь - было такое дело! Но сейчас использую NOD и Defender (кстати, просветите, нужен ли он); остальное наверное осталось от деинсталированных. Нортоновский сканер тоже удалил.
Вот новые логи:
Последний раз редактировалось solarr; 20.03.2009 в 13:54.
-
Junior Member
- Вес репутации
- 55
Понимаю, что запросов очень много, но, если вдруг появится возможность, надеюсь, что ваши специалисты уделят внимание моей ситуации
Заранее благодарен.
-
Выполнить:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('grande48');
BC_DeleteSvc('CLTNetCnService');
BC_DeleteSvc('grande48');
DeleteFile('C:\WINDOWS\system32\drivers\grande48.sys');
// ClearHostsFile;
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Сделать новые логи
Карантин не прислали, а надо бы.
Steganos AntiTheft - это тоже неудачно снесли.
Файл hosts надо бы почистить, там зачем-то блокировка сайтов а/вирусов стоит.
Последний раз редактировалось PavelA; 12.03.2009 в 17:08.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 55
Павел, спасибо, что не забываете! На счет Steganos Вы абсолютно правы. А вот про hosts - "непонятно".
Карантин залил. Ну, и традиционно:
Последний раз редактировалось solarr; 20.03.2009 в 13:55.
-
В файле Hosts много записей по блокировке рекламы, да и не только. Это тормозит работу ИЕ.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 55
Это скорее всего из-за Auslogics BoostSpeed - там эта процедура позиционируется наоборот.
И как почистить записи? Если Hijack'ом, то какие оставить? А то в скрипте вроде бы прописано, но посмотрел логи - все осталось
Последний раз редактировалось solarr; 13.03.2009 в 10:47.
-
Я в скрипте закомментировал эту строчку. Там у Вас и доверенные строчки есть.
Вот это оставьте:
O1 - Hosts: 74.125.39.103 www.google.com
O1 - Hosts: 62.109.11.1 azbukapk.com.ua
O1 - Hosts: 91.198.174.2 ru.wikipedia.org
O1 - Hosts: 88.81.249.231 symbian.net.ua
O1 - Hosts: 91.201.53.36 web-notes.ru
O1 - Hosts: 72.232.29.238 forum.ru-board.com
O1 - Hosts: 172.16.249.3 www.donapex.net
O1 - Hosts: 65.54.166.122 support.microsoft.com
O1 - Hosts: 206.222.227.26 slirsredirect.search.aol.com
O1 - Hosts: 64.12.236.77 search.winamp.com
O1 - Hosts: 195.214.195.105 www.ukr.net
O1 - Hosts: 195.214.192.6 freemail.ukr.net
O1 - Hosts: 216.246.90.119 virusinfo.info
O1 - Hosts: 172.16.249.4 tracker.donapex.net
O1 - Hosts: 194.44.21.53 stat.donapex.net
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 55
Hosts почистил. Новые логи сделал. Карантин выслал.
Последний раз редактировалось solarr; 20.03.2009 в 13:56.
-
Junior Member
- Вес репутации
- 55
Павел, приветствую. Я так понимаю, что необходимо о себе напоминать . Указания Ваши вроде бы выполнил. ПосмОтрите?
-
В выходные доступ к Инету ограничен, поэтому отвечаю редко.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 55
Ого! Не затеряться бы. Ребят, если возможно, уделите внимание.
-
В командной строке: sc delete SatSrv
Более ничего плохого не увидел.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 55
Удалил. Премного Вам благодарен!
-
Лог Хиджака повторите.
Извините, забыл впопыхах написть об этом сразу.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 55
Последний раз редактировалось solarr; 20.03.2009 в 13:56.
-
Всё в порядке. Какие либо проблемы есть?
-
-
Junior Member
- Вес репутации
- 55
Да, вроде бы тьфу-тьфу-тьфу... Спасибо!