Показано с 1 по 19 из 19.

файл userinit.exe был помещен в карантин, теперь не могу войти в систему (заявка № 83110)

  1. #1
    Junior Member Репутация
    Регистрация
    05.09.2006
    Сообщений
    92
    Вес репутации
    42

    Thumbs up файл userinit.exe был помещен в карантин, теперь не могу войти в систему

    Авира обнаружил вирус, я перезагрузися в безопасный режим и проверил систему свежим Cure It! Он нашел двух троянов, лечение которых оказалось невозможным, потому я согласился на предложение утилиты отправить зараженные файлы в карантин, после чего Cure It! предложил перезагрузиться, что и было сделано. Теперь не могу войти дальше страницы "Приветствие". После ввода пароля пользователя/администратора сразу же происходит выход из системы и пароль требуется вводить снова, и так по кругу.

    Зараженные файлы назывались userinit.exe и svcnost.exe

    Загрузился через ERD Commander, а что дальше делать не знаю.

    Пробовал загрузиться в безопасном режиме и последнюю удачную загрузку - результат тот же.

    Подскажите, как восстановить систему и пролечить ее по-умному.
    Последний раз редактировалось Алек; 15.07.2010 в 15:27.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,353
    Вес репутации
    3019
    http://virusinfo.info/showthread.php?t=51777

    Если userinit.exe действительно был заражен, тогда его нужно восстановить http://virusinfo.info/showthread.php?t=51654
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  4. #3
    Junior Member Репутация
    Регистрация
    05.09.2006
    Сообщений
    92
    Вес репутации
    42
    файл userinit.exe в папке C:\windows\system32 отсутствовал, восстановил его из \system32\dllcache
    параметр Userinit выглядит правильно, без добавлений после запятой.

    Теперь могу входить в систему, правда некоторые программы при запуске выдают ошибку и закрываются, например, IE, google chrome, Comstar Connection manager, SnagIt
    Выглядит так:




    И еще, в тот момент, когда Авира сообщил о вирусе самопроизвольно открылось окно справки:



    Вот, кстати, отчет Cure It!, после которого начались проблемы:
    userinit.exe C:\WINDOWS\system32 Trojan.PWS.Spy.9574 Неизлечим.Перемещен.
    svcnost.exe C:\DOCUME~1\Alex\LOCALS~1\Temp Trojan.PWS.Spy.9574 Неизлечим.Перемещен.
    Сделал логи, взгляните, пожалуйста:
    Последний раз редактировалось Алек; 15.07.2010 в 03:31.

  5. #4
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,402
    Вес репутации
    1267
    Закройте все программы
    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол
    - Системное восстановление

    Пофиксите в hijackthis -

    Код:
    R3 - URLSearchHook: (no name) -  - (no file)
    Выполните скрипт в АВЗ -

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     TerminateProcessByName('c:\windows\system32\g-vga.exe');  
     TerminateProcessByName('c:\windows\vm30xsnap.exe');  
     QuarantineFile('C:\WINDOWS\services.exe','');
     QuarantineFile('c:\windows\system32\g-vga.exe','');
     QuarantineFile('c:\windows\vm30xsnap.exe','');
     DeleteFile('C:\WINDOWS\services.exe');  
     DelAutorunByFileName('C:\WINDOWS\services.exe');  
     BC_ImportAll;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    После перезагрузки:
    - выполните такой скрипт

    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

    Повторите логи.

  6. #5
    Junior Member Репутация
    Регистрация
    05.09.2006
    Сообщений
    92
    Вес репутации
    42
    Карантин отправлен.
    Программы, которые перестали запускаться, так и не запускаются из-за ошибок. Они заработают после включения восстановления системы или нужно дальше исправлять неисправности?
    прикладываю новые логи:

  7. #6
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Цитата Сообщение от Алек Посмотреть сообщение
    rojan.PWS.Spy.9574 Неизлечим.Перемещен
    1.Пароли Ваши скорее всего ушли на сторону. Их надо менять.
    2. Из неотключенного Восстановления будет лезть зараза, которая туда попала.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  8. #7
    Junior Member Репутация
    Регистрация
    05.09.2006
    Сообщений
    92
    Вес репутации
    42
    Цитата Сообщение от PavelA Посмотреть сообщение
    1.Пароли Ваши скорее всего ушли на сторону. Их надо менять.
    2. Из неотключенного Восстановления будет лезть зараза, которая туда попала.
    1. Пароли, хранящиеся где?

    2. Не понял, о чем речь? Ведь у меня, согласно правил, восстановление было отключено перед началом лечения:



    Кстати, восстановление уже можно включать?

    И что делать теперь с программами, которые не запускаются из-за ошибок, например IE 8, Google Chrome и др.?
    Последний раз редактировалось Алек; 15.07.2010 в 15:26.

  9. #8
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Цитата Сообщение от Алек Посмотреть сообщение
    1. Пароли, хранящиеся где?
    На компьютере.

    Добавлено через 3 минуты

    Выполните скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\system32\drivers\vdmyntaz.sys','');
    
    BC_ImportAll;
    BC_Activate;
    RebootWindows(true);
    end.
    Пришлите карантин по Правилам.
    Последний раз редактировалось PavelA; 15.07.2010 в 15:51. Причина: Добавлено
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  10. #9
    Junior Member Репутация
    Регистрация
    05.09.2006
    Сообщений
    92
    Вес репутации
    42
    Цитата Сообщение от PavelA Посмотреть сообщение

    Выполните скрипт:
    ...
    Пришлите карантин по Правилам.
    Выполнил код, компьютер перезагрузился, но файл quarantine.zip остается прежним, т.е. его размер и дата не меняются. Сделал это повторно, результат тот же.

  11. #10
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Поищи файл руками, через поиск системы. О результатах расскажи. Хром, после вылечивания, придется переустановить.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  12. #11
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,353
    Вес репутации
    3019
    Цитата Сообщение от PavelA Посмотреть сообщение
    C:\WINDOWS\system32\drivers\vdmyntaz.sys
    Это драйвер AVZ
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  13. #12
    Junior Member Репутация
    Регистрация
    05.09.2006
    Сообщений
    92
    Вес репутации
    42
    Поиск находит тот же самый фал, созданный в 9 утра, который я уже загружал. Удалил этот файл, выполнил скрипт еще раз - новый quarantine.zip не появился. Есть еще папка Quarantine, в ней имеются файлы .ini .dta, я их сам заархивировал и отправляю, правда он весом всего 7 Кб получается, в отличие от предыдущего, который 986 Кб весил.

    Посмотрите, пожалуйста.

  14. #13
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    527
    файл в карантине чистый

  15. #14
    Junior Member Репутация
    Регистрация
    05.09.2006
    Сообщений
    92
    Вес репутации
    42
    Восстановление системы можно включать?

    Добавлено через 3 минуты

    Цитата Сообщение от thyrex Посмотреть сообщение
    Это драйвер AVZ
    Смысл этого сообщения я не совсем понял. Или оно не для меня?
    Последний раз редактировалось Алек; 15.07.2010 в 21:23. Причина: Добавлено

  16. #15
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,353
    Вес репутации
    3019
    Цитата Сообщение от Алек Посмотреть сообщение
    Или оно не для меня?
    И для Вас, и для Павла
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  17. #16
    Junior Member Репутация
    Регистрация
    05.09.2006
    Сообщений
    92
    Вес репутации
    42
    Цитата Сообщение от thyrex Посмотреть сообщение
    И для Вас, и для Павла
    Спасибо, но я не совсем понимаю возможность применения этой информации в данный момент

    Восстановление системы включать?

  18. #17
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Восстановление включайте, а программы придется переустановить.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  19. #18
    Junior Member Репутация
    Регистрация
    05.09.2006
    Сообщений
    92
    Вес репутации
    42
    Спасибо за помощь!

    Тему можно пометить "Излечено"

    Добавлено через 10 часов 37 минут

    Несколько раз переустанавливал IE 8 - всякий раз закрывается из-за ошибки. Если удалить его через панель управления, то остается шестой экплорер, который работает нормально, а вот восьмой не идет. Можте подскажете, как побороть проблему? Или в какую тему лучше писать этот вопрос?

    SnagIt 7 заработал нормально без переустановок. Хром я удалил и еще не пробовал установить, есть еще программы, которые отказались открываться (еще не все проверил).
    Последний раз редактировалось Алек; 16.07.2010 в 23:46. Причина: Добавлено

  20. #19
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 12
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\windows\services.exe - Trojan.Win32.Agent.eqxh ( DrWEB: Trojan.Click.64197, BitDefender: Gen:Variant.Oficla.4, AVAST4: Win32:Malware-gen )


  • Уважаемый(ая) Алек, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. не могу войти в систему
      От oleg4er в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 16.02.2012, 11:50
    2. Не могу войти в систему!
      От Sэм в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 18.02.2011, 22:13
    3. Не могу войти в систему после лечения
      От Volgar в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 12.07.2009, 19:41
    4. Не могу войти в систему ни под одной учетной записью
      От Морская свинка в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 16.07.2008, 07:55
    5. Помогите не могу войти в систему
      От NikVA в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 30.01.2008, 21:51

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00080 seconds with 16 queries