-
Junior Member
- Вес репутации
- 65
файл userinit.exe был помещен в карантин, теперь не могу войти в систему
Авира обнаружил вирус, я перезагрузися в безопасный режим и проверил систему свежим Cure It! Он нашел двух троянов, лечение которых оказалось невозможным, потому я согласился на предложение утилиты отправить зараженные файлы в карантин, после чего Cure It! предложил перезагрузиться, что и было сделано. Теперь не могу войти дальше страницы "Приветствие". После ввода пароля пользователя/администратора сразу же происходит выход из системы и пароль требуется вводить снова, и так по кругу.
Зараженные файлы назывались userinit.exe и svcnost.exe
Загрузился через ERD Commander, а что дальше делать не знаю.
Пробовал загрузиться в безопасном режиме и последнюю удачную загрузку - результат тот же.
Подскажите, как восстановить систему и пролечить ее по-умному.
Последний раз редактировалось Алек; 15.07.2010 в 16:27.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 65
файл userinit.exe в папке C:\windows\system32 отсутствовал, восстановил его из \system32\dllcache
параметр Userinit выглядит правильно, без добавлений после запятой.
Теперь могу входить в систему, правда некоторые программы при запуске выдают ошибку и закрываются, например, IE, google chrome, Comstar Connection manager, SnagIt
Выглядит так:
И еще, в тот момент, когда Авира сообщил о вирусе самопроизвольно открылось окно справки:
Вот, кстати, отчет Cure It!, после которого начались проблемы:
userinit.exe C:\WINDOWS\system32 Trojan.PWS.Spy.9574 Неизлечим.Перемещен.
svcnost.exe C:\DOCUME~1\Alex\LOCALS~1\Temp Trojan.PWS.Spy.9574 Неизлечим.Перемещен.
Сделал логи, взгляните, пожалуйста:
Последний раз редактировалось Алек; 15.07.2010 в 04:31.
-
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Пофиксите в hijackthis -
Код:
R3 - URLSearchHook: (no name) - - (no file)
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('c:\windows\system32\g-vga.exe');
TerminateProcessByName('c:\windows\vm30xsnap.exe');
QuarantineFile('C:\WINDOWS\services.exe','');
QuarantineFile('c:\windows\system32\g-vga.exe','');
QuarantineFile('c:\windows\vm30xsnap.exe','');
DeleteFile('C:\WINDOWS\services.exe');
DelAutorunByFileName('C:\WINDOWS\services.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
Повторите логи.
-
-
Junior Member
- Вес репутации
- 65
Карантин отправлен.
Программы, которые перестали запускаться, так и не запускаются из-за ошибок. Они заработают после включения восстановления системы или нужно дальше исправлять неисправности?
прикладываю новые логи:
-
Сообщение от
Алек
rojan.PWS.Spy.9574 Неизлечим.Перемещен
1.Пароли Ваши скорее всего ушли на сторону. Их надо менять.
2. Из неотключенного Восстановления будет лезть зараза, которая туда попала.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 65
Сообщение от
PavelA
1.Пароли Ваши скорее всего ушли на сторону. Их надо менять.
2. Из неотключенного Восстановления будет лезть зараза, которая туда попала.
1. Пароли, хранящиеся где?
2. Не понял, о чем речь? Ведь у меня, согласно правил, восстановление было отключено перед началом лечения:
Кстати, восстановление уже можно включать?
И что делать теперь с программами, которые не запускаются из-за ошибок, например IE 8, Google Chrome и др.?
Последний раз редактировалось Алек; 15.07.2010 в 16:26.
-
Сообщение от
Алек
1. Пароли, хранящиеся где?
На компьютере.
Добавлено через 3 минуты
Выполните скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\vdmyntaz.sys','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.
Пришлите карантин по Правилам.
Последний раз редактировалось PavelA; 15.07.2010 в 16:51.
Причина: Добавлено
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 65
Сообщение от
PavelA
Выполните скрипт:
...
Пришлите карантин по Правилам.
Выполнил код, компьютер перезагрузился, но файл quarantine.zip остается прежним, т.е. его размер и дата не меняются. Сделал это повторно, результат тот же.
-
Поищи файл руками, через поиск системы. О результатах расскажи. Хром, после вылечивания, придется переустановить.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Сообщение от
PavelA
C:\WINDOWS\system32\drivers\vdmyntaz.sys
Это драйвер AVZ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 65
Поиск находит тот же самый фал, созданный в 9 утра, который я уже загружал. Удалил этот файл, выполнил скрипт еще раз - новый quarantine.zip не появился. Есть еще папка Quarantine, в ней имеются файлы .ini .dta, я их сам заархивировал и отправляю, правда он весом всего 7 Кб получается, в отличие от предыдущего, который 986 Кб весил.
Посмотрите, пожалуйста.
-
-
-
Junior Member
- Вес репутации
- 65
Восстановление системы можно включать?
Добавлено через 3 минуты
Сообщение от
thyrex
Это драйвер AVZ
Смысл этого сообщения я не совсем понял. Или оно не для меня?
Последний раз редактировалось Алек; 15.07.2010 в 22:23.
Причина: Добавлено
-
Сообщение от
Алек
Или оно не для меня?
И для Вас, и для Павла
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 65
Сообщение от
thyrex
И для Вас, и для Павла
Спасибо, но я не совсем понимаю возможность применения этой информации в данный момент
Восстановление системы включать?
-
Восстановление включайте, а программы придется переустановить.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 65
Спасибо за помощь!
Тему можно пометить "Излечено"
Добавлено через 10 часов 37 минут
Несколько раз переустанавливал IE 8 - всякий раз закрывается из-за ошибки. Если удалить его через панель управления, то остается шестой экплорер, который работает нормально, а вот восьмой не идет. Можте подскажете, как побороть проблему? Или в какую тему лучше писать этот вопрос?
SnagIt 7 заработал нормально без переустановок. Хром я удалил и еще не пробовал установить, есть еще программы, которые отказались открываться (еще не все проверил).
Последний раз редактировалось Алек; 17.07.2010 в 00:46.
Причина: Добавлено
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 12
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\services.exe - Trojan.Win32.Agent.eqxh ( DrWEB: Trojan.Click.64197, BitDefender: Gen:Variant.Oficla.4, AVAST4: Win32:Malware-gen )
-