-
Junior Member
- Вес репутации
- 51
Поймал вирус
Окажите помощь пожалуйста. Настраивал в офисе сеть, при этом пришлось расшарить некотрые папки на своем компе, после этого стал замечать, что комп стал долго думать, глянул, а у меня проц почти постоянно на 100% загружен, хотя никаких других признаков вируса нет. Попробовал запустить AVZ, выкинуло + исчез рабочий стол, пришлось перезагрузиться. после этого комп стал долго загружаться, хотя и dr.Web и outpost работают нормально, обновления идут. Проверил Вебом - чисто, загрузился через LiveCD, проверил AVPtool - чисто... Но при этом не запускается ни AVZ ниHijackThis ни в каком виде, не помогает ни переименование, ни полиморфный avz.... даже на пару секунд не появляются... кроме этого в логах аутпоста видно, что winlogon лезет на порнушные сайты, блокировка аутпостом портов и айпишника, куда пытается залезть winlogon, привела к завису компа...
вот такие вот дела, что делать? винду перставлять ой как не хочется, да и сделать это ввиду одного диска - трудновато... поможете?
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Попробуйте сделать лог ComboFix
-
-
Junior Member
- Вес репутации
- 51
ComboFix тоже не запускается, ни в каком виде, не переименованный, ни какой...
-
1.скачайте Live CD с возможностью поиска и исправления в реестре. Например, ERD Commander.
2.Загрузитесь с этого диска.
3.Кнопка Пуск - Выполнить - erdregedit
4.Посмотрите в реестре:
ветка
Код:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
параметр
параметр
Содержимое этих параметров напишите в своем сообщении
-
-
Junior Member
- Вес репутации
- 51
userinit - userinit
shell - explorer.exe
кстати, combofix с livecd бесполезно запускать?
-
Бесполезно.
Сообщение от
Dginko
userinit - userinit
Такого быть не может, Вы смотрите реестр самого livecd, скорее всего, а нужно заражённой машины. Зная этого зверя, там должно быть что-то в этом духе -
Код:
C:\WINDOWS\system32\userinit.exe,файл/файлы с бесмысленными именами
.
-
-
Junior Member
- Вес репутации
- 51
да действительно, сорри
userinit - c:\windows\system32\userinit.exe,C:\WINDOWS\system 32\poposrc.exe,C:\WINDOWS\system32\unlkzfr.exe,C:\ WINDOWS\system32\rsxigr.exe,
еще есть ветка f0b0c18d - C:\WINDOWS\system32\unlkzfr.exe такая папка есть в windows и много весит...
-
userinit - C:\WINDOWS\system32\userinit.exe, - должно быть так, включая запятую, исправляйте, удаляйте файлы, который перечислены после запятой и пробуйте запустить АВЗ
-
-
Junior Member
- Вес репутации
- 51
редактировать с livecd или загружаться в полноценную? сами эти exe не надо удалить, а то ведь они опять могут прописаться?
-
Надо удалить, я дополнил пост. Редактируйте с livecd, хотя я думаю принципиальной разницы нет.
-
-
Junior Member
- Вес репутации
- 51
а параметр f0b0c18d удалять? еще есть usrint с C:\WINDOWS\system32\zeuijw.exe тоже какие-то непонятные.
-
Да, это всё звери. Только будьте крайне аккуратны при работе с реестром.
-
-
Junior Member
- Вес репутации
- 51
-
Пофиксите в hijackthis -
Код:
O9 - Extra button: (no name) - Cmdmapping - (no file) (HKCU)
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\WINDOWS\system32\CTERFXFX.DLL','');
QuarantineFile('C:\WINDOWS\system32\drivers\SaiBus.sys','');
BC_ImportAll;
ExecuteRepair(20);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
-
-
Junior Member
- Вес репутации
- 51
пишет "ошибка загрузки. данный файл уже был загружен"
-
-
-
Junior Member
- Вес репутации
- 51
да вроде нормально все, спасибо.