Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше.

На данный момент приобретение лицензий ESET через наш сайт недоступно.
В качестве альтернативы предлагаем антивирусные решения PRO32 — надёжную защиту от киберугроз и высокую производительность для устройств на Windows и Android.

Приглашаем вас присоединиться к новому форуму PRO32.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Добавьте лицензию в корзину и примените промокод при оформлении заказа.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

Помогите удалить вирус , завелся Троянец

1 2 След.
RSS
 
Дмитрий Ладошин
Дмитрий Ладошин
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 28.11.2014
Размещено 28.11.2014 20:13:03
Здравствуйте, антивирус поднял тревогу
Объект: C:\\Windows\system32\usernit/exe
Угроза: Win32/Patched.IG троянская программа
Предлагает 2 варианта действий: удалить и ничего не предпринимать
Удалять файл нельзя, поскольку он отвечает за запуск ОС, хотя я и это пробовал, но была ошибка при удалении
Помогите удалить вирус
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 28.11.2014 20:41:26
добавьте образ автозапуска в uVS
http://forum.esetnod32.ru/forum9/topic2687/
[ Как создать образ автозапуска? ]
 
Дмитрий Ладошин
Дмитрий Ладошин
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 28.11.2014
Размещено 28.11.2014 20:59:48
скачал вашу программу, антивирус сильно ругался на папку, в которую я её разархивировал
вот образ https://yadi.sk/d/4OP9wmP-czxCZ
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 28.11.2014 21:05:35
да, есть заражение этого файла
C:\WINDOWS\SYSTEM32\USERINIT.EXE
Win32/Patched.IG

сейчас добавлю по ссылке чистый файл
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 28.11.2014 21:07:33
1. скачайте по ссылке чистый файл для вашей системы
Цитата
Windows 7 Ultimate x86 (NT v6.1) build 7601 Service Pack 1 [C:\WINDOWS]
отсюда
http://rghost.ru/59316753
и положите его в папку откуда запускаете uVS на вашем зараженном компьютере,
напишите когда это будет сделано
[ Как создать образ автозапуска? ]
 
Дмитрий Ладошин
Дмитрий Ладошин
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 28.11.2014
Размещено 28.11.2014 21:13:00
сделано
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 28.11.2014 21:17:16
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.85.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
zoo %Sys32%\userinit.exe
EXEC cmd /c "rename %sys32%\userinit.exe userinit.exe.old"
EXEC cmd /c "rename %sys32%\dllcache\userinit.exe userinit.exe.old"
EXEC cmd /c "copy userinit.exe %sys32%\userinit.exe"
EXEC cmd /c "copy userinit.exe %sys32%\dllcache\userinit.exe" 
czoo
restart

перезагрузка, пишем о старых и новых проблемах.
------------
добавьте новый образ автозапуска для контроля.
Изменено: santy - 28.11.2014 21:17:36
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 28.11.2014 21:17:48
поправил скрипт
[ Как создать образ автозапуска? ]
 
Дмитрий Ладошин
Дмитрий Ладошин
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 28.11.2014
Размещено 28.11.2014 21:30:44
все сделал, после перезагрузки антивирус не беспокоил
вот образ https://yadi.sk/d/LT8Snx6NczyrU
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 28.11.2014 21:33:31
да, теперь чистый файл  с цифровой подписью
C:\WINDOWS\SYSTEM32\USERINIT.EXE
Действительна, подписано Microsoft Windows
[ Как создать образ автозапуска? ]
 
1 2 След.
Читают тему