9 ответов в этой теме

[Meddison]

Здравствуйте! Недавно появилась проблема, связанная с проблемой захода на страницы антивирусов и некоторых других сайтов. Разумеется, появились подозрения на вирусы. Попытка обновить антивирус не увенчалась успехом. По описанию в интернете сделала вывод, что это нечто под названием "Kido", но свежая версия "Кидокиллера" не помогла. Тест тоже не показал никаких признаков этого вируса. Затем в реестре заметила, что в HLM\Software\Microsoft\Windows NT\Current Version\Winlogon\Userinit появилось это: "c:\windows\system32\userinit.exe,C:\WINDOWS\system32\voiuyc.exe,C:\WINDOWS\system32\bpntzt.exe,"

И, соответственно, в HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\PersistentRoutes тоже куча всяких ненужностей, которая сразу же восстанавливается, как и путь в userinit'е. 

Скачала "HiJackThis" (вирус блокировал, сейчас внезапно заработала), AVZ вообще напрочь отказывалась работать, даже тогда, когда я попыталась переименовать ее. Скачав какую-то утилиту, AVZ запустилась.

DR WEB выдает несколько троянов.

Но решение этой проблемы я до сих пор не нашла.

Помогите пожалуйста! Я в этом деле вообще нуб, как говорится.

Логи прикрепляю. 

Прикрепленные файлы:

•  Report.rar   5,24К   34 Скачано раз
•  drw_results.rar   114,45К   58 Скачано раз
•  hijackthis.rar   3,95К   29 Скачано раз

[mrbelyash]

Сделайте лог http://people.drweb.com/people/yudin/dwsysinfo.exe

--------

Файлы искать гмером  http://wiki.drweb.com/index.php/Скрытые_процессы

C:\WINDOWS\system32\voiuyc.exe

C:\WINDOWS\system32\bpntzt.exe
c:\documents and settings\admin\application data\drm\drm.exe-вирустотал

[mrbelyash]

Скачать и запустить

http://www.teamviewer.com/download/TeamViewerQS.exe

Сообщить ID и пароль.

Я зайду на машину и посмотрю(если нет ничего секретного).

[Meddison]

mrbelyash, архив прикрепляю к сообщению.
А насчет второго... Сколько это будет стоить?

Прикрепленные файлы:

•  MICROSOF_2B6C43_Admin_091010_123032.zip   2,08Мб   25 Скачано раз

[mrbelyash]

В вирлаб

c:\windows\system32\bpntzt.exe  (он на диске и в процессах есть)

c:\windows\system32\voiuyc.exe(он на диске и в процессах есть)

А потом запустить Gmer и убить их процессы. 

-----

После убийства процессов ключи в реестре привести к такому виду

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"Userinit"="userinit.exe,"

А этот убить

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"usrint" Type="C:\WINDOWS\system32\ztgnir.exe" 

----


После запустить прикрепленный файлик

Сообщение было изменено mrbelyash: 09 Октябрь 2010 - 11:48

[Meddison]

Спасибо. Только не могли бы вы разъяснить, как обращаться с GMER'ом?
Википедия-то тоже не открывается =(
Заранее спасибо!

[mrbelyash]

Спасибо. Только не могли бы вы разъяснить, как обращаться с GMER'ом?
Википедия-то тоже не открывается =(
Заранее спасибо!

После запуска щелкнуть по вкладке >>>> перейти на Processes, а там правой кнопкой мыша по процессу и выбрать Kill process

[Meddison]

Окей. Спасибо большое за разъяснение! Теперь все понятно.
Вот только прежде чем удалять, их нужно отправить. А отправить я не могу, ибо заходит только на форум д-ра Веба =(
На любые страницы сайта не заходит вообще.
Может, как-то по-другому можно отправить?..

[mrbelyash]

Окей. Спасибо большое за разъяснение! Теперь все понятно.
Вот только прежде чем удалять, их нужно отправить. А отправить я не могу, ибо заходит только на форум д-ра Веба =(
На любые страницы сайта не заходит вообще.
Может, как-то по-другому можно отправить?..

их просто скопировать в другое место,а отправлять после того как терминируете,удалите,и зачистите статические маршруты

------

Или мне в личку отправить.

[Meddison]

mrbelyash, СПАСИБО ВАМ ОГРОМНОЕ!

Сейчас порадуюсь и всё отошлю =)