Статус: Новичок
Группы: Участники
Зарегистрирован: 26.11.2008(UTC)
Сообщений: 1
Откуда: Россия
|
KSV написал:У клиента на компьютере при открытии любого ярлыка или файла Крипто-про требует дискету с эцп которая нужна для работы с УРМ АС Бюджет. Что можно сделать в данном случае если переустановка крипто-про не помогла? Данный глюк вызван вирусом, универсального решения нет. Убедится в том что есть вирус (и определить имя файла вируса) можно запустив REGEDIT и по пути [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon], просмотреть значение параметра "UserInit" = "%System%\userinit.exe, если этот параметр отличается, у меня он имел значение "UserInit" = "%System%\userinit.exe, %System%\twext.exe", второй экзешник в этой строке и есть вирус (данный файл не обнаруживается как вирус ни KAV, ни DRWEB), господа не забудьте что %System%-это ни что иное как папка System32 в папке с виндой. Удалить данную заразу можно только из безопасного режима, а лучше загрузившись с внешнего носителя, например Win PE. Будьте очень внимательны, как правило эта зараза сопровождается еще несколькими троянцами, у меня был Trojan.Win32.Patched.bb (по касперскому) - инфецирован файл User32.dll - файл необходимо заменить из работающей винды, в противном случае ось больше не загрузится ни в каком режиме. 
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 15.12.2008(UTC)
Сообщений: 4
Откуда: Москва
|
mmmikle написал:KSV написал:У клиента на компьютере при открытии любого ярлыка или файла Крипто-про требует дискету с эцп которая нужна для работы с УРМ АС Бюджет. Что можно сделать в данном случае если переустановка крипто-про не помогла? Данный глюк вызван вирусом, универсального решения нет. Убедится в том что есть вирус (и определить имя файла вируса) можно запустив REGEDIT и по пути [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon], просмотреть значение параметра "UserInit" = "%System%\userinit.exe, если этот параметр отличается, у меня он имел значение "UserInit" = "%System%\userinit.exe, %System%\twext.exe", второй экзешник в этой строке и есть вирус (данный файл не обнаруживается как вирус ни KAV, ни DRWEB), господа не забудьте что %System%-это ни что иное как папка System32 в папке с виндой. Удалить данную заразу можно только из безопасного режима, а лучше загрузившись с внешнего носителя, например Win PE. Будьте очень внимательны, как правило эта зараза сопровождается еще несколькими троянцами, у меня был Trojan.Win32.Patched.bb (по касперскому) - инфецирован файл User32.dll - файл необходимо заменить из работающей винды, в противном случае ось больше не загрузится ни в каком режиме. Подскажите, пожалуйста, как Вы удалили этот Trojan.Win32.Patched.bb. Касперский у меня не помогает, звонила в техподдеожку, тоже безрезультатно. Я не программист, а пользователь. Так что если можно, то попонятней для "чайников". Спасибо.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 06.02.2008(UTC)
Сообщений: 1,491
Откуда: Крипто-Про
Поблагодарили: 40 раз в 37 постах
|
Здравствуйте. Для начала попробуйте загрузить операционную систему в безопасном режиме (для этого нужно при загрузке нажать F8 и выбрать безопасный режим) и попробуйте в этом режиме поличить систему утилитой CureIt . Если не поможет, сообщите что именно у Вас содержится в ветке реестра [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] (посмотреть можно так: Пуск - выполнить - regedit , в появившемся окне раскрываете соответствующую ветку и смотрите что в ней есть, какие значения у параметра UserInit). Отредактировано пользователем 28 апреля 2009 г. 20:26:51(UTC)
| Причина: Не указана |
Татьяна
ООО Крипто-Про |
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 15.12.2008(UTC)
Сообщений: 4
Откуда: Москва
|
Татьяна написал:Здравствуйте. Для начала попробуйте загрузить операционную систему в безопасном режиме (для этого нужно при загрузке нажать F8 и выбрать безопасный режим) и попробуйте в этом режиме поличить систему утилитой CureIt . Если не поможет, сообщите что именно у Вас содержится в ветке реестра [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] (посмотреть можно так: Пуск - выполнить - regedit , в появившемся окне раскрываете соответствующую ветку и смотрите что в ней есть, какие значения у этих параметров). Здравствуйте! После лечения кое-что другое нашлось, а Trojan.Win32.Patched.bb даже не определился. В ветке реестра после Winlogon есть папки: Credentials, GPExtensions, Nitify, SpehialAccounts.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 06.02.2008(UTC)
Сообщений: 1,491
Откуда: Крипто-Про
Поблагодарили: 40 раз в 37 постах
|
выделите [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] справа нажмите два раза на userinit и посмотрите что там есть. А на основании чего вы решили, что компьютер заражен именно вирусом Trojan.Win32.Patched.bb ? Какой именно файл заражен? Отредактировано пользователем 16 декабря 2008 г. 19:44:17(UTC)
| Причина: Не указана |
Татьяна
ООО Крипто-Про |
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 15.12.2008(UTC)
Сообщений: 4
Откуда: Москва
|
Татьяна написал:выделите Если не поможет, сообщите что именно у Вас содержится в ветке реестра [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
справа нажмите два раза на userinit и посмотрите что там есть.
А на основании чего вы решили, что компьютер заражен именно вирусом Trojan.Win32.Patched.bb ? Какой именно файл заражен? Файл: c:\windows\system32\user32.dll Касперский его находит, говорит об угрозе, но не лечит и не удаляет (в безопасном режиме). Утилита Касперского, которую дала техподдержка, тоже не помогла. справа нажмите два раза на userinit и посмотрите что там есть: c:\windows\system32\userinit.exe,
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 06.02.2008(UTC)
Сообщений: 1,491
Откуда: Крипто-Про
Поблагодарили: 40 раз в 37 постах
|
Я не являюсь специалистом по лечению вирусов и не уверена, что смогу Вам в этом помочь. Возможно, Вам поможет файл c:\windows\system32\user32.dll с незараженной машины с той же версией операционной системы.
|
Татьяна
ООО Крипто-Про |
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 15.12.2008(UTC)
Сообщений: 4
Откуда: Москва
|
Татьяна написал:Я не являюсь специалистом по лечению вирусов и не уверена, что смогу Вам в этом помочь. Возможно, Вам поможет файл c:\windows\system32\user32.dll с незараженной машины с той же версией операционной системы.
Установочный диск у меня есть на лицензионную ОС. Я смогу это сделать сама? Если да, подскажите как... Спасибо.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 06.02.2008(UTC)
Сообщений: 1,491
Откуда: Крипто-Про
Поблагодарили: 40 раз в 37 постах
|
Ещё раз повторю, что я не являюсь профессионалом в этой области и не вполне уверена в своем праве давать тут советы. Я бы попробовала загрузиться в безопасном режиме, найти на диске библиотеку user32.dll. После чего посмотреть её версию(свойства - версия), убедиться что версии с диска и из C:\WINDOWS\system32\user32.dll совпадают и, в случае совпадения, заменить C:\WINDOWS\system32\user32.dll и C:\WINDOWS\system32\dllcache\user32.dll на библиотеку с установочного диска . Отредактировано пользователем 17 декабря 2008 г. 15:21:59(UTC)
| Причина: Не указана |
Татьяна
ООО Крипто-Про |
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 15.01.2009(UTC)
Сообщений: 1
Откуда: Белгород
|
для решения проблеммы предлагаю вот такой вариант запустить в AVZ меню файл - выполнить скрипт- begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\twext.exe',''); QuarantineFile('C:\WINDOWS\system32\msansspc.dll',''); QuarantineFile('C:\WINDOWS\jwfkaveb.exe',''); DeleteService('SLQPVTUQ'); QuarantineFile('C:\WINDOWS\system32\drivers\SLQPVTUQ.sys',''); DeleteFile('C:\WINDOWS\system32\drivers\SLQPVTUQ.sys'); DeleteFile('C:\WINDOWS\jwfkaveb.exe'); DeleteFile('C:\WINDOWS\system32\msansspc.dll'); DeleteFile('C:\WINDOWS\system32\twext.exe'); BC_ImportALL; ExecuteSysClean; BC_DeleteSvc('SLQPVTUQ'); BC_Activate; CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); RebootWindows(true); end.
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
