Несколько дней назад на копмьютер обрушился вирус и буквально. Сразу убил Авиру несмотря на то, что база была только обнавлена и вывел попросту из строя весь компьютер. Он вообще перестал загружаться . Загрузить удалось только в безопасном режиме ито работало не все и плохо. Загрузила с диска какой-то сканер с устаревшими базами, естественно, т.к диск лежал на полке уже год. Он таки обнаружил ну очень!!! много зараженных файлов , многие вычестил. Кое как сегодня загрузила обычную загрузку и благодаря друзьям установила пробную версию Kis , обновила базу и провела полную проверку . Он тоже много чего нашел и вылечил, но вот " обнаружен вирус userint.exe/userint.exe содержит вирус win32 Tenga.a" не выличить не удалить не предлагает т.к пишет, что недостаточно места на диске для создания резервной копии или что-то в этом роде. После нескольких перегрузок вроде написал, что удалил и создал резервную копию, а после последней проверки опять выдал этот вирус. Причем после загрузки компьютера интернет вообще не работает пока быструю проверку не проведешь. Он блокирует чтоли его временно?...?. Может и еще что-то не работает (пока просто не проверила остальные программы) и еще при нахождении вирусов он предлагает их удалить или вылечить файл, а обнаружил целую кучу уязвимостей разного рода и не предлагает с ними ничего делать? Что нужно делать и как убить дрянь в компе?

Лина,
Удалите пожалуйста Avira и NOD.

Severny, я их вроде удалила через установку и удалении программ,когда kis устанавливала. Их там не отображается. Как удалить если что-то осталось?

Удалите пожалуйста Avira и NOD »
Вновь установила, а потом деинсталировала и нод и авиру. Должно вроде все очиститься. Вот еще раз логи. Нейжели эта гадина непобедима?

Лина, MyCentria удалите через установку/удаление программ
Выполните скрипт в AVZ
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL');
DelBHO('{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
От Avira у вас остался работающий драйвер, если вы точно удалил AVIRA, выполните скрипт для очистки
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetServiceStart('avipbb', 4);
QuarantineFile('C:\WINDOWS\system32\DRIVERS\avipbb.sys','');
DeleteFile('C:\WINDOWS\system32\DRIVERS\avipbb.sys');
DeleteService('avipbb');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('avipbb');
BC_DeleteFile('C:\WINDOWS\system32\DRIVERS\avipbb.sys');
BC_Activate;
RebootWindows(true);
end.
Установите WindowsXP SP3 (http://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4) и все последующие обновления. Отключите все неиспользуемые службы. Включите брандмауэр (firewall), проверьте полностью систему и все флешки с помощью cureit, т.к. упомянутый вами вирус использует уязвимость DCOM RPC и заражает exe файлы, с помощью AVZ с ним бороться проблематично (тем более у вас по логам не сошлись по базе безопасных некоторые системные файлы, если они заражены, их удаление с помощью AVZ приведет к краху системы). По сути методика лечения та же, как и для лечения файловых вирусов (http://forum.oszone.net/post-780845-7.html), можете воспользоваться Dr.Web LiveCD (http://www.freedrweb.com/livecd/), возможно, перед установкой SP3 потребуется восстановление системных файлов с помощью sfc /scannow

MyCentria удалите через установку/удаление программ
Такой не вижу нигде?

Pili, сейчас сделаю логи ,скачаю cureit и Dr.Web LiveCD, проверюсь им поочереди, затем нужно в пуске-выполнить и ввести sfc /scannow так? затем еще рах отправляю логи? Что-то не в той последовательности? Или нарушила алгоритм действий?

Pili, Dr.Web LiveCD обязательно запускать с диска, сейчас после очистки Kis c жесткого диска все загружается

Лина, Такой не вижу нигде? »
Папка C:\Program Files \MyCentria\
Нет так нет, скриптом основное из системы удалилось, папку тоже можете удалить.
скачаю cureit и Dr.Web LiveCD »
Это одно и тоже, воспользуйтесь чем то одним, после sfc /scannow можете поставить SP3, логи делать не надо, по ним чисто, с помощью AVZ нельзя лечить файловые вирусы, но иногда можно обнаружить заражение.

Pili, Папка C:\Program Files \MyCentria\ »
в папке то я его вижу, а в установке и удалении программ не высвечивается, как удалить чтобы удалилось все без осттка?
cureit начинает проверку и зависает на одном месте все время c:/...s/Temp/drw 00000 tmp/data/mov/disney.wav .
Вчера проверилась кисом, вроде не выдал ужеэтот зараженный файл , вначале в отчетах значилось 05.12.2008 18:17:43 Не вылечено: Virus.Win32.Tenga.a Userinit.exe\Userinit.exe Отложено
теперь написано05.12.2008 18:19:15 Удалено: Virus.Win32.Tenga.a Userinit.exe\Userinit.exe
05.12.2008 18:19:15 Задача завершена
.Значит ли это, что вирус удален или он может где-то переселиться. Как убедится в том, что системный вирус исчез полностью с компьютера?

в папке то я его вижу, а в установке и удалении программ не высвечивается, как удалить чтобы удалилось все без осттка? »
в папке есть файл uninst.exe или похожий? можете запустить процедуру деинсталяции с помощью него, если скрипт выполняли, то основное уже удалилось.
cureit начинает проверку и зависает на одном месте все время c:/...s/Temp/drw 00000 tmp/data/mov/disney.wav »
Все файлй во временной папке можете удалить, и доп. очистите временные файлы с помощью ATF Cleaner (http://www.atribune.org/ccount/click.php?id=1) и/или через Пуск-Программы-Стандартные-Служебные-Очистка диска, если будет зависать, можете использовать Dr.Web LiveCD (http://www.freedrweb.com/livecd/)
C:\WINDOWS\SYSTEM32\Userinit.exe - системный, если он заражен нужно взять с чистой системы или восстановить системные файлы с помощью sfc /scannow и далее установить SP3
Как убедится в том, что системный вирус исчез полностью с компьютера? »
проверить системные файлы, особенно те, что числятся в автозагрузке, на virustotal.com, например
C:\WINDOWS\SYSTEM32\Userinit.exe
C:\WINDOWS\System32\cscript.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\dllhost.exe

sfc /scannow » В пуске -выполнить- и вводим sfc /scannow -ок или еще что-то нужно будет. Я никогда раньше не делала восстановление, извиняюсь, если вопрос покажется глупым

Pili, проверить системные файлы, особенно те, что числятся в автозагрузке, на virustotal.com
Просто скопировать файлы и отправить? Как это сделать? Может на форуме есть ссылка по этим правилам

[q=Pili]Все файлй во временной папке можете удалить » Ежеле честно, не знаю как удалятьи боюсь удалить лишнее .
Cleaner скачала, где нужно галочку постаитьчтобы не стереть все подряд

В пуске -выполнить- и вводим sfc /scannow -ок »
всё правильно :) потребуется установочный диск. Доп-но Способы восстановления системы (http://forum.oszone.net/thread-48381.html)
Как это сделать? »
http://www.virustotal.com/ru/ - обзор, находите файлы, нажимаете "отправить файл", результаты тестирования будут отображены в окне, рез-ты проверки сист.файлов д.б. 0/37
Ежеле честно, не знаю как удалятьи боюсь удалить лишнее . »
Лишнее из папок Temp удалить легко, т.к. туда обычно не записывается что-то нужное :) Можете удалять.
Как удалить файлы с помощью ATF Cleaner (http://www.atribune.org/ccount/click.php?id=1) описано в правилах (http://forum.oszone.net/thread-98169.html) в самом начале.

Pili, спасибо

потребуется установочный диск »
с этим проблемно, диска нет у меня...

с этим проблемно, диска нет у меня... »
Доп-но Способы восстановления системы (http://forum.oszone.net/thread-48381.html) »
там есть Тема про sfc на форуме (http://forum.oszone.net/showthread.php?t=40792)

C:\WINDOWS\SYSTEM32\Userinit.exe »
вопрос, конечно, тупой. Но я не могу найти этот файл... окрыла SYSTEM32 а дальше потерялась...........

Ура, нашла, отправила, пока проверила 2, все чисто, теперь бы с восстановлением системы разобраться:)

рано радовалась Win32.Malware.gen!90 (suspicious)? что это и еще Sunbelt 3.1.1832.2 2008.12.01 BehavesLike.Win32.Malware (v)

Ну вот 3 из четырех проверенных оказались больные Malware.gen , Virus.Win32.SdBot BehavesLike.Win32.Malware (v)я так понимаю это все вирусы коии кис не видит. И как их выковыривать?

Pili, в ATF Cleaner если ставлю галочку напротив Select All , то галочки автоматически ставятся напротив всех имеющихся строк, убрать их и оставить только напротив этой?

Win32.Malware.gen!90 (suspicious)? что это и еще Sunbelt 3.1.1832.2 2008.12.01 BehavesLike.Win32.Malware (v) »
suspicious - это значит "подозрительный", результат работы эвристики, возможно фолс (ложное срабатывание), после лечения системного файла такое может быть, для более точного определения можете отправить файлы в архиве с паролем virus на newvirus@kaspersky.com
И как их выковыривать? »
лучше всего восстановить системные файлы - sfc /scannow и установить SP3 и все остальные обновления.
ставлю галочку напротив Select All , то галочки автоматически ставятся напротив всех имеющихся строк »
так и должно быть.

Pili, спасибо. Насчет sfc /scannow »
если нет диска можно просто сделать восстановление более раннего состояния компьютера? Или это будет не то?

Sunbelt 3.1.1832.2 2008.12.01 BehavesLike.Win32.Malware (v) »
это тоже просто подозрения или это может быть уже реальные вирусы.
Странно, но самый главныый, который и был заражен Tenga оказался обсалютно чистым, а на другие одна запись да была..........

если нет диска можно просто сделать восстановление более раннего состояния компьютера? Или это будет не то? »
Не то., в теме про sfc (http://forum.oszone.net/showthread.php?t=40792) есть методика без использования установочного диска.
это тоже просто подозрения или это может быть уже реальные вирусы. »
Могут быть и реальные вирусы.для более точного определения можете отправить файлы в архиве с паролем virus на newvirus@kaspersky.com »

Pili, отправила подозрительный файл на mailto:newvirus@kaspersky.com. Ответили, что все чисто, гадов нет. У меня следующий вопрос нужно ли вообще восстанавливать системные файлы, если все в данный момент работает? Как определить необходимость восстановления файлов?