Перейти к содержанию
СофтФорум - всё о компьютерах и не только

Win32/Pinit

Gololed
 Поделиться

Рекомендуемые сообщения

Gololed

Gololed

Опубликовано
Опубликовано

Постоянно, при обращении к любому приложению выскакивает такая вот запись:

вирус Win32/Pinit найден в оперативной памяти. NOD32 может очистить этот вирус. Никакое действие не может быть предпринято при проникновении в память. Нажмите Пропустить, чтобы продолжить и впоследствии запустить очистку всех локальных дисков. Инфeкция cиcтeмнoй пaмяти пpoиcxoдит из фaйлa C:\WINDOWS\system32\USER32.dll.

НОД ничего сделать не может, я тоже.

Поможите.

Логи прилагаю

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

Ссылка на комментарий
Поделиться на другие сайты
akoK

akoK

Опубликовано
Опубликовано

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginClearQuarantine;SearchRootkit(true, true);SetAVZGuardStatus(true);QuarantineFile('C:\WINDOWS\system32\USER32.dll','');QuarantineFile('C:\WINDOWS\system32\Drivers\iqvw32.sys','');QuarantineFile('C:\WINDOWS\system32\DRIVERS\vrtaucbl.sys','');QuarantineFile('C:\PROGRA~1\MP3TAG~1\tag_menu.dll','');BC_ImportQuarantineList;BC_Activate;RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@)

C:\WINDOWS\system32\USER32.dll - запакуйте отдельно в архив и пришлите.

Ссылка на комментарий
Поделиться на другие сайты
vovan_13.67

vovan_13.67

Опубликовано
Опубликовано

Добрый вечер. У меня аналогичная ситуация. Два компа дома стоят в одной сетке, на одном есть, на другом нет. Сообщение появилось три дня назад. За два дня до этого я поставил на комп, где появился вирус, пароль на вход в систему и запускал со второго компа удалённое управление рабочим столом. Сейчас запустил глубокий анализ. NOD вирус нашёл в двух местах в том же файле, пишет что будет удалён после перезагрузки. Посмотрим.

Ссылка на комментарий
Поделиться на другие сайты
akoK

akoK

Опубликовано
Опубликовано

Первый ответ пришел.

Здравствуйте.

В присланном Вами файле не найдено ничего вредоносного.

Обновления системы устанавливали?

P>S> Согласно http://www.virustotal.com НОД не реагирует...похоже фалс проактивки.

Ссылка на комментарий
Поделиться на другие сайты
Gololed

Gololed

Опубликовано
  • Автор
Опубликовано

akoK не очень пойму, кому отвечают.

Если файл безвреден, как "прибить" постоянные окна НОДа с предупреждениями? Предупреждения выскакивают при запуске любого приложения. Раздражает. Настраивать "не показывать предупреждения" не хочу, вдруг реальный зверь заведеться.

Поставил пока пробный Касперский 8.0, он тоже нашел этот pinit, пишет "вылечено". По крайней мере постоянные предупреждения глаз не мозолят.

Как вернусь на НОД, напишу, что и как, если кому интересно.

Ссылка на комментарий
Поделиться на другие сайты
hidden_

hidden_

Опубликовано
Опубликовано

Тоже схватил этот вирус, но вылечить удалось самостоятельно. Вопрос в другом, как он распространяется? У меня заразился сервак на котором точно никто в инет не залезал и никаких файлов не открывал. Как можно предотваратить повторное заражение? Nod правда сказал что это pinit.D червь, но по такому запросу поисковики вообще молчат. Надеюсь на помощь, спасибо.

Ссылка на комментарий
Поделиться на другие сайты
Gololed

Gololed

Опубликовано
  • Автор
Опубликовано

Вернулся на НОД, была версия 2.5 поставил 2.7 хотя вряд ли это что-то меняет. А действия я делал такие:

Касперским прошелся, он написал "вылечено"

Потом скрипт от akoK

Удалил KAV, поставил NOD, проверил снова - все чисто.

В общем кто меня спас KAV или akoK я так и не понял. ;)

Спасибо в любом случае за участие.

Ссылка на комментарий
Поделиться на другие сайты
akoK

akoK

Опубликовано
Опубликовано

Скорее всего КАВ...на какой файл он лечил?

Скорее всего использует уязвимоти.

Ссылка на комментарий
Поделиться на другие сайты
  • 1 месяц спустя...
saDam

saDam

Опубликовано
Опубликовано (изменено)

11.02.2009 19:41:27 Фильтр HTTP файл [удалено] Win32/Pinit.P червь соединение прервано - изолирован NT AUTHORITY\SYSTEM Обнаружена угроза при попытке доступа в Интернет следующим приложением: C:\WINDOWS\system32\svchost.exe

Далее выходит:

11.02.2009 19:41:56 Защита файловой системы в режиме реального времени файл C:\WINDOWS\TEMP\3D4.tmp Win32/Pinit.P червь очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло в новом файле, созданном следующим приложением: C:\WINDOWS\system32\svchost.exe.

C:\WINDOWS\TEMP\(С КАЖДЫМ ОБНУРУЖЕНИЕМ имя файла меняется!)

ЧТО ДЕЛАТЬ?

AVZ при всем стандартном юзал ничего не нашол при скане!

NEED HELP!

Изменено пользователем akoK
Ссылка на комментарий
Поделиться на другие сайты

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти
 Поделиться
Перейти к списку тем

  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
×
×
  • Создать...