Tenga!! Прошу помощи в нейтрализации гада!
 

Несколько дней назад на копмьютер обрушился вирус и буквально. Сразу убил Авиру несмотря на то, что база была только обнавлена и вывел попросту из строя весь компьютер. Он вообще перестал загружаться . Загрузить удалось только в безопасном режиме ито работало не все и плохо. Загрузила с диска какой-то сканер с устаревшими базами, естественно, т.к диск лежал на полке уже год. Он таки обнаружил ну очень!!! много зараженных файлов , многие вычестил. Кое как сегодня загрузила обычную загрузку и благодаря друзьям установила пробную версию Kis , обновила базу и провела полную проверку . Он тоже много чего нашел и вылечил, но вот " обнаружен вирус userint.exe/userint.exe содержит вирус win32 Tenga.a" не выличить не удалить не предлагает т.к пишет, что недостаточно места на диске для создания резервной копии или что-то в этом роде. После нескольких перегрузок вроде написал, что удалил и создал резервную копию, а после последней проверки опять выдал этот вирус. Причем после загрузки компьютера интернет вообще не работает пока быструю проверку не проведешь. Он блокирует чтоли его временно?...?. Может и еще что-то не работает (пока просто не проверила остальные программы) и еще при нахождении вирусов он предлагает их удалить или вылечить файл, а обнаружил целую кучу уязвимостей разного рода и не предлагает с ними ничего делать? Что нужно делать и как убить дрянь в компе?

Лина,
Удалите пожалуйста Avira и NOD.

Severny, я их вроде удалила через установку и удалении программ,когда kis устанавливала. Их там не отображается. Как удалить если что-то осталось?

Вновь установила, а потом деинсталировала и нод и авиру. Должно вроде все очиститься. Вот еще раз логи. Нейжели эта гадина непобедима?

Лина, MyCentria удалите через установку/удаление программ
Выполните скрипт в AVZ
От Avira у вас остался работающий драйвер, если вы точно удалил AVIRA, выполните скрипт для очистки
Установите WindowsXP SP3 и все последующие обновления. Отключите все неиспользуемые службы. Включите брандмауэр (firewall), проверьте полностью систему и все флешки с помощью cureit, т.к. упомянутый вами вирус использует уязвимость DCOM RPC и заражает exe файлы, с помощью AVZ с ним бороться проблематично (тем более у вас по логам не сошлись по базе безопасных некоторые системные файлы, если они заражены, их удаление с помощью AVZ приведет к краху системы). По сути методика лечения та же, как и для лечения файловых вирусов, можете воспользоваться Dr.Web LiveCD, возможно, перед установкой SP3 потребуется восстановление системных файлов с помощью sfc /scannow

MyCentria удалите через установку/удаление программ
Такой не вижу нигде?

Pili, сейчас сделаю логи ,скачаю cureit и Dr.Web LiveCD, проверюсь им поочереди, затем нужно в пуске-выполнить и ввести sfc /scannow так? затем еще рах отправляю логи? Что-то не в той последовательности? Или нарушила алгоритм действий?

Pili, Dr.Web LiveCD обязательно запускать с диска, сейчас после очистки Kis c жесткого диска все загружается

Лина, Папка C:\Program Files \MyCentria\
Нет так нет, скриптом основное из системы удалилось, папку тоже можете удалить.
Это одно и тоже, воспользуйтесь чем то одним, после sfc /scannow можете поставить SP3, логи делать не надо, по ним чисто, с помощью AVZ нельзя лечить файловые вирусы, но иногда можно обнаружить заражение.

Pili, в папке то я его вижу, а в установке и удалении программ не высвечивается, как удалить чтобы удалилось все без осттка?
cureit начинает проверку и зависает на одном месте все время c:/...s/Temp/drw 00000 tmp/data/mov/disney.wav .
Вчера проверилась кисом, вроде не выдал ужеэтот зараженный файл , вначале в отчетах значилось 05.12.2008 18:17:43 Не вылечено: Virus.Win32.Tenga.a Userinit.exe\Userinit.exe Отложено
теперь написано05.12.2008 18:19:15 Удалено: Virus.Win32.Tenga.a Userinit.exe\Userinit.exe
05.12.2008 18:19:15 Задача завершена
.Значит ли это, что вирус удален или он может где-то переселиться. Как убедится в том, что системный вирус исчез полностью с компьютера?

в папке есть файл uninst.exe или похожий? можете запустить процедуру деинсталяции с помощью него, если скрипт выполняли, то основное уже удалилось.
Все файлй во временной папке можете удалить, и доп. очистите временные файлы с помощью ATF Cleaner и/или через Пуск-Программы-Стандартные-Служебные-Очистка диска, если будет зависать, можете использовать Dr.Web LiveCD
C:\WINDOWS\SYSTEM32\Userinit.exe - системный, если он заражен нужно взять с чистой системы или восстановить системные файлы с помощью sfc /scannow и далее установить SP3
проверить системные файлы, особенно те, что числятся в автозагрузке, на virustotal.com, например
C:\WINDOWS\SYSTEM32\Userinit.exe
C:\WINDOWS\System32\cscript.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\dllhost.exe

В пуске -выполнить- и вводим sfc /scannow -ок или еще что-то нужно будет. Я никогда раньше не делала восстановление, извиняюсь, если вопрос покажется глупым

Pili, [q=Pili]проверить системные файлы, особенно те, что числятся в автозагрузке, на virustotal.com
Просто скопировать файлы и отправить? Как это сделать? Может на форуме есть ссылка по этим правилам

Ежеле честно, не знаю как удалятьи боюсь удалить лишнее .
Cleaner скачала, где нужно галочку постаитьчтобы не стереть все подряд

всё правильно :) потребуется установочный диск. Доп-но Способы восстановления системы
http://www.virustotal.com/ru/ - обзор, находите файлы, нажимаете "отправить файл", результаты тестирования будут отображены в окне, рез-ты проверки сист.файлов д.б. 0/37
Лишнее из папок Temp удалить легко, т.к. туда обычно не записывается что-то нужное :) Можете удалять.
Как удалить файлы с помощью ATF Cleaner описано в правилах в самом начале.

Pili, спасибо

с этим проблемно, диска нет у меня...

там есть Тема про sfc на форуме

вопрос, конечно, тупой. Но я не могу найти этот файл... окрыла SYSTEM32 а дальше потерялась...........

Ура, нашла, отправила, пока проверила 2, все чисто, теперь бы с восстановлением системы разобраться:)

рано радовалась Win32.Malware.gen!90 (suspicious)? что это и еще Sunbelt 3.1.1832.2 2008.12.01 BehavesLike.Win32.Malware (v)

Ну вот 3 из четырех проверенных оказались больные Malware.gen , Virus.Win32.SdBot BehavesLike.Win32.Malware (v)я так понимаю это все вирусы коии кис не видит. И как их выковыривать?

Pili, в ATF Cleaner если ставлю галочку напротив Select All , то галочки автоматически ставятся напротив всех имеющихся строк, убрать их и оставить только напротив этой?

suspicious - это значит "подозрительный", результат работы эвристики, возможно фолс (ложное срабатывание), после лечения системного файла такое может быть, для более точного определения можете отправить файлы в архиве с паролем virus на newvirus@kaspersky.com
лучше всего восстановить системные файлы - sfc /scannow и установить SP3 и все остальные обновления.
так и должно быть.

Pili, спасибо. Насчет если нет диска можно просто сделать восстановление более раннего состояния компьютера? Или это будет не то?

это тоже просто подозрения или это может быть уже реальные вирусы.
Странно, но самый главныый, который и был заражен Tenga оказался обсалютно чистым, а на другие одна запись да была..........

Не то., в теме про sfc есть методика без использования установочного диска.
Могут быть и реальные вирусы.

Pili, отправила подозрительный файл на mailto:newvirus@kaspersky.com. Ответили, что все чисто, гадов нет. У меня следующий вопрос нужно ли вообще восстанавливать системные файлы, если все в данный момент работает? Как определить необходимость восстановления файлов?

Нет не обязательно, но вреда от sfc /scannow не должно быть, рекомендую установить WindowsXP SP3.
Обычно по логам, если не сошлись сигнатуры файлов с оригинальными, возможно из-за использования сборок, установки "украшательств", подменяющих часть системных файлов, файлового вируса или зловредов-патчеров.