Аваст при загрузке нашел этого гада, но ни чего сделать не может. Не перемещает, не удаляет. Пишет невозможно обработать файл C:\WINDOWS\SYSTEM32\USER32.DLL т.к. имеет атрибут "Только для чтения" Посоветуйте как его убить, гада.
Ну смени атрибуты файла и удали, только, думаю не в этом дело.
Надежнее всего загрузиться с загрузочного СД, а потом либо удалить этот файл, либо запустить антивирусный сканер, например от доктора веба, бесплатный, скачивается с их сайта.
Однако должен сказать, что это нормальный файл, системный. Он может быть заражен и неизлечим, тогда его можно удалить, но переписать заведомо годный, с дистрибутива. ПМСМ.
Я его нашел. Если с ноута взять такой же, а этот удалить, как думаешь, прокатит? Он на компе не для чтения, а архивный.
Я его нашел. Если с ноута взять такой же, а этот удалить, как думаешь, прокатит? Он на компе не для чтения, а архивный.Этот не удалять а скопировать куда-нибудь чтоб если ноутовский не прокатит (хотя должен прокатить) заменить обратно. Винда то какая?
Вот он драйвер этот.
http://www.givemefile.ru/dll/dll_17596.html
http://www.dllka.ru/dll/U/user32.dll.html
Вы сначала сравните эти файлы, т.е. в свойствах посмотрите их объём, дату изменения.
Если не хотите удалять сразу, то в safe mode переименуйте повреждённый и подсуньте нормальный файл.
Если вы на своем диске С: обнаружили файл marioforever.exe или с недавних пор, компьтер отказывается загружатся (грузится винда, потом перезагрузка) - я вас поздравляю, вы таки получили новую заразу-зловреда. Соответвенно читаем дальше и пытаемся ее побороть Сразу скажу, на сегодня информации по этой хрени почти нет, Касперский и Др. Веб ее не ловят (Нортон возможно ловит, по крайней мере у них есть инфа о этом вирусе).
Первую инфу, о проблеме, мне подкинул Олег-Innuendo, я если честно внимания на нее не сильно обратил (понадеявшись на крутой антивирь), а как оказалось зря Вирус толи очень умный, толи талантливый человек писал. Столько дырок в винде/антивире предусмотрел, что мама-дорогая... Ну да я не програмист и не хакер, подробности мне не нужны. Посему расказываю как данную заразу побороть. Вариантов тут 2-ва. Ваш комп грузится и не грузится. Будем говорить о втором. Итак, вам нужен диск с Live CD (винда грузящаяся с СД), Hirent Boot CD или подобные диски - смысл загрузится и увидить свой диск С (как вариант снять винчестер и прицепить его к другому компу, это кому как нравится). Неплохо иметь файлик user32.dll с компа, где версия винды совпадает с вашей (может и не понадобится, если у вас качаются автообновления винды или вы накатывали вручную сервиспаки, тогда этот файл можно найти поиском и на поврежденной машине). Далее всё просто, копируем user32.dll в дирректорию c:\windows\system32 (если там уже что-то есть, стираем - ибо файл заражен). В этой же дирректории ищем файл cls.exe и nvaux32.dll (плюс пару файлов, назввание которых меняется, но дата создания совпадается с датой у cls.exe) - эти файлы (примерно 5-6 штук должно получится), стираем нафиг. Далее запускаем поиск по всем доступным дискам, ищем файл marioforever.exe. Все найденные файлы удаляем (кто хочет потрахаться, может себе сохранить для анализа ). Всё, перегружаемся и смотрим на результат.
Ссылки по теме:
http://sysadmins.ru/post8172698.html#8172698
http://safe.cnews.ru/bugtrack/entry/ind ... /14/108197
З.Ы. Крайне рекомундуется не работать под правами локального админа это раз или хотябы не делать пустой пароль
З.З.Ы. особенно внимательно надо подойти к вопросу тем, кто работает в локалках (дома, на работе, вай-фай там всякий и прочее...) по ним эта зараза и распростроняется.
Еще добавлю, что утилитка curiet.exe от Dr.Web в безопасном режиме может исцелить файл user32.dll, но насколько успешно - х.з.
Большое спасибо всем. Пока обошелся малой кровью. Переименовал зараженный, перенес в хранилище и на его место подсунул здоровенького с ноута. Пока вроде все в порядке. У меня на ноуте стоит касперский, а дома аваст халявный. Аваст гада нашел, но ни чего с ним сделать не смог и висел объявлением о Win32:SysPatch [Wrm]. Ни куда не убирался и не сворачивался. Но грузится винда пока нормально. Правда немного печалит, что при сравнении размеров файлов расхождений не выявлено. Где ж он тогда жил?
а ты думаешь вири пишут бакланы? ессно, он набит NOPами для совпадания размеров 😊. ты их в шестнадцатеричном редакторе сравни 😊
а ты думаешь вири пишут бакланы?
..а я бы этим "бакланам" ласты-то пооткрутил бы! 😲
в очередь 😊
кста. ежели открутить руки-ноги вирусописателям, то так называемым "специалистам по IT безопасности" станет нечего кушать, вы не находите связи? 😀
кста. ежели открутить руки-ноги вирусописателям, то так называемым "специалистам по IT безопасности" станет нечего кушать, вы не находите связи?Ясно, кортельный сговор. 😛