Добрый день! Проблема с трояном в userinit.exe

**neuroVladimiR** · 04.08.2010, 17:21

Добрый день! Моя тема очень похожа вот на эту ))
Вчера утром включил компьютер, при загрузке оказался пустой рабочий стол! Принудительно выполнил explorer, система догрузилась. Решил проверить NOD32 систему, результат: троян в файле userinit.exe win32\kryptik.ftd, который мой антивирусник не смог удалить!
Вообщем, вышел на ваш сайт, подготовил отчёты!
Буду рад, если поможете )) Заранее спасибо!

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**olejah** · 04.08.2010, 17:28

Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление

Пофиксите в hijackthis -

Код:

R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - (no file)
R3 - URLSearchHook: (no name) - {9CB65206-89C4-402c-BA80-02D8C59F9B1D} - (no file)
R3 - URLSearchHook: (no name) -  - (no file)
R3 - URLSearchHook: (no name) - {95289393-33EA-4F8D-B952-483415B9C955} - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,

Выполните скрипт в АВЗ -

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 DeleteFile('C:\WINDOWS\Tasks\Error scan.job');
 QuarantineFile('C:\DOCUME~1\1\LOCALS~1\Temp\oUltraf.sys','');
 QuarantineFile('C:\WINDOWS\system32\userinit.exe','');
 QuarantineFile('C:\DOCUME~1\1\LOCALS~1\Temp\pabuu.exe','');
 QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
 DeleteFile('C:\WINDOWS\system32\sdra64.exe');
 DeleteFile('C:\DOCUME~1\1\LOCALS~1\Temp\pabuu.exe');
 BC_ImportAll;
 ExecuteSysClean;
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');            
 ExecuteWizard('TSW',2,2,true);
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

- Повторите логи

**neuroVladimiR** · 04.08.2010, 18:55

Сообщение от Olejah

Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

- Повторите логи

Файл закачал
Простите за мою компьютерную неграмотность, но что нужно сделать: "повторите логи"? ))

**thyrex** · 04.08.2010, 19:22

Сообщение от neuroVladimiR

ростите за мою компьютерную неграмотность

Еще раз выполнить сбор логов по правилам раздела Диагностика

**neuroVladimiR** · 04.08.2010, 20:00

Сообщение от thyrex

Еще раз выполнить сбор логов по правилам раздела Диагностика

Спасибо ))

**olejah** · 04.08.2010, 21:15

Выполните скрипт в АВЗ -

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 if FileExists('C:\WINDOWS\system32\digeste.dll') then
 begin             
 QuarantineFile('C:\WINDOWS\system32\digeste.dll','');
 DeleteFile('C:\WINDOWS\system32\digeste.dll');               
 AddToLog('File Exists');
 end else
 AddToLog('File does not Exists');          
 SaveLog(GetAVZDirectory + 'avz.log');  
 BC_ImportAll;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine2.zip'); 
 end.

Пришлите файл quarantine2.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

- Файл avz.log из папки с АВЗ прикрепите к следующему сообщению.

- Скачайте RSIT. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

**neuroVladimiR** · 05.08.2010, 04:11

Сообщение от Olejah

Пришлите файл quarantine2.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

- Файл avz.log из папки с АВЗ прикрепите к следующему сообщению.

- Скачайте RSIT. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

Сделано ))

**polword** · 05.08.2010, 04:31

- Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
 QuarantineFile('C:\WINDOWS\system32\stu2.exe','');
 DeleteFileMask('C:\WINDOWS\system32\lowsec', '*.*', true);
 DeleteDirectory('C:\WINDOWS\system32\lowsec');
 RegKeyStrParamWrite( 'HKLM', 'system\currentcontrolset\control\securityproviders', 'SecurityProviders', 'msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll');
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteWizard('SCU', 2, 2, true);
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторный лог RSIT

**neuroVladimiR** · 05.08.2010, 04:48

Сообщение от polword

Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторный лог RSIT

Выполнено

**polword** · 05.08.2010, 09:28

в логе чисто

**neuroVladimiR** · 06.08.2010, 07:00

А антивирусник всё равно указывает на инфицированный файл...

**olejah** · 06.08.2010, 07:06

Расскажите поподробней, что за файл, какой к нему путь.

Добавлено через 3 минуты

И я что-то не понял, зачем Вы quarantine.zip запихиваете ещё в virus.zip. Пришлите все архивы quarantine.zip как есть, без ещё одного архивирования.