-
Junior Member
- Вес репутации
- 48
Заражение и последствия apppatch\pbereil.dat
Здравствуйте, уважаемые Хелперы! Недавно подхватил троянца, естественно в Интернете.
Симптомы: не открывались многие сайты, в частности ваш, сайты антивирусов и др. Самопроизвольно закрывался Internet Explorer.
Сначала думал просто глючит, потом решил обновить до IE8 – не помогло. Понял, что дело нечисто, решил обновить Винду – на удивление помогло. Но ещё до этого заметил появившийся процесс userinit.exe, которого раньше не было со странной ссылкой на C:\Windows\apppatch\pbereil.dat – стало ясно вот он засланец. Просто так удалять не стал, мало ли что. Прогнал Avira AntiVir и Dr.Web CureIt! по полной, но они на эту штуку не реагировали. Попробовал AVZ, он указал на pbereil.dat, не стал удалять, так как я раньше с этой программой не работал. Через несколько дней обновил антивирусы и CureIt! наконец-то его удалил.
Сейчас видимых проблем нет. Но AVZ выдаёт подмены адресов и др. Кроме того, в реестре в разделе HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon до сих пор торчит параметр 5464d5a3 со значением C:\Windows\apppatch\pbereil.dat. И ещё в брандмауэре, в исключениях, появилась программа ENABELE ссылается на C:\Windows\System32\winlogon.exe. Не знаю, связано ли это с предыдущим или это что-то ещё.
Прошу помощи устранить последствия заражения и проверить, нет ли ещё чего-нибудь. Хотелось бы знать, что делает этот зловред, может надо пароли менять? Спасибо!
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) Chubus, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Пофиксите в HiJack
Код:
F2 - REG:system.ini: Shell=C:\windows\explorer.exe
F2 - REG:system.ini: UserInit=C:\Windows\system32\userinit.exe
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\recinfo\recinfo.exe','');
DeleteFile('c:\recinfo\recinfo.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','recinfo');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(16);
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 48
Всё сделал. Карантин закачал. Новые логи тоже. Но сразу могу сказать что recinfo.exe - это фирменое сообщение Fujitsu о возможности создания резервной копии ОС - каждый раз появляется при загрузке. После удаления, естественно, не появилось. Но проверьте конечно.
-
Сообщение от
Info_bot
Кроме того, в реестре в разделе HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon до сих пор торчит параметр 5464d5a3 со значением C:\Windows\apppatch\pbereil.dat.
Удалите параметр вручную. Подобные параметры не видит ни одна утилита разных авторов
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 48
Добрый день! Параметр удалил, но логи от этого чище не стали (прилагаю). Чё делать будем? Кстати можно восстановить recinfo.exe и профиксиные строки?
-
AVZ - Файл - Просмотр карантина - Восстановить
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 48
Проблема осталась. Что ещё можно сделать?
-
Маскировки на Vista - привычное дело
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 3
- В ходе лечения вредоносные программы в карантинах не обнаружены
-