Здраствуйте, появился баннер требующий отправить деньги на WebMoney счет. Он полностью блокирует работу компьютера и в обычном и безопасном режиме. Читал совет написанный в этой теме - http://virusinfo.info/showthread.php?t=106142
Значения параметров shell и userinit у меня вот такие:
shell Explorer.exe
Userinit C:\WINDOWS\userinit.exe,
Что мне делать?
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Смена даты не помогла.
С помощью LiveCD заменил файл userinit.exe (который "весил" 407Кб) файлом с работающего компьютера ("вес" 26 КБ). Теперь запускается и работает все нормально, но во время загрузки выскакивает какое-то окошко с кнопкой "ок". Отношения к системе он явно не имеет - видимо остатки этой гадости. Помогите ее добить, логи прилагаются.
begin
searchrootkit(true,true);
SetAVZGuardStatus(True);
QuarantineFile('c:\WINDOWS\userinit.exe','');
QuarantineFile('c:\documents and settings\pg_b\application data\netprotdrvss.exe','');
QuarantineFile('c:\documents and settings\pg_b\application data\netprotocol.exe','');
QuarantineFile('c:\documents and settings\pg_b\local settings\temporary internet files\content.ie5\lmx33vkq\netprotocol[2].exe','');
QuarantineFile('c:\documents and settings\pg_b\local settings\temporary internet files\content.ie5\lmx33vkq\game[1].exe','');
DeleteFile('c:\WINDOWS\userinit.exe');
DeleteFile('c:\documents and settings\pg_b\application data\netprotdrvss.exe');
DeleteFile('c:\documents and settings\pg_b\application data\netprotocol.exe');
DeleteFile('c:\documents and settings\pg_b\local settings\temporary internet files\content.ie5\lmx33vkq\netprotocol[2].exe');
DeleteFile('c:\documents and settings\pg_b\local settings\temporary internet files\content.ie5\lmx33vkq\game[1].exe');
DeleteFile('c:\program files\common files\keylog.txt');
DeleteFile('c:\WINDOWS\system32\lowsec\user.ds');
DeleteFile('c:\WINDOWS\system32\lowsec\local.ds');
BC_ImportAll;
ExecuteSysClean;
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
ExecuteWizard('TSW',2,2,true);
ExecuteWizard('SCU',2,2,true);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы.
В mbam удалите:
Код:
Зараженные ключи в реестре:
HKEY_CLASSES_ROOT\AppID\{B0ED4726-5BC8-4E22-A7A8-3074A73CE64E} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{1094613F-84B6-4131-AEC1-71DF88291044} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\TypeLib\{3A596471-ECBE-4AEE-B543-79AE8C8FF7A9} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{047D87FD-BFC5-4AC3-9AD3-ACECC7B49016} (Trojan.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{1094613F-84B6-4131-AEC1-71DF88291044} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{8E569E70-9E91-4CF9-820C-99DDC3A05A0C} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{8E569E70-9E91-4CF9-820C-99DDC3A05A0C} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{BEFC54BA-36EB-4CFC-BA55-587361577A26} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{FF4EC53A-CA51-9A39-6CDD-5FFB26FB445C} (Spyware.Bividon) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127AD2-394B-70F5-C650-B97867BAA1F7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127AD2-394B-70F5-C650-B97867BAA1F7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494E6CEC-7483-A4EE-0938-895519A84BC7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494E6CEC-7483-A4EE-0938-895519A84BC7} (Backdoor.Bot) -> No action taken.
HKEY_CLASSES_ROOT\xvideoplugin.JetMimeFiltr (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\xvideoplugin.JetMimeFiltr.1 (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\xvideoplugin.JetVideoPlugin (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\xvideoplugin.JetVideoPlugin.1 (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\AppID\pllib.DLL (Trojan.BHO) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\StimulProfit (Adware.Agent) -> No action taken.
Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> Value: option_1 -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> Value: option_2 -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> Value: option_3 -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\UID (Malware.Trace) -> Value: UID -> No action taken.
Объекты реестра заражены:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Heuristics.Reserved.Word.Exploit) -> Bad: (C:\WINDOWS\userinit.exe) Good: () -> No action taken.
Зараженные папки:
c:\program files\common files\wm\keys (Trojan.KeyLog) -> No action taken.
c:\WINDOWS\system32\lowsec (Stolen.data) -> No action taken.
Закачал карантин:
Результат загрузки
Файл сохранён как 110726_195854_quarantine_4e2f1c7e28ff2.zip
Размер файла 3112
MD5 299374a2eb7e1e24b3d991135c1a649d
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: