Показано с 1 по 9 из 9.

Explorer.exe:userini.exe в автозагрузке (заявка № 121491)

  1. #1
    Junior Member Репутация
    Регистрация
    08.06.2012
    Сообщений
    18
    Вес репутации
    44

    Thumbs up Explorer.exe:userini.exe в автозагрузке

    Уже давно наблюдаю в автозагрузке 2 файла C:\WINDOWS\explorer.exe :userini.exe и один файл fsm без указания пути. Дата создания - каждый раз сегодняшнее число. Никаких проблем в работе нет. Nod32, CureIt, Kaspersky ничего не находят. Что это может быть?
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) khk8, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  5. #4
    Junior Member Репутация
    Регистрация
    08.06.2012
    Сообщений
    18
    Вес репутации
    44
    Заметила, что AVZ и Hijackthis нужно запускать с правами администратора. Прикладываю новые логи.
    Вложения Вложения

  6. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Дeнис
    Регистрация
    06.10.2011
    Адрес
    Россия
    Сообщений
    2,607
    Вес репутации
    138
    khk8,
    Здравствуйте!

    1.Отключите Антивирус/Фаервол.

    2.Выполните скрипт в AVZ

    Код:
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\ieunitdrf.inf','');
     QuarantineFile('C:\WINDOWS\system32\RegEx.fnr','');
     QuarantineFile('C:\WINDOWS\system32\og.EDT','');
     QuarantineFile('C:\WINDOWS\system32\og.dll','');
     QuarantineFile('C:\WINDOWS\system32\krnln.fnr','');
     QuarantineFile('C:\WINDOWS\system32\eAPI.fne','');
     QuarantineFile('C:\Documents and Settings\Jenya\Application Data\wiaserva.log','');
     QuarantineFile('C:\Documents and Settings\Jenya\Application Data\fieryads.dat','');
     QuarantineFile('C:\Documents and Settings\Jenya\Application Data\avdrn.dat','');
     QuarantineFile('C:\WINDOWS\system32\dp1.fne','');
     QuarantineFile('C:\WINDOWS\system32\ul.dll','');
     QuarantineFile('C:\WINDOWS\explorer.exe:userini.exe','');
     DeleteFile('C:\WINDOWS\system32\ieunitdrf.inf');
     DeleteFile('C:\WINDOWS\explorer.exe:userini.exe');
     DeleteFile('C:\WINDOWS\system32\RegEx.fnr');
     DeleteFile('C:\WINDOWS\system32\og.EDT');
     DeleteFile('C:\WINDOWS\system32\og.dll');
     DeleteFile('C:\WINDOWS\system32\krnln.fnr');
     DeleteFile('C:\WINDOWS\system32\eAPI.fne');
     DeleteFile('C:\Documents and Settings\Jenya\Application Data\wiaserva.log');
     DeleteFile('C:\Documents and Settings\Jenya\Application Data\fieryads.dat');
     DeleteFile('C:\Documents and Settings\Jenya\Application Data\avdrn.dat');
     DeleteFile('C:\WINDOWS\system32\dp1.fne');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки!


    3.Пришлите карантин согласно Приложения 2 правил по красной ссылке
    Прислать запрошенный карантин вверху темы

    4.Пофиксите в HijackThis что осталось:


    Код:
    O2 - BHO: Babylon toolbar helper - {2EECD738-5844-4a99-B4B6-146BF802613B} - (no file)
    O2 - BHO: (no name) - {39AA6D29-4236-4F25-A36A-3410EF5283D9} - (no file)
    O2 - BHO: Доступ к платному контенту FieryAds v2.0.2 - {6D125299-C2A9-4DBC-BEC3-6F7124E39A41} - (no file)
    O2 - BHO: (no name) - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
    O2 - BHO: (no name) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - (no file)
    O4 - HKLM\..\Policies\Explorer\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe
    O4 - HKUS\S-1-5-21-1004336348-789336058-682003330-1004\..\Policies\Explorer\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe (User 'Jenya')
    5.Удалите в MBAM только указанные строки

    Код:
    Обнаруженные ключи в реестре:  6
    HKCR\CLSID\{6D125299-C2A9-4DBC-BEC3-6F7124E39A41} (Adware.FieryAds) -> Действие не было предпринято.
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6D125299-C2A9-4DBC-BEC3-6F7124E39A41} (Adware.FieryAds) -> Действие не было предпринято.
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6D125299-C2A9-4DBC-BEC3-6F7124E39A41} (Adware.FieryAds) -> Действие не было предпринято.
    HKCU\SOFTWARE\AdTools, Inc. (Adware.AdTools) -> Действие не было предпринято.
    HKCU\SOFTWARE\HiSoft\CrackDownloader (CrackTool.Agent) -> Действие не было предпринято.
    HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ZWANKYSEARCH_SERVICE (Adware.ZwankySearch) -> Действие не было предпринято.
    
    Обнаруженные параметры в реестре:  3
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run|userini (Trojan.Agent) -> Параметры: C:\WINDOWS\explorer.exe:userini.exe -> Действие не было предпринято.
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run|userini (Trojan.Agent) -> Параметры: C:\WINDOWS\explorer.exe:userini.exe -> Действие не было предпринято.
    
    Объекты реестра обнаружены:  1
    HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
    
    Обнаруженные папки:  1
    C:\Documents and Settings\Jenya\Application Data\FieryAds (Adware.FieryAds) -> Действие не было предпринято.
    C:\WINDOWS\system32\dp1.fne (Worm.Autorun) -> Действие не было предпринято.
    C:\Documents and Settings\Jenya\Application Data\avdrn.dat (Malware.Trace) -> Действие не было предпринято.
    C:\Documents and Settings\Jenya\Application Data\fieryads.dat (Adware.FieryAds) -> Действие не было предпринято.
    C:\Documents and Settings\Jenya\Application Data\wiaserva.log (Malware.Trace) -> Действие не было предпринято.
    C:\WINDOWS\system32\eAPI.fne (Worm.AutoRun) -> Действие не было предпринято.
    C:\WINDOWS\system32\krnln.fnr (Trojan.Agent) -> Действие не было предпринято.
    C:\WINDOWS\system32\og.dll (Worm.AutoRun) -> Действие не было предпринято.
    C:\WINDOWS\system32\og.EDT (Worm.AutoRun) -> Действие не было предпринято.
    C:\WINDOWS\system32\RegEx.fnr (Worm.AutoRun) -> Действие не было предпринято.
    C:\WINDOWS\system32\ul.dll (Worm.AutoRun) -> Действие не было предпринято.
    C:\WINDOWS\system32\ieunitdrf.inf (Malware.Trace) -> Действие не было предпринято.
    ____________________


    Сделайте новые логи по правилам!
    Сделайте лог RSIT
    Последний раз редактировалось Никита Соловьев; 17.06.2012 в 00:42. Причина: обновление в конце

  7. #6
    Junior Member Репутация
    Регистрация
    08.06.2012
    Сообщений
    18
    Вес репутации
    44
    Карантин выслала. Explorer.exe:userini.exe из автозагрузки исчез, комп стал быстрее включаться, раньше при подключении к интернету иногда подвисал на несколько секунд, сейчас вроде перестал. Но файл FSM без указания пути к файлу так и остался в автозагрузке.

  8. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Дeнис
    Регистрация
    06.10.2011
    Адрес
    Россия
    Сообщений
    2,607
    Вес репутации
    138

  9. #8
    Junior Member Репутация
    Регистрация
    08.06.2012
    Сообщений
    18
    Вес репутации
    44
    Огромное спасибо за помощь! Архив отправила:
    Файл сохранён как 120617_133738_virusinfo_files_HOMECOMP_4fdddda2707 d3.zip
    Размер файла 6694655
    MD5 c8442cde124350a0ecf4f024c71cfe84

  10. #9
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 35
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) khk8, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. explorer.exe:userini.exe
      От AshBringer в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 26.03.2011, 02:44
    2. explorer.exe:userini.exe
      От Igor Daiko в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 26.02.2011, 17:46
    3. explorer.exe : userini.exe
      От L.cbr в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 18.05.2010, 10:10
    4. explorer.exe:userini.exe
      От StealtH7 в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 08.03.2010, 18:25
    5. explorer.exe:userini.exe или просто userini.exe
      От Darzok в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 27.01.2010, 01:37

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01642 seconds with 20 queries