Троян в explorer.dll

**Yad** · 16.06.2008, 14:50

Вобщем утро началось с того, что вывалился скринсейвер с надписью, что есть трояны и нужно поставить антивирус

Symantec 11 не нашел ничего, DrWeb и AVZ нашли в explorer.dll, далее посмотрел реестр вычистил от всяких путей c userinit.exe в локальных папках юзеров... после перезагрузки опять все заново... вот логи:

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Гриша** · 16.06.2008, 15:06

Отключите восстановление системы,антивирус и интернет!

Пофиксить

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\drivers\services.exe
O2 - BHO: Std plugin - {096059FD-99AB-41eb-9E55-59AEB0A3B444} - roadmap16.dll (file missing)
O4 - HKLM\..\Run: [[system]] C:\WINDOWS\system32\drivers\services.exe
O4 - HKLM\..\Run: [winlogon] C:\Documents and Settings\ИБМ\svchost.exe
O4 - HKCU\..\Run: [[system]] C:\WINDOWS\system32\drivers\services.exe
O4 - HKCU\..\Run: [winlogon] C:\Documents and Settings\ИБМ\svchost.exe
O4 - Startup: userinit.exe

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 QuarantineFile('roadmap16.dll','');
 QuarantineFile('C:\WINDOWS\system32\userinit.exe','');
 QuarantineFile('C:\WINDOWS\system32\lphc5nuj0etdp.exe','');
 QuarantineFile('C:\Documents and Settings\ИБМ\Главное меню\Программы\Автозагрузка\userinit.exe','');
 QuarantineFile('C:\Documents and Settings\ИБМ\svchost.exe','');
 QuarantineFile('C:\Documents and Settings\LocalService\svchost.exe','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Fmt75.sys','');
 QuarantineFile('C:\DOCUME~1\80AA~1\LOCALS~1\Temp\catchme.sys','');
 QuarantineFile('C:\WINDOWS\system32\itcadvapi.dll','');
 QuarantineFile('C:\WINDOWS\system32\explorer.dll','');
 QuarantineFile('c:\windows\system32\drivers\services.exe','');
 TerminateProcessByName('c:\windows\system32\drivers\services.exe');
 DeleteService('catchme');
 DeleteService('Fmt75');
 DeleteService('Schedule');     
 DeleteFile('c:\windows\system32\drivers\services.exe');
 DeleteFile('C:\WINDOWS\system32\explorer.dll');
 DeleteFile('C:\DOCUME~1\80AA~1\LOCALS~1\Temp\catchme.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Fmt75.sys');
 DeleteFile('C:\Documents and Settings\LocalService\svchost.exe');
 DeleteFile('C:\Documents and Settings\ИБМ\svchost.exe');
 DeleteFile('C:\Documents and Settings\ИБМ\Главное меню\Программы\Автозагрузка\userinit.exe');
 DeleteFile('C:\WINDOWS\system32\lphc5nuj0etdp.exe');
 DeleteFile('roadmap16.dll');
 DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
 DelBHO('{096059FD-99AB-41eb-9E55-59AEB0A3B444}');     
BC_ImportALL;  
ExecuteSysClean;
BC_DeleteSvc('catchme ');
BC_DeleteSvc('Fmt75 ');
BC_DeleteSvc('Schedule ');    
BC_Activate;
RebootWindows(true);
end.

Пришлите карантин по правилам и повторите логи.

**Yad** · 16.06.2008, 16:05

После выполнения скриптов exe-шники перестали запускаться вобще... Восстановил с помощью скрипта во вложении - WinXP_EXE_Fix...
По новым логам C:\WINDOWS\system32\itcadvapi.dll - остался вроде...

**akok** · 16.06.2008, 17:36

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('C:\WINDOWS\system32\itcadvapi.dll','');
 QuarantineFile('C:\WINDOWS\system32\blphc5nuj0etdp.scr','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\itcscrpt.sys','');
 BC_ImportQuarantineList;
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил

**PavelA** · 16.06.2008, 17:55

Вот эти два файлика пришли на проверку через помещение в карантин AVZ:
C:\WINDOWS\system32\blphc5nuj0etdp.scr
C:\WINDOWS\system32\userinit.exe

**Yad** · 17.06.2008, 09:43

Отправил карантин после выполнения последнего скрипта...

**V_Bond** · 17.06.2008, 09:52

C:\WINDOWS\system32\blphc5nuj0etdp.scr - программа шутка (хранитель экрана имитирующий синий экран)
userinit.exe - пришлите , или он не добавляется в карантин ?

**PavelA** · 17.06.2008, 09:58

'C:\WINDOWS\system32\blphc5nuj0etdp.scr' potentially unwanted program Joke-Bluescreen по McAfee
т.е. можно при желании удалить.

C:\WINDOWS\system32\Drivers\itcscrpt.sys - чистый.

**Yad** · 17.06.2008, 10:26

Userinit не добавляется в карантин, он попал в самый первый карантин, я его отсылал вроде, сейчас такого файла нет вроде... но вышлю из вчерашнего еще раз...
А что за файл
C:\WINDOWS\system32\itcadvapi.dll

АVZ и сейчас красным его показывает с подозрением на кейлогер...

**PavelA** · 17.06.2008, 10:43

ViPNet CryptoProvider Supporter - C:\WINDOWS\system32\itcadvapi.dll
это вот от этой программы.

**Yad** · 17.06.2008, 12:34

Все понял, тогда пусть остается... Спасибо

**CyberHelper** · 22.02.2009, 05:58

Статистика проведенного лечения:

Получено карантинов: 3
Обработано файлов: 25
В ходе лечения обнаружены вредоносные программы:
1. c:\\windows\\system32\\userinit.exe - Trojan-Downloader.Win32.Agent.nzo (DrWEB: Trojan.DownLoader.62860)

Троян в explorer.dll (заявка № 24680)

Опции темы

Троян в explorer.dll

Итог лечения

Похожие темы

Оперативная память = explorer.exe троян

Троян в процессе explorer.exe

explorer.exe(264) - троян

Explorer.exe скачивает троян (заявка №111735)

Ваши права в разделе