TXplatform и user.ini, не устанавливается касперский

[Nepacaka]

Здарвствуйте, случилась такая беда, закрыл на минуту касперского и сразу же словил вируса, после перезагрузки касперский стерся и перестал устанавливаться, в автозагрузке, службах и диспетчере задач странные файлы TXplatform и user.ini (иногда user.ini.exe) дублируются несколько раз, пока боролся с ними стирая из автозагрузки и реестра, экзешники заражены все, Cureit новый их только удаляет, во всех папках продублированы файлы desktop_1.ini и desktop_2.ini, записываются по новой после перезагрузки.
терять экзешники не хочу, прошу помощи, если есть способ восстановить экзешники без удаления буду признателен.

[Ingener]

1) Пофиксите в HijackThis:

Код:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://search.qip.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.qip.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.qip.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.qip.ru
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = start.qip.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.qip.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.qip.ru/search?query=%s&from=IE
O4 - HKLM\..\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe
O4 - HKCU\..\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe
O4 - HKCU\..\Run: [Explorer] C:\WINDOWS\system32\drivers\TXPlatformm.exe
O4 - HKLM\..\Policies\Explorer\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe
O4 - HKCU\..\Policies\Explorer\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)

2) Выполните скрит в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
 TerminateProcessByName('c:\windows\system32\drivers\txplatformm.exe');
 QuarantineFile('C:\WINDOWS\explorer.exe:userini.exe:$DATA','');
 DeleteService('qq2');
 QuarantineFile('C:\Program Files\Internet Explorer\002.tmp','');
 DeleteService('autorun');
 QuarantineFile('C:\huadio.tmp','');
 QuarantineFile('c:\windows\system32\drivers\txplatformm.exe','');
 DeleteFile('c:\windows\system32\drivers\txplatformm.exe');
 DeleteFile('C:\huadio.tmp');
 DeleteFile('C:\Program Files\Internet Explorer\002.tmp');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Explorer');
 DeleteFile('C:\WINDOWS\explorer.exe:userini.exe:$DATA');
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(9);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
3) Затем выполните второй скрипт в AVZ:

Код:

begin 
ExpRegKey('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options','Image File Execution Options.reg');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки с AVZ закачайте по ссылке "прислать запрошенный карантин" вверху темы.
Файл Image File Execution Options.reg из папки с AVZ приложите к вашему следующему сообщению.
4) Обязательно обновите базы AVZ.
5) Повторите логи.

[Nepacaka]

вроде все сделал, только файл quarantine.zip не могу отправить, нету у меня ссылки почему-то в шапке темы, прикрепил вложением. если не пойдет, попробую по другому скинуть.
касперского по прежнему не могу поставить, ставлю, пишет что установился но после установки не запускается.
Image File Execution Options.reg при попытке прикрепить пишет "некорректный тип файла"

[Ingener]

Карантин из сообщения уберите.
Приложите файл Image File Execution Options.reg из папки с AVZ - упакуйте его в архив и добавьте во вложения.
сейчас посмотрю логи.

[Nepacaka]

Во, вроде так.

[Nepacaka]

хм... еще только что internet explorer открылся, и предложил сыграть в какую-то китайцкую рпг, да и вообще сайт с иероглифами открылся, могу url кинуть если интересно.
такая фигня вроде впервые
---
еще quarantine выслал по ссылке сверху, начала отображаться у меня

[Ingener]

1) Пофиксите в HijackThis:

Код:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local;
O4 - HKCU\..\Run: [Explorer] C:\WINDOWS\system32\drivers\TXP1atform.exe

2) Выполните скрит в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
 TerminateProcessByName('c:\windows\system32\drivers\txplatformm.exe');
 TerminateProcessByName('c:\windows\system32\drivers\txp1atform.exe');
 QuarantineFile('C:\Documents and Settings\Nepacaka\Рабочий стол\evnglimg.zip','');
 QuarantineFile('C:\WINDOWS\system32\DLLINFO.DLL','');
 QuarantineFile('C:\Program Files\1Cv77\BIN\1CV7.exe','');
 QuarantineFile('C:\Program Files\Internet Explorer\002.tmp','');
 QuarantineFile('C:\WINDOWS\system32\drivers\TXPlatformm.exe','');
 QuarantineFile('C:\WINDOWS\system32\drivers\TXP1atform.exe','');
 QuarantineFile('C:\WINDOWS\java\classes\CLIPORV.DLL','');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\JM.sys','');
 DeleteFile('C:\WINDOWS\system32\DRIVERS\JM.sys');
 DeleteFile('C:\WINDOWS\java\classes\CLIPORV.DLL');
 DeleteFile('C:\WINDOWS\system32\drivers\TXP1atform.exe');
 DeleteFile('C:\WINDOWS\system32\drivers\TXPlatformm.exe');
 DeleteFile('C:\Program Files\Internet Explorer\002.tmp');
 DeleteFileMask('C:\Program Files\Internet Explorer', '*.tmp', false);
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Explorer');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
3) Скачайте файл Image File Execution Options.reg из вложения в моём сообщение.
Затем выполните второй скрипт в AVZ:

Код:

begin 
RegKeyDel('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options');
end.

Запустите файл Image File Execution Options.reg и подтвердите внесение изменений в реестр.
3) Затем выполните третий скрипт в AVZ:

Код:

begin 
ExpRegKey('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options','Image File Execution Options.reg');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки с AVZ закачайте по ссылке "прислать запрошенный карантин" вверху темы. В сообщениях карантин НЕ выкладывайте!
Файл Image File Execution Options.reg из папки с AVZ приложите к вашему следующему сообщению.
4) После этого попробуйте запустить антивирус, обновить базы и провести полную проверку системы.
5) Повторите логи.

[Nepacaka]

сделал как написано, щас попробую касперского поставить.
---
каспер пока все равно не ставиться(
cureit нашел вот такие штуки
win32.hllp.whboy
win32.hllp.whboy.118
win32.hllp.whboy.origin
trojan.muldrop.33185
backdoor.tdss.1077

[Ingener]

1) Пофиксите в HijackThis:

Код:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local;
O4 - HKCU\..\Run: [Explorer] C:\WINDOWS\system32\drivers\TXPlatformm.exe

2) Выполните скрит в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetAVZPMStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
 DeleteService('ClipSrv');
 QuarantineFile('C:\WINDOWS\java\classes\CLIPORV.exe','');
 DeleteFile('C:\WINDOWS\java\classes\CLIPORV.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
3) Скачайте файл Image File Execution Options.zip из вложения в моём сообщение #7, распакуйте из него файл Image File Execution Options.reg.
Затем выполните второй скрипт в AVZ:

Код:

begin 
RegKeyDel('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options');
end.

После выполнения скрипта запустите файл Image File Execution Options.reg и подтвердите внесение изменений в реестр.
4) Затем выполните третий скрипт в AVZ:

Код:

begin 
ExpRegKey('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options','Image File Execution Options.reg');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки с AVZ закачайте по ссылке "прислать запрошенный карантин" вверху темы.
Файл Image File Execution Options.reg из папки с AVZ приложите к вашему следующему сообщению.
5) Повторите лог virusinfo_syscheck.zip + сделайте такой лог: http://virusinfo.info/showthread.php?t=40118

[Nepacaka]

вроде все. молюсь

[Nepacaka]

чорд, файл Image File Execution Options, в предыдущей мессаге не тот прислал. извиняюсь, вот правильный.

[Ingener]

Выполните скрипт в AVZ:

Код:

begin
SetAVZPMStatus(False);
DeleteService('ClipSrv');
RegKeyDel('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\vcr32.exe');
end.

В логах чисто.
Что с проблемой? Антивирусы сейчас запускаются?

[Nepacaka]

скрипт выполнил, к сожелению антивирус мне так и не удалось запустить, в общем доходит установка в каспере до конца, а вот окно которое должно открыться с просьбой поставить ключ, не открывается. При запуске EXE ничего не происходит При попытке докачать через uninstall первых 2 пункта горят серым, и активная только удаление. пробовал ставить с флэшки и компа, завтра CD-rom возьму может с диска стоит попробовать? или разницы нет?

[Ingener]

1) Загрузитесь в безопасном режиме (http://virusinfo.info/showthread.php?t=9279) и произведите полную проверку всех дисков CureIt. К найденному следует применять действие "Лечить", а неизлечимые перемещать или удалять. После этого перезагрузитесь в обычный режим. Отпишитесь нашёл ли CureIt какие-либо вирусы
2) Удалите антивирус.
3) После этого почистите сичтему от остатков антивируса - как указано в этой теме: http://virusinfo.info/showthread.php?t=16646
4) Установите заново антивирус.
5) Отпишитесь удалось ли запустить антивирус.
6) Если не удастся запустить антивирус - повторите логи по правилам + сделайте такой лог: http://virusinfo.info/showthread.php?t=59446

[Nepacaka]

в общем антивирус запустил (к сожелению из-за нехватки времени пришлось переустановить ос), остается только проблема с exe-файлами, сделать вирус уже ничего не может, касперский его сразу определяет как net-worm.win32.agent.y, но и вылечить без удаления не удается, наверное я попробую зархивировать exe-шники пока каспер не научиться их лечить(если это когда нибудь случиться). если подскажите способы как их без удаления вылечить, буду благодарен.
отдельное спасибо ingener за то, что возился со мной.

[pig]

CureIt попробуйте.

[Nepacaka]

pig, пробовал, cure it их удаляет, а у меня база 130 гб. образов с расширением tiv. они тоже заразились, стирать мне их ой как не хочется. eset nod 32 с новыми базами даже не видит вируса
---
а не образы целые ето я перепутал, то-то я сижу думаю как они могли заразиться

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 3
• Обработано файлов: 21
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\windows\explorer.exe:userini.exe:$data - Email-Worm.Win32.Joleee.efc ( DrWEB: BackDoor.Tdss.1077, BitDefender: Trojan.Generic.2695854, NOD32: Win32/SpamTool.Tedroo.AB trojan, AVAST4: Win32:Small-NCK [Trj] )
  2. c:\windows\system32\drivers\txplatformm.exe - Net-Worm.Win32.Agent.y ( DrWEB: Win32.HLLP.Whboy.119, BitDefender: Win32.Worm.Fujacks.DB, NOD32: Win32/Fujacks.BO virus, AVAST4: Win32:Trojan-gen )