-
Junior Member
- Вес репутации
- 53
Подозрение на рассылку почты с компьютера
Неожиданно заработал модуль проверки электронной почты в Авасте, показывая, что отправляются сообщения. А в диспетчере задач появились процессы LookedLeap.exe, explorer.exe:userini.exe. Я нашла файл LookedLeap.exe в папке C:\Documents and Settings\Яна\Local Settings\Temp и удалила. Остались процессы explorer.exe:userini.exe - запускались по 4 штуки сразу, иногда назывались просто userini.exe. А так же куча svchost.
Аваст нашел C:\WINDOWS\explorer.exe:userini.exe inficirovan virusom Win32:Crypt-FPA [Trj], C:\WINDOWS\system32\userini.exe inficirovan virusom Win32:Crypt-FPA [Trj]. Вроде удалил, но я сомневаюсь, что до конца... так как AVZ ругался все-равно.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Закройте все программы. Запустите AVZ. Выполните скрипт через меню Файл:
Код:
begin
SetAVZGuardStatus(True);
ExecuteWizard('TSW', 2, 2, true);
QuarantineFile('c:\windows\explorer.exe:userini.exe:$DATA','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Beep.SYS','');
RenameFile('C:\WINDOWS\System32\Drivers\Beep.SYS', 'C:\WINDOWS\System32\Drivers\Beep.bak');
if CheckFile('C:\WINDOWS\System32\dllcache\Beep.SYS') = 3 then
CopyFile('C:\WINDOWS\System32\dllcache\Beep.SYS', 'C:\WINDOWS\System32\Drivers\Beep.SYS');
DeleteFile('c:\windows\explorer.exe:userini.exe:$DATA');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку Прислать запрошенный карантин, вверху этой темы.
Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.
-
-
Junior Member
- Вес репутации
- 53
-
Junior Member
- Вес репутации
- 53
Мне еще что-то надо делать? Этот файл в реестре остался в автозагрузке - explorer.exe:userini.exe
-
Плохого не видно. Что с проблемой?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Сейчас посмотрела, этот userini.exe так и остался в system32. Рядом с userinit.exe. И в реестре есть, в автозапуске explorer.exe:userini.exe.
А так ничего плохого не происходит.
-
Пофиксите в HiJack (что найдется)
Код:
O4 - HKLM\..\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe
O4 - HKCU\..\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe
O4 - HKLM\..\Policies\Explorer\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe
O4 - HKCU\..\Policies\Explorer\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe
Сам файл удалите вручную
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Сообщение от
thyrex
Сам файл удалите вручную
Какой файл?
-
-
Junior Member
- Вес репутации
- 53
Да, кстати, какой остался "правильным"? userini.exe или userinit.exe? Ведь вирус может подменить собой userinit.exe, а системный файл переименовать...
-
Сообщение от
Moonamante
userini.exe или userinit.exe?
Запакуйте оба файла в архив с паролем virus и пришлите по красной ссылке Прислать запрошенный карантин вверху темы
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Загрузила карантин. Пока архивировала - Аваст ответил на мой вопросЗаругался на userini.exe. Можно удалять? Ничего не случится катастрофического?осторожничаю...
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Большое спасибо за помощь!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 4
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\drivers\beep.sys - Trojan-Proxy.Win32.Puma.bpn ( DrWEB: Trojan.NtRootKit.4877 )
-