explorer.exe:userini.exe и др.

**dleecher5** · 18.03.2010, 18:17

проявления:
1. 4 процесса "userini.exe" или "explorer.exe:userini.exe" каждый раз при запуске
2. Невозможность запустить безопасный режим (синий экран и немедленная перезагрузка)
3. CureIt и Nod32 ничего не обнаруживает
4. на сайт "virusinfo.info" не заходит никак иначе кроме как через такую ссылку "http://216.246.91.178/~virusinf"
5. AVZ что-то еще красненьким навыдавал.
6. Иногда машина ни с того ни с сего перезапускается с синим экраном.
7. Иногда процессы в диспетчере задач занимают раз в 5 больше памяти чем обычно.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Шапельский Александр** · 18.03.2010, 18:39

Пофиксите в Hijack следующие строки:

Код:

F2 - REG:system.ini: Shell=Explorer.exe 
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,\\?\globalroot\systemroot\system32\ifk9vE5.exe,

Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\ifk9vE5.exe','');
 DelCLSID('{6B830884-20E3-4AB6-B672-2629F0F72071}');
 QuarantineFile('C:\Documents and Settings\Daniel\Application Data\CMedia\CMedia.dll','');
  QuarantineFile('C:\WINDOWS\system32\myokent.dll','');
 QuarantineFile('C:\WINDOWS\explorer.exe:userini.exe:$DATA','');
 QuarantineFile('C:\WINDOWS\explorer.exe:userini.exe','');
 QuarantineFile('C:\WINDOWS\system32\userini.exe','');
 DeleteFile('C:\WINDOWS\system32\userini.exe');
 DeleteFile('C:\WINDOWS\explorer.exe:userini.exe:$DATA');
 DeleteFile('C:\WINDOWS\explorer.exe:userini.exe');
 DeleteFile('C:\Documents and Settings\Daniel\Application Data\CMedia\CMedia.dll');
 DeleteFile('C:\WINDOWS\system32\ifk9vE5.exe');
BC_ImportAll;
ExecuteSysClean;
Executerepair(10);
Executerepair(16);
Executerepair(20);
ExecuteWizard('TSW', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.

закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Обновите базы АВЗ!
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.

**dleecher5** · 18.03.2010, 19:03

Обновите базы АВЗ!

А оно не хочет. выдает ошибку при обновлении.
"Ошибка в входе автоматического обновления - Ошибка загрзки файла с описанием обновления avzupd.zip с http://www.z-oleg.com/secur/avz_up/ [21, 00002EFF]"

**Шапельский Александр** · 18.03.2010, 19:33

Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
Executerepair(2);
Executerepair(3);
Executerepair(4);
Executerepair(6);
Executerepair(14);
Executerepair(20);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
ExecuteWizard('TSW', 2, 2, true);
RebootWindows(true);
end.

Пробуйте обновить

**dleecher5** · 19.03.2010, 09:27

Заметил еще одну особенность - эти процессы "userini.exe" или "explorer.exe:userini.exe" по страшному грузят мне интернет-канал. Пока не поубивал их в диспетчере задач - нормально серфить не мог, в окне состояния подключения пакеты так и летели куда-то во вне (на прием, вроде, не наблюдалось). Как отключил так сразу успокоилось.

**Шапельский Александр** · 19.03.2010, 12:50

Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\explorer.exe:userini.exe:$DATA','');
TerminateProcessByName('C:\WINDOWS\system32\userini.exe');
QuarantineFile('C:\WINDOWS\system32\userini.exe','');
DeleteFile('C:\WINDOWS\system32\userini.exe');
DeleteFile('C:\WINDOWS\explorer.exe:userini.exe:$DATA');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.

**dleecher5** · 19.03.2010, 17:52

не убивается. И еще уточню наличие одного симптома - не происходит обновление баз Nod32, что вкупе с невозможностью зайти на этот сайт по его имени, невозможностью обновить базы АВЗ, говорит о том, что вирус блокирует эти мероприятия.

**Шапельский Александр** · 19.03.2010, 19:03

Пофиксить в Hijack следующие строки:

Код:

O4 - HKLM\..\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe
O4 - HKCU\..\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe
O4 - HKLM\..\Policies\Explorer\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe
O4 - HKCU\..\Policies\Explorer\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe

Выполнить скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
Executerepair(6);
Executerepair(16);
Executerepair(20);
ExecuteWizard('SCU', 2, 2, true);
ExecuteWizard('PRT', 2, 2, true); 
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
ExecuteWizard('TSW', 2, 2, true);
RebootWindows(true);
end.

Пробуйте обновить базы АВЗ и сделайте новые логи.

**dleecher5** · 20.03.2010, 12:04

Не обновляет. userini исчез, синие экраны продолжаются.

**Шапельский Александр** · 20.03.2010, 12:16

C:\WINDOWS\Minidump--в этой папке должны быть файлы, пришлите их, посмотрим, что вызывает BSOD.

**dleecher5** · 20.03.2010, 12:31

Эта папка пуста.
Могу предложить дать мне ссылку с уже обновленными базами АВЗ...

**Шапельский Александр** · 20.03.2010, 12:38

Лог MBAM сможете сделать? Ссылку на скачивание MBAM возьмите из моей подписи.

**dleecher5** · 20.03.2010, 14:29

Не знаю, связано ли это с вирусами, но на синем экране теперь выдается исключительно одно и то же сообщение вида:

"A problem has been detected and Windows has been shut down to prevent damage to your computer...
Technical information:
*** STOP: 0x0000007E (0xC0000005, 0xFC5CCAF3, 0xFC90F8C0, 0xFC90F5C0)"

Только второе и третье значения в скобках меняются.

**Шапельский Александр** · 20.03.2010, 16:20

Удалите в MBAM

Код:

Registry Keys Infected:
HKEY_CURRENT_USER\SOFTWARE\Casino Tropez (Adware.Casino) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Casino Tropez (Adware.Casino) -> No action taken.

Registry Values Infected:
HKEY_CURRENT_USER\Control Panel\don't load\scui.cpl (Hijack.SecurityCenter) -> No action taken.
HKEY_CURRENT_USER\Control Panel\don't load\wscui.cpl (Hijack.SecurityCenter) -> No action taken.


Folders Infected:
C:\Documents and Settings\Daniel\Application Data\FieryAds (Adware.FieryAds) -> No action taken.
C:\Program Files\Microsoft Common (Trojan.Agent) -> No action taken.

Files Infected:
C:\Program Files\DAEMON Tools Pro\daemon.tools.pro.patch.exe (Trojan.Agent) -> No action taken.
C:\Program Files\Common Files\keylog.txt (Malware.Trace) -> No action taken.
C:\Documents and Settings\Daniel\Application Data\fieryads.dat (Adware.FieryAds) -> No action taken.
C:\Documents and Settings\Daniel\Application Data\wiaserva.log (Malware.Trace) -> No action taken.
C:\Documents and Settings\Daniel\Application Data\wiaservg.log (Malware.Trace) -> No action taken.
C:\Documents and Settings\Daniel\oashdihasidhasuidhiasdhiashdiuasdhasd (Malware.Trace) -> No action taken.

Сделайте лог MBAM

**dleecher5** · 20.03.2010, 19:08

Не помогло. Синие экраны продолжаются (на одном из них еще перед чисткой МВАМ появилась строчка "tcpip.sys - Address ... base at ..., Datastamp ...". На "антивирусные" сайты все так же не заходит и не обновляет базы.

**Шапельский Александр** · 20.03.2010, 21:00

Скачайте и запустите утилиту http://support.kaspersky.ru/viruses/...?qid=208636998

**dleecher5** · 21.03.2010, 22:06

Утилита все просканировала. В итоге статистика была совершенно пустой - 0 обнаруженных инфекций. Но в процессе сканирования Нод32 что-то ловил из тех файлов, которые были только что пройдены VirutKiller'ом.

**Шапельский Александр** · 21.03.2010, 22:57

Что сейчас с проблемой? Опишите подробнее.

**dleecher5** · 21.03.2010, 23:58

Целый вечер пока все нормально, никаких синих экранов. Еще не могу сказать с точностью.
Могу сказать сейчас только то, что проблема с отказом заходить на антивирусные сайты и обновляться с них осталась.

П.С. Еще вчера я на свое усмотрение пофиксил в хайджеке несколько сомнительных служб, а сегодня запустил программу Uniblue Registry Booster, она нашла >650 ошибок реестра и пофиксила почти все. Сложно сказать повлияло ли это как-то.

П.П.С. АВЗ при выполнении скрипта сбора информации обнаруживает все эти функции (NtCreateFile и т.д.) вызываемые файлом с каждый раз меняющимся частично именем sp**.sys и вот эти вещи "1.5 Проверка обработчиков IRP
\FileSystem\ntfs[IRP_MJ_CREATE] = 8AE781F8 -> перехватчик не определен...". И все. В конце пишет - найдено 0 вредоносных программ и 0 подозрений.

**Шапельский Александр** · 22.03.2010, 00:10

Сообщение от dleecher5

П.П.С. АВЗ при выполнении скрипта сбора информации обнаруживает все эти функции (NtCreateFile и т.д.) вызываемые файлом с каждый раз меняющимся частично именем sp**.sys и вот эти вещи "1.5 Проверка обработчиков IRP
\FileSystem\ntfs[IRP_MJ_CREATE] = 8AE781F8 -> перехватчик не определен...". И все. В конце пишет - найдено 0 вредоносных программ и 0 подозрений.

Это нормально.

Сообщение от dleecher5

что проблема с отказом заходить на антивирусные сайты и обновляться с них осталась.

Попробуем исправить, выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
Executerepair(6);
Executerepair(20);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
ExecuteWizard('TSW', 2, 2, true);
RebootWindows(true);
end.

Сделайте новый лог virusinfo_syscheck.zip и логи MBAM, Hijack