-
Junior Member
- Вес репутации
- 52
userini.exe. проблемы с експлорером
не так давно словил кучу троянов и нехороших червей, из-за которых система в буквальном смысле умирала. переустанавливал несколько раз винду, проверял комп Нодом - не помогало. после чего установил kav, обновил базы, выполнил полную проверку и вроде бы как все почистило, но осталась проблема с userini.exe который я так понимаю выгружает процесс explorer.exe в диспетчере задач. из-за этого отрубается инет и необходимо каждый перезагружать ПК. также перестал определять юсб флешки и иногда просто замечаю поток исходящего трафика в инете.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Пофиксите в HiJack
Код:
F2 - REG:system.ini: Shell=explorer.exe rundll32.exe wrdr.kuo gxsad
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\Drivers\zzfhnhje.sys','');
QuarantineFile('C:\WINDOWS\system32\80.scr','');
QuarantineFile('C:\WINDOWS\system32\18.scr','');
QuarantineFile('C:\WINDOWS\system32\qtplugin.exe','');
QuarantineFile('c:\windows\explorer.exe:userini.exe:$DATA','');
QuarantineFile('C:\WINDOWS\system32\userini.exe','');
QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\xfgnp.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\usbf27.sys','');
DeleteService('usbf27');
DeleteFile('C:\WINDOWS\system32\Drivers\usbf27.sys');
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\xfgnp.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
DeleteFile('C:\WINDOWS\system32\userini.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini');
DeleteFile('c:\windows\explorer.exe:userini.exe:$DATA');
DeleteFile('C:\WINDOWS\system32\qtplugin.exe');
DeleteFile('C:\WINDOWS\system32\18.scr');
DeleteFile('C:\WINDOWS\system32\80.scr');
DeleteFile('C:\WINDOWS\system32\Drivers\zzfhnhje.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(16);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
-
Выполните скрипт в AVZ
Код:
begin
DeleteFile('zzfhnhje.sys');
ExecuteSysClean;
RebootWindows(true);
end.
Компьютер перезагрузится.
Сделайте новые логи virusinfo_syscheck.zip и hijackthis.log + сообщите, решена ли проблема
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
проблема не исчезла, userini.exe вроде бы не появляются в диспетчере, но спустя какое то время обратно какой то процесс рушится, окна меняют внешний вид и чтобы подключиться к инету нужно перезагружаться.
проверил работу безопасного режима - при попытке загрузки выскакивает синий экран смерти.
-
Сделайте такой лог http://virusinfo.info/showpost.php?p=457118&postcount=1
Выполните скрипт в AVZ
Код:
begin
ExecuteREpair(10);
RebootWindows(true);
end.
Компьютер перезагрузится.
Проверьте загрузку в безопасном режиме
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
безопасный режим заработал, пока проблем с выгрузкой какого то процесса и необходимости перезагрузки при работе с инетом не было.
но при попытке открытия любого видеофайла теперь ругается на библиотеку quartz.dll которая не найдена.
-
Удалите в МВАМ
Код:
Заражено ключей реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DbgMgr (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ctfmon.exe (Security.Hijack) -> No action taken.
HKEY_CLASSES_ROOT\idid (Trojan.Sasfix) -> No action taken.
Заражено параметров реестра:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (explorer.exe,C:\RECYCLER\S-1-5-21-5816136480-2100133919-183015670-7267\syscr.exe) Good: (Explorer.exe) -> No action taken.
Заражено папок:
C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811 (Trojan.Agent) -> No action taken.
Заражено файлов:
C:\Documents and Settings\Admin\DoctorWeb\Quarantine\Виталик!!!.exe (Malware.Packer) -> No action taken.
D:\Programmы\avz4\Quarantine\2010-03-20\bcqr00001.dta (Trojan.Agent) -> No action taken.
D:\System Volume Information\_restore{4876D982-8EC6-493F-81CF-F0982BF3675F}\RP82\A0094237.EXE (Malware.Packer.Morphine) -> No action taken.
D:\System Volume Information\_restore{793FA21D-27DF-42D4-A870-A8DD69447C8E}\RP20\A0041119.EXE (Trojan.Agent) -> No action taken.
F:\Temp\Keygen.exe (Trojan.Agent) -> No action taken.
C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\Desktop.ini (Trojan.Agent) -> No action taken.
C:\Documents and Settings\Admin\Application Data\wiaservg.log (Malware.Trace) -> No action taken.
C:\WINDOWS\system32\secupdat.dat (Backdoor.Bot) -> No action taken.
C:\WINDOWS\system32\update2553703.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\update2554000.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\update2554343.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\Temp\wpv191268758863.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\Temp\wpv211268842301.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\Temp\wpv631268560609.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\Temp\wpv951268933116.exe (Trojan.Agent) -> No action taken.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
удалил. пока старых проблем не наблюдается, только вот так и не разобрался откуда берется ошибка при запуске видео в LightAllow "Приложению не удалось запуститься, поскольку quartz.dll не был найден. Повторная установка приложения может исправить эту проблему." Другими проигрывателями тоже не открывает. Переустанавливал - не помогло.
-
Это похоже компонент DirectX. Попробуйте перустановить его.
Обновите JavaRE
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
проблема с выгрузкой какого процесса из-за которого рушится инет так и не прошла =( выпадает иногда спустя 5 минут работы, а иногда и вообще может не проявиться.
касперский находит снова вирус в файле подобно C:\WINDOWS\Temp\wpv191268758863.exe периодически, удаляет его и перезагружает комп.
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 23
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\explorer.exe:userini.exe:$data - Trojan.Win32.VB.addc ( DrWEB: BackDoor.Tdss.1077, BitDefender: Trojan.Agent.AOXJ, AVAST4: Win32:Malware-gen )
- c:\windows\system32\qtplugin.exe - not-a-virus:PSWTool.Win32.MailPassView.es ( DrWEB: Trojan.PWS.Mailer, BitDefender: Trojan.Agent.AOYJ, NOD32: Win32/Spammer.Agent.D trojan, AVAST4: Win32:Rootkit-gen [Rtk] )
- c:\windows\system32\userini.exe - Email-Worm.Win32.Joleee.erc ( DrWEB: BackDoor.Tdss.1077, BitDefender: Gen:Dropper.VB.1, AVAST4: Win32:Malware-gen )
- c:\windows\system32\18.scr - Backdoor.Win32.Rbot.kti ( DrWEB: BackDoor.IRC.Bot.173, AVAST4: Win32:Spyware-gen [Spy] )
- c:\windows\system32\80.scr - Backdoor.Win32.Rbot.kti ( DrWEB: BackDoor.IRC.Bot.173, AVAST4: Win32:Spyware-gen [Spy] )
-