-
Junior Member
- Вес репутации
- 57
Удаление explorer.exe:user.ini и подозрение на RootKit
Почистил компьютер Dr.Web CureIT с live CD, попробовал установить Касперского, после перезагрузки вылазил БСОД, снес касперский запустил АВЗ, находит explorer.exe:user.ini, и странный файл spkh.sys, после удаления этого файла в ручную появляется новый с другим именем. Прошу помощи. Спасибо.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Пофиксите в Hijackthis:
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS.0\system32\userinit.exe
O20 - Winlogon Notify: reset5c - reset5c.dll (file missing)
Отключите компьютер от интернета, а также отключите антивирус и/или файрвол.
Закройте все программы, выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS.0\System32\userini.exe','');
QuarantineFile('C:\1.exe','');
QuarantineFile('C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\9L2Q91SR\loader[1].exe','');
QuarantineFile('c:\windows.0\explorer.exe:userini.exe:$DATA','');
QuarantineFile('C:\DOCUME~1\user\LOCALS~1\Temp\propfiobzy.sys','');
QuarantineFile('C:\DOCUME~1\user\LOCALS~1\Temp\lwopmdjg.sys','');
QuarantineFile('C:\WINDOWS.0\system32\DRIVERS\nwlnkfwd.sys','');
QuarantineFile('C:\DOCUME~1\user\LOCALS~1\Temp\psjinonhfeo.sys','');
QuarantineFile('C:\DOCUME~1\user\LOCALS~1\Temp\qutylpaplei.sys','');
QuarantineFile('C:\DOCUME~1\user\LOCALS~1\Temp\xggxewqenadam.sys','');
QuarantineFile('C:\WINDOWS.0\system32\DRIVERS\cdrom.sys','');
QuarantineFile('C:\DOCUME~1\user\LOCALS~1\Temp\wtvaqlueqfoy.sys','');
QuarantineFile('C:\WINDOWS.0\System32\Drivers\ablpozlr.sys','');
QuarantineFile('C:\WINDOWS.0\System32\DRIVERS\NwlnkFwdr.sys','');
QuarantineFile('C:\WINDOWS.0\System32\DRIVERS\AsyncMacr.sys','');
QuarantineFile('C:\WINDOWS.0\System32\DRIVERS\aecj.sys','');
QuarantineFile('c:\windows.0\temp\wpv711274174525.exe','');
TerminateProcessByName('c:\windows.0\temp\wpv711274174525.exe');
TerminateProcessByName('c:\windows.0\explorer.exe:userini.exe');
DeleteService('pkxohcxgluvcb');
DeleteService('onpxt');
DeleteService('gunguafugkfg');
DeleteService('gehhbsvm');
DeleteService('cizjhun');
DeleteService('muy13uyqzar2e');
DeleteService('bqlpe');
DeleteService('ablpozlr');
DeleteService('NwlnkFwdr');
SetServiceStart('NwlnkFwdr', 4);
DeleteService('AsyncMacr');
SetServiceStart('AsyncMacr', 4);
DeleteService('aecj');
SetServiceStart('aecj', 4);
DeleteFile('c:\windows.0\temp\wpv711274174525.exe');
QuarantineFile('C:\WINDOWS.0\system32\rukoosez.exe','');
QuarantineFile('c:\WINDOWS.0\system32\reset5c.dll','');
DeleteFile('c:\WINDOWS.0\system32\reset5c.dll');
DeleteFile('C:\WINDOWS.0\system32\rukoosez.exe');
DeleteFile('C:\WINDOWS.0\System32\userini.exe');
DeleteFile('C:\WINDOWS.0\System32\DRIVERS\aecj.sys');
DeleteFile('C:\WINDOWS.0\System32\DRIVERS\AsyncMacr.sys');
DeleteFile('C:\WINDOWS.0\System32\DRIVERS\NwlnkFwdr.sys');
DeleteFile('C:\WINDOWS.0\System32\Drivers\ablpozlr.sys');
DeleteFile('C:\DOCUME~1\user\LOCALS~1\Temp\wtvaqlueqfoy.sys');
DeleteFile('C:\DOCUME~1\user\LOCALS~1\Temp\xggxewqenadam.sys');
DeleteFile('C:\DOCUME~1\user\LOCALS~1\Temp\qutylpaplei.sys');
DeleteFile('C:\DOCUME~1\user\LOCALS~1\Temp\psjinonhfeo.sys');
DeleteFile('C:\DOCUME~1\user\LOCALS~1\Temp\lwopmdjg.sys');
DeleteFile('C:\DOCUME~1\user\LOCALS~1\Temp\propfiobzy.sys');
DeleteFile('c:\windows.0\explorer.exe:userini.exe:$DATA');
DeleteFile('C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\9L2Q91SR\loader[1].exe');
DeleteFile('C:\1.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','userini');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','userini');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи по правилам
-
-
Junior Member
- Вес репутации
- 57
Новые логи, карантин отправил
-
Junior Member
- Вес репутации
- 57
Хмм... запустил скрипт сбора информации, опять появился explorer.exe:user.ini, а во вторых логах его не было.
-
Пофиксите в Hijackthis:
Код:
O4 - HKLM\..\Run: [userini] C:\WINDOWS.0\explorer.exe:userini.exe
O4 - HKCU\..\Run: [userini] C:\WINDOWS.0\explorer.exe:userini.exe
O4 - HKLM\..\Policies\Explorer\Run: [userini] C:\WINDOWS.0\explorer.exe:userini.exe
O4 - HKCU\..\Policies\Explorer\Run: [userini] C:\WINDOWS.0\explorer.exe:userini.exe
Отключите компьютер от интернета, а также антивирус и/или файрвол.
Закройте все программы, выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows.0\temp\wpv101274174481.exe');
QuarantineFile('c:\windows.0\temp\wpv101274174481.exe','');
QuarantineFile('C:\WINDOWS.0\System32\Drivers\ablpozlr.sys','');
QuarantineFile('C:\WINDOWS.0\system32\DRIVERS\cdrom.sys','');
QuarantineFile('C:\WINDOWS.0\system32\DRIVERS\nwlnkfwd.sys','');
DeleteFile('c:\windows.0\temp\wpv101274174481.exe');
DeleteService('ablpozlr');
DeleteFile('C:\WINDOWS.0\System32\Drivers\ablpozlr.sys');
DeleteFileMask('%Tmp%', '*.*', true);
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('ablpozlr');
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи по правилам
-
-
Junior Member
- Вес репутации
- 57
-
Закройте все программы, выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows.0\explorer.exe:userini.exe');
DeleteFile('c:\windows.0\explorer.exe:userini.exe:$DATA');
DeleteFile('C:\WINDOWS.0\explorer.exe:userini.exe:$DATA');
DeleteFile('C:\WINDOWS.0\system32\userini.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','userini');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','userini');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','userini');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','userini');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится! Сделайте новые логи avz. Скачайте файл ScanVuln.txt, скопируйте из него скрипт и выполните в AVZ. Приложите к этой теме файл avz_log.txt из под-папки LOG. Пройдитесь по ссылкам из файла avz_log.txt и установите обновления.
-
-
Junior Member
- Вес репутации
- 57
Скрипт выполнил, после подключения интернета снова все по новой появляется, все обновления из avz_log.txt поставил, некоторое удалил.
Логи высылаю
-
Junior Member
- Вес репутации
- 57
Также присутствуют странные файлы в System Volume Information\Whistler, после удаления и перезагрузки появляются.
-
Пофиксите в Hijackthis:
Код:
O4 - HKLM\..\Run: [userini] C:\WINDOWS.0\system32\userini.exe
O4 - HKCU\..\Run: [userini] C:\WINDOWS.0\system32\userini.exe
O4 - HKLM\..\Policies\Explorer\Run: [userini] C:\WINDOWS.0\system32\userini.exe
O4 - HKCU\..\Policies\Explorer\Run: [userini] C:\WINDOWS.0\system32\userini.exe
Отключите компьютер от интернета, а также антивирус и/или файрвол.
Закройте все программы, выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows.0\temp\wpv711274174193.exe');
DeleteFile('c:\windows.0\temp\wpv711274174193.exe');
DeleteFile('c:\windows.0\explorer.exe:userini.exe:$DATA');
DeleteFile('C:\WINDOWS.0\system32\userini.exe');
DeleteFileMask('%Tmp%', '*.*', true);
DeleteFileMask('c:\windows.0\temp','*.exe*',true);
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','userini');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','userini');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Просканируйте системный диск - AVPTool. Сделайте новые логи по правилам
-
-
Junior Member
- Вес репутации
- 57
Вроде как AVP Tool подчистил. Вот только перехватчик s***.sys, у которого после каждой перезагрузки новое имя, но стабильно начинается на s, остался.
-
Плохого не видно.
Сообщение от
Makcumka
Вот только перехватчик s***.sys, у которого после каждой перезагрузки новое имя, но стабильно начинается на s, остался.
Это нормальные "перехваты". Драйвер от эмулятора диска (Daemon tools или Алкоголь)
-
-
Junior Member
- Вес репутации
- 57
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 49
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\user\local settings\temporary internet files\content.ie5\9l2q91sr\loader[1].exe - Backdoor.Win32.HareBot.bjb ( DrWEB: Trojan.Click.64113, BitDefender: Trojan.Generic.3954933, AVAST4: Win32:Malware-gen )
- c:\windows.0\explorer.exe:userini.exe:$data - Packed.Win32.Krap.x ( DrWEB: Trojan.Spambot.6788, BitDefender: Gen:Variant.Bredo.2, AVAST4: Win32:Bredolab-DH [Trj] )
- c:\windows.0\system32\drivers\aecj.sys - Backdoor.Win32.Agent.avbz ( DrWEB: Trojan.Proxy.15396, BitDefender: Trojan.Generic.3869094, AVAST4: Win32:Rootkit-gen [Rtk] )
- c:\windows.0\system32\drivers\asyncmacr.sys - Backdoor.Win32.Agent.avbz ( DrWEB: Trojan.Proxy.15396, BitDefender: Trojan.Generic.3869094, AVAST4: Win32:Rootkit-gen [Rtk] )
- c:\windows.0\system32\drivers\nwlnkfwdr.sys - Backdoor.Win32.Agent.avbz ( DrWEB: Trojan.Proxy.15396, BitDefender: Trojan.Generic.3869094, AVAST4: Win32:Rootkit-gen [Rtk] )
- c:\windows.0\system32\userini.exe - Packed.Win32.Krap.x ( DrWEB: Trojan.Spambot.6788, BitDefender: Gen:Variant.Bredo.2, AVAST4: Win32:Bredolab-DH [Trj] )
- c:\windows.0\temp\wpv711274174525.exe - Packed.Win32.Krap.x ( DrWEB: Trojan.Spambot.6788, BitDefender: Gen:Variant.Bredo.2, AVAST4: Win32:Bredolab-DH [Trj] )
-