Процесс-вирус explorer.exe:userini.exe

**dikobrazzoff** · 29.06.2010, 15:50

Всем доброго времени!
Такая ситуация, появились подозрительные процессы под именем explorer.exe:userini.exe. В диспетчере задач по несколько штук, вроде отключаються вручную.
Очень мешают, система тупит, притормаживает, похоже словил из архива с драйверами, т.к. до сегодняшнего дня всё вроде бы чисто было.
Да кстати, почему то архивы не открывались, возможно из-за этого процесса.

Очень прошу помоч, работа стоит

.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**DefesT** · 29.06.2010, 15:58

Здравствуйте
Пофиксите в Hijackthis:

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,\\?\globalroot\systemroot\system32\074RY5N.exe,\\?\globalroot\systemroot\system32\9Qwpa2r.exe,\\?\globalroot\systemroot\system32\o2z3kuS.exe,
O2 - BHO: (no name) - {6D125299-C2A9-4DBC-BEC3-6F7124E39A41} - (no file)
O4 - HKLM\..\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe
O4 - HKCU\..\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe
O4 - HKLM\..\Policies\Explorer\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe
O4 - HKCU\..\Policies\Explorer\Run: [Dr.Watson] C:\WINDOWS\system32\sysnkey32.exe
O4 - HKCU\..\Policies\Explorer\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe

Отключите компьютер от интернета, а также отключите антивирус и/или файрвол.
Закройте все программы, выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\windows\temp\wpv801277721837.exe');
 QuarantineFile('\\?\globalroot\systemroot\system32\o2z3kuS.exe','');
 QuarantineFile('\\?\globalroot\systemroot\system32\074RY5N.exe','');
 QuarantineFile('C:\WINDOWS\system32\userini.exe','');
 QuarantineFile('C:\WINDOWS\system32\sysnkey32.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-1862852487-0242501975-348979186-9118\nissan.exe','');
 QuarantineFile('C:\Documents and Settings\dikobrazzoff\Application Data\yftza.exe','');
 QuarantineFile('c:\windows\temp\wpv801277721837.exe','');
 QuarantineFile('c:\windows\explorer.exe:userini.exe:$DATA','');
 DeleteFile('c:\windows\explorer.exe:userini.exe:$DATA');
 DeleteFile('c:\windows\temp\wpv801277721837.exe');
 DeleteFile('C:\Documents and Settings\dikobrazzoff\Application Data\yftza.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-1862852487-0242501975-348979186-9118\nissan.exe');
 DeleteFile('C:\WINDOWS\system32\sysnkey32.exe');
 DeleteFile('\\?\globalroot\systemroot\system32\074RY5N.exe');
 DeleteFile('\\?\globalroot\systemroot\system32\o2z3kuS.exe');
 DeleteFile('C:\WINDOWS\system32\userini.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','userini');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','userini');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Dr.Watson');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи по правилам