userini.exe в диспетчере задач 4 раза

[Koroviev]

1) После включения компьютера в диспетчере задач автоматически запускается процесс userini.exe до 4-х штук и еще какие-то буквенно-цифровые паразиты типа 1883с3. Отчего ЦП загружается на 100%. А при подключении к интернету резко "бежит" исходящий трафик.
2) После включения компьютера автоматически открыто окно "Мои документы".

[olejah]

Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление

Пофиксите в hijackthis -

Код:

R3 - URLSearchHook: (no name) -  - (no file)
F2 - REG:system.ini: UserInit=D:\WINDOWS\System32\userinit.exe

Выполните скрипт в АВЗ -

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('D:\RECYCLER\S-1-5-21-5268396429-0578648154-421784132-0063\nissan.exe','');
 QuarantineFile('d:\windows\explorer.exe:userini.exe:$DATA','');
 QuarantineFile('D:\WINDOWS\explorer.exe:userini.exe:$DATA','');
 QuarantineFile('D:\WINDOWS\system32\userini.exe','');
 DeleteFile('D:\WINDOWS\system32\userini.exe');
 DeleteFile('D:\WINDOWS\explorer.exe:userini.exe:$DATA');
 DeleteFile('d:\windows\explorer.exe:userini.exe:$DATA');
 DeleteFile('D:\RECYCLER\S-1-5-21-5268396429-0578648154-421784132-0063\nissan.exe');  
 DelAutorunByFileName('D:\WINDOWS\system32\userini.exe');   
 DelAutorunByFileName('D:\RECYCLER\S-1-5-21-5268396429-0578648154-421784132-0063\nissan.exe');  
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteWizard('TSW',2,2,true);
 ExecuteRepair(11);
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

Повторите логи. Полегчало?

[thyrex]

Еще такой лог сделайте http://virusinfo.info/showpost.php?p=457118&postcount=1

[Koroviev]

Уже полегчало

[olejah]

Карантин у нас или только пока у Вас?

[Koroviev]

quarantine.zip я вам отослал вчера непосредственно перед моим последним сообщением.

[polword]

повторите логи

Еще такой лог сделайте http://virusinfo.info/showpost.php?p=457118&postcount=1

и такой лог тоже сделайте

[Koroviev]

Рано радовался. На следующий день снова userini.exe в диспетчере задач. Сделал повторные логи. Поглядите...

[thyrex]

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('d:\windows\temp\wpv271279291749.exe');
QuarantineFile('D:\Documents and Settings\Server\Local Settings\Temp\180.exe','');
QuarantineFile('D:\WINDOWS\system32\msvcrt2.dll','');
QuarantineFile('D:\WINDOWS\Temp\wpv761278399629.exe','');
QuarantineFile('D:\WINDOWS\system32\wbem\grpconv.exe','');
QuarantineFile('D:\Documents and Settings\Server\Local Settings\Temporary Internet Files\Content.IE5\Z6MUPBG3\update[1].exe','');
QuarantineFile('D:\Documents and Settings\Server\Local Settings\Temp\~TMF.tmp','');
QuarantineFile('D:\Documents and Settings\Server\Local Settings\Temp\~TMB.tmp','');
QuarantineFile('D:\Documents and Settings\Server\Local Settings\Temp\~TM9.tmp','');
QuarantineFile('D:\WINDOWS\Temp\wpv931279290901.exe','');
 QuarantineFile('d:\windows\explorer.exe:userini.exe:$DATA','');
 QuarantineFile('D:\WINDOWS\system32\userini.exe','');
 QuarantineFile('d:\windows\temp\wpv271279291749.exe','');
 QuarantineFile('C:\WINDOWS\system32\dllcache\iissync.exe','');
DeleteFile('D:\Documents and Settings\Server\Local Settings\Temp\180.exe');
DeleteFile('D:\WINDOWS\system32\msvcrt2.dll');
DeleteFile('D:\WINDOWS\Temp\wpv761278399629.exe');
DeleteFile('D:\WINDOWS\system32\wbem\grpconv.exe');
DeleteFile('D:\Documents and Settings\Server\Local Settings\Temporary Internet Files\Content.IE5\Z6MUPBG3\update[1].exe');
DeleteFile('D:\Documents and Settings\Server\Local Settings\Temp\~TMF.tmp');
DeleteFile('D:\Documents and Settings\Server\Local Settings\Temp\~TMB.tmp');
DeleteFile('D:\Documents and Settings\Server\Local Settings\Temp\~TM9.tmp');
DeleteFile('D:\WINDOWS\Temp\wpv931279290901.exe');
 DeleteFile('d:\windows\temp\wpv271279291749.exe');
 DeleteFile('D:\WINDOWS\system32\userini.exe');
 DeleteFile('d:\windows\explorer.exe:userini.exe:$DATA');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','userini');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','userini');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Удалите в МВАМ

Код:

Зараженные процессы в памяти:
D:\WINDOWS\Temp\wpv931279290901.exe (Trojan.Dropper) -> No action taken.

Зараженные параметры в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\userini (Trojan.Dropper) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\userini (Trojan.Dropper) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\userini (Trojan.Dropper) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\userini (Trojan.Dropper) -> No action taken.

Зараженные файлы:
D:\WINDOWS\Temp\wpv931279290901.exe (Trojan.Dropper) -> No action taken.
D:\WINDOWS\system32\userini.exe (Trojan.Dropper) -> No action taken.
D:\Documents and Settings\Server\Local Settings\Temp\~TM9.tmp (Trojan.Dropper) -> No action taken.
D:\Documents and Settings\Server\Local Settings\Temp\~TMB.tmp (Trojan.Dropper) -> No action taken.
D:\Documents and Settings\Server\Local Settings\Temp\~TMF.tmp (Trojan.Dropper) -> No action taken.
D:\Documents and Settings\Server\Local Settings\Temporary Internet Files\Content.IE5\Z6MUPBG3\update[1].exe (Trojan.Dropper) -> No action taken.
D:\RECYCLER\S-1-5-21-299502267-746137067-1801674531-1003\Dd1\Infected\2010-07-05\avz00001.dta (Trojan.Dropper) -> No action taken.
D:\RECYCLER\S-1-5-21-299502267-746137067-1801674531-1003\Dd1\Infected\2010-07-05\avz00004.dta (Trojan.Dropper) -> No action taken.
D:\RECYCLER\S-1-5-21-299502267-746137067-1801674531-1003\Dd1\Quarantine\2010-07-05\avz00001.dta (Trojan.Dropper) -> No action taken.
D:\RECYCLER\S-1-5-21-299502267-746137067-1801674531-1003\Dd1\Quarantine\2010-07-05\avz00004.dta (Trojan.Dropper) -> No action taken.
D:\RECYCLER\S-1-5-21-299502267-746137067-1801674531-1003\Dd13\avz00001.dta (Trojan.Dropper) -> No action taken.
D:\WINDOWS\system32\wbem\grpconv.exe (Trojan.Dropper) -> No action taken.
D:\WINDOWS\Temp\wpv761278399629.exe (Trojan.Dropper) -> No action taken.
D:\Диагностика_на_вирусы\avz4\Infected\2010-07-14\avz00001.dta (Packed.Krap) -> No action taken.
D:\Диагностика_на_вирусы\avz4\Infected\2010-07-14\avz00002.dta (Packed.Krap) -> No action taken.
D:\Диагностика_на_вирусы\avz4\Infected\2010-07-14\avz00003.dta (Packed.Krap) -> No action taken.
D:\Диагностика_на_вирусы\avz4\Quarantine\2010-07-15\avz00001.dta (Trojan.Dropper) -> No action taken.
D:\Диагностика_на_вирусы\avz4\Quarantine\2010-07-15\avz00002.dta (Trojan.Dropper) -> No action taken.
D:\WINDOWS\system32\msvcrt2.dll (Malware.Traces) -> No action taken.
D:\Documents and Settings\Server\Local Settings\Temp\180.exe (Trojan.Cinmus) -> No action taken.
D:\WINDOWS\Explorer.exe:userini.exe (Rootkit.ADS) -> No action taken.

Поищите D:\WINDOWS\system32\grpconv.exe и при отсутствии восстановите с дистрибутива http://virusinfo.info/showthread.php?t=51654

Сделайте новые логи

[Koroviev]

Проделал ещё раз 3 пункта правил. Вот вложения:

[thyrex]

Плохого не видно. Проблема решена?

[Koroviev]

Проблема решена. Всем респект!

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 46
• В ходе лечения обнаружены вредоносные программы:
  
  1. d:\documents and settings\server\local settings\temporary internet files\content.ie5\z6mupbg3\update[1].exe - Backdoor.Win32.Bredolab.fjx ( DrWEB: Trojan.Botnetlog.158, BitDefender: Trojan.Generic.4526991, AVAST4: Win32:Bredolab-DJ [Trj] )
  2. d:\documents and settings\server\local settings\temp\~tmb.tmp - Backdoor.Win32.Bredolab.fjx ( DrWEB: Trojan.Botnetlog.158, BitDefender: Trojan.Generic.4526991, AVAST4: Win32:Bredolab-DJ [Trj] )
  3. d:\documents and settings\server\local settings\temp\~tmf.tmp - Backdoor.Win32.Bredolab.fjx ( DrWEB: Trojan.Botnetlog.158, BitDefender: Trojan.Generic.4526991, AVAST4: Win32:Bredolab-DJ [Trj] )
  4. d:\documents and settings\server\local settings\temp\~tm9.tmp - Backdoor.Win32.Bredolab.fjx ( DrWEB: Trojan.Botnetlog.158, BitDefender: Trojan.Generic.4526991, AVAST4: Win32:Bredolab-DJ [Trj] )
  5. d:\documents and settings\server\local settings\temp\180.exe - Email-Worm.Win32.Iksmas.hsy ( DrWEB: Trojan.MulDrop1.36133, BitDefender: Trojan.Generic.4468420, AVAST4: Win32:Bredolab-DJ [Trj] )
  6. d:\windows\explorer.exe:userini.exe:$data - Email-Worm.Win32.Joleee.ezj ( DrWEB: Trojan.Spambot.6788, BitDefender: Trojan.Generic.4488914, AVAST4: Win32:Bredolab-DJ [Trj] )
  7. d:\windows\explorer.exe:userini.exe:$data - Email-Worm.Win32.Joleee.ezm ( DrWEB: Trojan.Packed.20557, BitDefender: Trojan.Generic.4376939, AVAST4: Win32:Bredolab-DJ [Trj] )
  8. d:\windows\system32\userini.exe - Packed.Win32.Katusha.o ( BitDefender: Trojan.Generic.4501074, AVAST4: Win32:Bredolab-DK [Trj] )
  9. d:\windows\system32\userini.exe - Email-Worm.Win32.Joleee.fal ( DrWEB: Trojan.Packed.20557, BitDefender: Trojan.Generic.4376536, AVAST4: Win32:Bredolab-DJ [Trj] )
  10. d:\windows\system32\wbem\grpconv.exe - Backdoor.Win32.Bredolab.fjx ( DrWEB: Trojan.Botnetlog.158, BitDefender: Trojan.Generic.4526991, AVAST4: Win32:Bredolab-DJ [Trj] )
  11. d:\windows\temp\wpv761278399629.exe - Email-Worm.Win32.Joleee.ezp ( DrWEB: Trojan.Spambot.6788, BitDefender: Trojan.Generic.4377960, AVAST4: Win32:Bredolab-DJ [Trj] )