-
Junior Member
- Вес репутации
- 53
userini.exe в диспетчере задач 4 раза
1) После включения компьютера в диспетчере задач автоматически запускается процесс userini.exe до 4-х штук и еще какие-то буквенно-цифровые паразиты типа 1883с3. Отчего ЦП загружается на 100%. А при подключении к интернету резко "бежит" исходящий трафик.
2) После включения компьютера автоматически открыто окно "Мои документы".
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Пофиксите в hijackthis -
Код:
R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: UserInit=D:\WINDOWS\System32\userinit.exe
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('D:\RECYCLER\S-1-5-21-5268396429-0578648154-421784132-0063\nissan.exe','');
QuarantineFile('d:\windows\explorer.exe:userini.exe:$DATA','');
QuarantineFile('D:\WINDOWS\explorer.exe:userini.exe:$DATA','');
QuarantineFile('D:\WINDOWS\system32\userini.exe','');
DeleteFile('D:\WINDOWS\system32\userini.exe');
DeleteFile('D:\WINDOWS\explorer.exe:userini.exe:$DATA');
DeleteFile('d:\windows\explorer.exe:userini.exe:$DATA');
DeleteFile('D:\RECYCLER\S-1-5-21-5268396429-0578648154-421784132-0063\nissan.exe');
DelAutorunByFileName('D:\WINDOWS\system32\userini.exe');
DelAutorunByFileName('D:\RECYCLER\S-1-5-21-5268396429-0578648154-421784132-0063\nissan.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
ExecuteRepair(11);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
Повторите логи. Полегчало?
-
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Уже полегчало
-
Карантин у нас или только пока у Вас?
-
-
Junior Member
- Вес репутации
- 53
quarantine.zip я вам отослал вчера непосредственно перед моим последним сообщением.
-
повторите логи
Сообщение от
thyrex
и такой лог тоже сделайте
-
-
Junior Member
- Вес репутации
- 53
Рано радовался. На следующий день снова userini.exe в диспетчере задач. Сделал повторные логи. Поглядите...
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('d:\windows\temp\wpv271279291749.exe');
QuarantineFile('D:\Documents and Settings\Server\Local Settings\Temp\180.exe','');
QuarantineFile('D:\WINDOWS\system32\msvcrt2.dll','');
QuarantineFile('D:\WINDOWS\Temp\wpv761278399629.exe','');
QuarantineFile('D:\WINDOWS\system32\wbem\grpconv.exe','');
QuarantineFile('D:\Documents and Settings\Server\Local Settings\Temporary Internet Files\Content.IE5\Z6MUPBG3\update[1].exe','');
QuarantineFile('D:\Documents and Settings\Server\Local Settings\Temp\~TMF.tmp','');
QuarantineFile('D:\Documents and Settings\Server\Local Settings\Temp\~TMB.tmp','');
QuarantineFile('D:\Documents and Settings\Server\Local Settings\Temp\~TM9.tmp','');
QuarantineFile('D:\WINDOWS\Temp\wpv931279290901.exe','');
QuarantineFile('d:\windows\explorer.exe:userini.exe:$DATA','');
QuarantineFile('D:\WINDOWS\system32\userini.exe','');
QuarantineFile('d:\windows\temp\wpv271279291749.exe','');
QuarantineFile('C:\WINDOWS\system32\dllcache\iissync.exe','');
DeleteFile('D:\Documents and Settings\Server\Local Settings\Temp\180.exe');
DeleteFile('D:\WINDOWS\system32\msvcrt2.dll');
DeleteFile('D:\WINDOWS\Temp\wpv761278399629.exe');
DeleteFile('D:\WINDOWS\system32\wbem\grpconv.exe');
DeleteFile('D:\Documents and Settings\Server\Local Settings\Temporary Internet Files\Content.IE5\Z6MUPBG3\update[1].exe');
DeleteFile('D:\Documents and Settings\Server\Local Settings\Temp\~TMF.tmp');
DeleteFile('D:\Documents and Settings\Server\Local Settings\Temp\~TMB.tmp');
DeleteFile('D:\Documents and Settings\Server\Local Settings\Temp\~TM9.tmp');
DeleteFile('D:\WINDOWS\Temp\wpv931279290901.exe');
DeleteFile('d:\windows\temp\wpv271279291749.exe');
DeleteFile('D:\WINDOWS\system32\userini.exe');
DeleteFile('d:\windows\explorer.exe:userini.exe:$DATA');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','userini');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','userini');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Удалите в МВАМ
Код:
Зараженные процессы в памяти:
D:\WINDOWS\Temp\wpv931279290901.exe (Trojan.Dropper) -> No action taken.
Зараженные параметры в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\userini (Trojan.Dropper) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\userini (Trojan.Dropper) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\userini (Trojan.Dropper) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\userini (Trojan.Dropper) -> No action taken.
Зараженные файлы:
D:\WINDOWS\Temp\wpv931279290901.exe (Trojan.Dropper) -> No action taken.
D:\WINDOWS\system32\userini.exe (Trojan.Dropper) -> No action taken.
D:\Documents and Settings\Server\Local Settings\Temp\~TM9.tmp (Trojan.Dropper) -> No action taken.
D:\Documents and Settings\Server\Local Settings\Temp\~TMB.tmp (Trojan.Dropper) -> No action taken.
D:\Documents and Settings\Server\Local Settings\Temp\~TMF.tmp (Trojan.Dropper) -> No action taken.
D:\Documents and Settings\Server\Local Settings\Temporary Internet Files\Content.IE5\Z6MUPBG3\update[1].exe (Trojan.Dropper) -> No action taken.
D:\RECYCLER\S-1-5-21-299502267-746137067-1801674531-1003\Dd1\Infected\2010-07-05\avz00001.dta (Trojan.Dropper) -> No action taken.
D:\RECYCLER\S-1-5-21-299502267-746137067-1801674531-1003\Dd1\Infected\2010-07-05\avz00004.dta (Trojan.Dropper) -> No action taken.
D:\RECYCLER\S-1-5-21-299502267-746137067-1801674531-1003\Dd1\Quarantine\2010-07-05\avz00001.dta (Trojan.Dropper) -> No action taken.
D:\RECYCLER\S-1-5-21-299502267-746137067-1801674531-1003\Dd1\Quarantine\2010-07-05\avz00004.dta (Trojan.Dropper) -> No action taken.
D:\RECYCLER\S-1-5-21-299502267-746137067-1801674531-1003\Dd13\avz00001.dta (Trojan.Dropper) -> No action taken.
D:\WINDOWS\system32\wbem\grpconv.exe (Trojan.Dropper) -> No action taken.
D:\WINDOWS\Temp\wpv761278399629.exe (Trojan.Dropper) -> No action taken.
D:\Диагностика_на_вирусы\avz4\Infected\2010-07-14\avz00001.dta (Packed.Krap) -> No action taken.
D:\Диагностика_на_вирусы\avz4\Infected\2010-07-14\avz00002.dta (Packed.Krap) -> No action taken.
D:\Диагностика_на_вирусы\avz4\Infected\2010-07-14\avz00003.dta (Packed.Krap) -> No action taken.
D:\Диагностика_на_вирусы\avz4\Quarantine\2010-07-15\avz00001.dta (Trojan.Dropper) -> No action taken.
D:\Диагностика_на_вирусы\avz4\Quarantine\2010-07-15\avz00002.dta (Trojan.Dropper) -> No action taken.
D:\WINDOWS\system32\msvcrt2.dll (Malware.Traces) -> No action taken.
D:\Documents and Settings\Server\Local Settings\Temp\180.exe (Trojan.Cinmus) -> No action taken.
D:\WINDOWS\Explorer.exe:userini.exe (Rootkit.ADS) -> No action taken.
Поищите D:\WINDOWS\system32\grpconv.exe и при отсутствии восстановите с дистрибутива http://virusinfo.info/showthread.php?t=51654
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Проделал ещё раз 3 пункта правил. Вот вложения:
-
Плохого не видно. Проблема решена?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Проблема решена. Всем респект!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 46
- В ходе лечения обнаружены вредоносные программы:
- d:\documents and settings\server\local settings\temporary internet files\content.ie5\z6mupbg3\update[1].exe - Backdoor.Win32.Bredolab.fjx ( DrWEB: Trojan.Botnetlog.158, BitDefender: Trojan.Generic.4526991, AVAST4: Win32:Bredolab-DJ [Trj] )
- d:\documents and settings\server\local settings\temp\~tmb.tmp - Backdoor.Win32.Bredolab.fjx ( DrWEB: Trojan.Botnetlog.158, BitDefender: Trojan.Generic.4526991, AVAST4: Win32:Bredolab-DJ [Trj] )
- d:\documents and settings\server\local settings\temp\~tmf.tmp - Backdoor.Win32.Bredolab.fjx ( DrWEB: Trojan.Botnetlog.158, BitDefender: Trojan.Generic.4526991, AVAST4: Win32:Bredolab-DJ [Trj] )
- d:\documents and settings\server\local settings\temp\~tm9.tmp - Backdoor.Win32.Bredolab.fjx ( DrWEB: Trojan.Botnetlog.158, BitDefender: Trojan.Generic.4526991, AVAST4: Win32:Bredolab-DJ [Trj] )
- d:\documents and settings\server\local settings\temp\180.exe - Email-Worm.Win32.Iksmas.hsy ( DrWEB: Trojan.MulDrop1.36133, BitDefender: Trojan.Generic.4468420, AVAST4: Win32:Bredolab-DJ [Trj] )
- d:\windows\explorer.exe:userini.exe:$data - Email-Worm.Win32.Joleee.ezj ( DrWEB: Trojan.Spambot.6788, BitDefender: Trojan.Generic.4488914, AVAST4: Win32:Bredolab-DJ [Trj] )
- d:\windows\explorer.exe:userini.exe:$data - Email-Worm.Win32.Joleee.ezm ( DrWEB: Trojan.Packed.20557, BitDefender: Trojan.Generic.4376939, AVAST4: Win32:Bredolab-DJ [Trj] )
- d:\windows\system32\userini.exe - Packed.Win32.Katusha.o ( BitDefender: Trojan.Generic.4501074, AVAST4: Win32:Bredolab-DK [Trj] )
- d:\windows\system32\userini.exe - Email-Worm.Win32.Joleee.fal ( DrWEB: Trojan.Packed.20557, BitDefender: Trojan.Generic.4376536, AVAST4: Win32:Bredolab-DJ [Trj] )
- d:\windows\system32\wbem\grpconv.exe - Backdoor.Win32.Bredolab.fjx ( DrWEB: Trojan.Botnetlog.158, BitDefender: Trojan.Generic.4526991, AVAST4: Win32:Bredolab-DJ [Trj] )
- d:\windows\temp\wpv761278399629.exe - Email-Worm.Win32.Joleee.ezp ( DrWEB: Trojan.Spambot.6788, BitDefender: Trojan.Generic.4377960, AVAST4: Win32:Bredolab-DJ [Trj] )
-