-
Junior Member
- Вес репутации
- 51
userini.exe, wpv.exe , помогите избавится!
Здравствуйте! Помогите избавить компьютер от этой напасти!
Несколько дней назад с флешки принесла какой то spamwere, когда выскочило сообщение, случайно нажала что то вроде пропустить или разрешить. Через несколько дней появилось сообщение что ndys.sys заменен.
Со вчерашнего дня Outpost постоянно выдает сообщения что в сеть просятся explorer.exe:userini.exe, userini.exe, wpv цифры постоянно меняются.exe
В интернете постоянно что-то грузиться.
Раньше стоял EsetNod 32, но не смогла его за эти дни ни разу обновить из за интернета
Сегодня установила avast написал что заражен system.exe .
К тому же брэндмауэр постоянно выдает сообщение что узел подменяет ip 255/255/255/255 и после этого надо отключать интерннет и подключать заново в новом окне обозревателя((((
Запустила cureit! , кучу всего удалило, про ndys.sys написало что будет исцелен, но ничего не изменилось, проблемы остались.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('c:\windows\system32\userini.exe');
TerminateProcessByName('c:\windows\temp\wpv871279360189.exe');
QuarantineFile('C:\WINDOWS\system32\Drivers\NDIS.sys','');
QuarantineFile('C:\WINDOWS\explorer.exe:userini.exe:$DATA','');
QuarantineFile('C:\WINDOWS\Temp\wpv461279360277.exe','');
QuarantineFile('C:\WINDOWS\Temp\wpv971279360277.exe','');
QuarantineFile('C:\WINDOWS\system32\userini.exe','');
QuarantineFile('C:\WINDOWS\system32\pr2ajajb.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\pe3ajajb.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\ps6ajajb.sys','');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\Mozilla\Firefox\Profiles\7tv2qnah.default\extensions\[email protected]\components\coolirisstub.dll','');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\Mozilla\Firefox\Profiles\7tv2qnah.default\extensions\[email protected]\libs\cooliris190.dll','');
DeleteFile('C:\WINDOWS\system32\userini.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','userini');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','userini');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini');
DeleteFile('C:\WINDOWS\Temp\wpv971279360277.exe');
DeleteFile('C:\WINDOWS\Temp\wpv461279360277.exe');
DeleteFile('C:\WINDOWS\explorer.exe:userini.exe:$DATA');
DeleteFileMask('C:\WINDOWS\Temp','*.exe',false);
BC_ImportALL;
ExecuteSysClean;
ExecuteWizard('TSW',2 ,2 ,true);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенный карантин" над первым сообщением темы)
Сделайте новые логи
-
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
В avz в папке карантин пусто.
Когда avz проверяет компьютер выскакивало сообщение от eset nod32 (не могу его отключить), что файл ndis.sys заражен.
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\ipsecndis.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\ntndis.sys','');
QuarantineFile('C:\WINDOWS\system32\wbem\grpconv.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-1644491937-1844237615-1417001333-500\Dc10.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\MFXN3AU0\update[1].exe','');
QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Temp\~TM6A.tmp','');
QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Temp\~TM63.tmp','');
QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Temp\~TM35.tmp','');
QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Temp\~TM2E.tmp','');
QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Temp\~TM2B6.tmp','');
QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Temp\~TM2B0.tmp','');
QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Temp\~TM295.tmp','');
QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Temp\~TM28F.tm','');
QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Temp\~TM26F.tmp','');
QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Temp\~TM268.tmp','');
QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Temp\~TM13D.tmp','');
QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Temp\~TM12.tmp','');
QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Temp\~TM108.tmp','');
QuarantineFile('C:\WINDOWS\Temp\wpv821279545669.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\NDIS.sys','');
end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Удалите в МВАМ
Код:
Зараженные процессы в памяти:
C:\WINDOWS\Temp\wpv821279545669.exe (Trojan.Dropper) -> No action taken.
Зараженные ключи в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DRM\amty (Worm.Autorun) -> No action taken.
Зараженные параметры в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\userini (Trojan.Dropper) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\userini (Trojan.Dropper) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\userini (Trojan.Dropper) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\userini (Trojan.Dropper) -> No action taken.
Зараженные файлы:
C:\WINDOWS\Temp\wpv821279545669.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\explorer.exe:userini.exe (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\Admin\Local Settings\Temp\~TM108.tmp (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\Admin\Local Settings\Temp\~TM12.tmp (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\Admin\Local Settings\Temp\~TM13D.tmp (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\Admin\Local Settings\Temp\~TM268.tmp (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\Admin\Local Settings\Temp\~TM26F.tmp (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\Admin\Local Settings\Temp\~TM28F.tmp (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\Admin\Local Settings\Temp\~TM295.tmp (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\Admin\Local Settings\Temp\~TM2B0.tmp (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\Admin\Local Settings\Temp\~TM2B6.tmp (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\Admin\Local Settings\Temp\~TM2E.tmp (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\Admin\Local Settings\Temp\~TM35.tmp (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\Admin\Local Settings\Temp\~TM63.tmp (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\Admin\Local Settings\Temp\~TM6A.tmp (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\MFXN3AU0\update[1].exe (Trojan.Dropper) -> No action taken.
C:\RECYCLER\S-1-5-21-1644491937-1844237615-1417001333-500\Dc10.exe (Trojan.Agent.CK) -> No action taken.
C:\WINDOWS\system32\wbem\grpconv.exe (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\Admin\Application Data\wiaservg.log (Malware.Trace) -> No action taken.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
Карантин выслала.
Вродебы сделала как надо, но в процессах все равно много userini.exe(
и если кликнуть по чему нибудь правой кнопкой міши, компьютер подвисает(
-
C:\WINDOWS\system32\Drivers\NDIS.sys замените чистым с дистрибутива http://virusinfo.info/showthread.php?t=51654
После этого новые логи AVZ и МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
А где находится дистрибутив? или его надо скачивать?
а можно, как описано, взять файл с другого компьютера?
-
Сообщение от
Nickel_An
а можно, как описано, взять файл с другого компьютера?
Можно. На компьютере должна быть установлена ОС:
Версия Windows: 5.1.2600, Service Pack 3
-
-
Junior Member
- Вес репутации
- 51
что бы поменять файл с другого компьютера, тоже надо консоль запускать?
я скинула файл на флешку H:\h\ndys.sys
пишу cd H:\h
пишет "в доступе отказано"
то есть с флешкой он работать не будет?
а если обращаться к диску cd G:\i386 ,то вообще ничего не происходит((
-
Сбросьте файл в какую-либо папку на винчестере и загрузившись с консоли восстановления или LiveCD замените
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
Поменяла наконец таки файл, затем сделала проверку cureit! , затем обновила антивирус, он нашел кучку процессов userini.exe вроде удалил, но явно не все.
И вот еще вопрос: когда происходит проверка, все программы находят карантин, созданный avz во время последней проверки, я выбирала пропустить, или надо удалить его?
-
Удалите в МВАМ
Код:
Зараженные ключи в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DRM\amty (Worm.Autorun) -> No action taken.
Зараженные параметры в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\userini (Trojan.Agent) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\userini (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\userini (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\userini (Trojan.Agent) -> No action taken.
Зараженные файлы:
C:\Documents and Settings\Admin\Application Data\wiaservg.log (Malware.Trace) -> No
C:\WINDOWS\system32\userini.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\system32\wbem\grpconv.exe (Trojan.Dropper) -> No action taken.
F:\проверка\avz4\Quarantine\2010-07-21\avz00001.dta (Trojan.Dropper) -> No action taken.
F:\проверка\avz4\Quarantine\2010-07-21\avz00002.dta (Trojan.Agent.CK) -> No action taken.
F:\проверка\avz4\Quarantine\2010-07-21\avz00003.dta (Trojan.Dropper) -> No action taken.
F:\проверка\avz4\Quarantine\2010-07-21\avz00004.dta (Trojan.Dropper) -> No action taken.
F:\проверка\avz4\Quarantine\2010-07-21\avz00005.dta (Trojan.Dropper) -> No action taken.
F:\проверка\avz4\Quarantine\2010-07-21\avz00006.dta (Trojan.Dropper) -> No action taken.
F:\проверка\avz4\Quarantine\2010-07-21\avz00007.dta (Trojan.Dropper) -> No action taken.
F:\проверка\avz4\Quarantine\2010-07-21\avz00008.dta (Trojan.Dropper) -> No action taken.
F:\проверка\avz4\Quarantine\2010-07-21\avz00009.dta (Trojan.Dropper) -> No action taken.
F:\проверка\avz4\Quarantine\2010-07-21\avz00010.dta (Trojan.Dropper) -> No action taken.
F:\проверка\avz4\Quarantine\2010-07-21\avz00011.dta (Trojan.Dropper) -> No action taken.
F:\проверка\avz4\Quarantine\2010-07-21\avz00012.dta (Trojan.Dropper) -> No action taken.
F:\проверка\avz4\Quarantine\2010-07-21\avz00013.dta (Trojan.Dropper) -> No action taken.
F:\проверка\avz4\Quarantine\2010-07-21\avz00014.dta (Trojan.Dropper) -> No action taken.
F:\проверка\avz4\Quarantine\2010-07-21\avz00015.dta (Trojan.Dropper) -> No action taken.
F:\проверка\avz4\Quarantine\2010-07-21\avz00016.dta (Trojan.Dropper) -> No action taken.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
Сделала! Перезагрузила компьютер, в процессах все чисто, ничто в интернет не просится!!
Он будет жить?)))
Спасибо за помощь!
-
Сообщение от
Nickel_An
Он будет жить?)))
Будет. Но ему нужно помочь
Установите Internet Explorer 8 (даже если им не пользуетесь)
Установите Acrobat Reader 9.3 или удалите старый
Обновите JavaRE
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 17
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\admin\local settings\temporary internet files\content.ie5\mfxn3au0\update[1].exe - Backdoor.Win32.Bredolab.fre ( DrWEB: Trojan.Botnetlog.158, BitDefender: Trojan.Generic.KD.20850, AVAST4: Win32:Bredolab-DL [Trj] )
- c:\documents and settings\admin\local settings\temp\~tm108.tmp - Backdoor.Win32.Bredolab.fre ( DrWEB: Trojan.Botnetlog.158, BitDefender: Trojan.Generic.KD.20850, AVAST4: Win32:Bredolab-DL [Trj] )
- c:\documents and settings\admin\local settings\temp\~tm12.tmp - Backdoor.Win32.Bredolab.fre ( DrWEB: Trojan.Botnetlog.158, BitDefender: Trojan.Generic.KD.20850, AVAST4: Win32:Bredolab-DL [Trj] )
- c:\documents and settings\admin\local settings\temp\~tm13d.tmp - Backdoor.Win32.Bredolab.fre ( DrWEB: Trojan.Botnetlog.158, BitDefender: Trojan.Generic.KD.20850, AVAST4: Win32:Bredolab-DL [Trj] )
- c:\documents and settings\admin\local settings\temp\~tm2b0.tmp - Backdoor.Win32.Bredolab.fre ( DrWEB: Trojan.Botnetlog.158, BitDefender: Trojan.Generic.KD.20850, AVAST4: Win32:Bredolab-DL [Trj] )
- c:\documents and settings\admin\local settings\temp\~tm2b6.tmp - Backdoor.Win32.Bredolab.fre ( DrWEB: Trojan.Botnetlog.158, BitDefender: Trojan.Generic.KD.20850, AVAST4: Win32:Bredolab-DL [Trj] )
- c:\documents and settings\admin\local settings\temp\~tm2e.tmp - Backdoor.Win32.Bredolab.fre ( DrWEB: Trojan.Botnetlog.158, BitDefender: Trojan.Generic.KD.20850, AVAST4: Win32:Bredolab-DL [Trj] )
- c:\documents and settings\admin\local settings\temp\~tm26f.tmp - Backdoor.Win32.Bredolab.fre ( DrWEB: Trojan.Botnetlog.158, BitDefender: Trojan.Generic.KD.20850, AVAST4: Win32:Bredolab-DL [Trj] )
- c:\documents and settings\admin\local settings\temp\~tm268.tmp - Backdoor.Win32.Bredolab.fre ( DrWEB: Trojan.Botnetlog.158, BitDefender: Trojan.Generic.KD.20850, AVAST4: Win32:Bredolab-DL [Trj] )
- c:\documents and settings\admin\local settings\temp\~tm295.tmp - Backdoor.Win32.Bredolab.fre ( DrWEB: Trojan.Botnetlog.158, BitDefender: Trojan.Generic.KD.20850, AVAST4: Win32:Bredolab-DL [Trj] )
- c:\documents and settings\admin\local settings\temp\~tm35.tmp - Backdoor.Win32.Bredolab.fre ( DrWEB: Trojan.Botnetlog.158, BitDefender: Trojan.Generic.KD.20850, AVAST4: Win32:Bredolab-DL [Trj] )
- c:\documents and settings\admin\local settings\temp\~tm6a.tmp - Backdoor.Win32.Bredolab.fre ( DrWEB: Trojan.Botnetlog.158, BitDefender: Trojan.Generic.KD.20850, AVAST4: Win32:Bredolab-DL [Trj] )
- c:\documents and settings\admin\local settings\temp\~tm63.tmp - Backdoor.Win32.Bredolab.fre ( DrWEB: Trojan.Botnetlog.158, BitDefender: Trojan.Generic.KD.20850, AVAST4: Win32:Bredolab-DL [Trj] )
- c:\windows\system32\wbem\grpconv.exe - Backdoor.Win32.Bredolab.fre ( DrWEB: Trojan.Botnetlog.158, BitDefender: Trojan.Generic.KD.20850, AVAST4: Win32:Bredolab-DL [Trj] )
- c:\windows\temp\wpv821279545669.exe - Email-Worm.Win32.Joleee.fbc ( DrWEB: Trojan.Spambot.6788, BitDefender: Gen:Variant.Bredo.2, AVAST4: Win32:Bredolab-DM [Trj] )
-