-
Junior Member
- Вес репутации
- 51
помогите исвести yjty.exe
Здравствуйте Уважаемые.
Ситуация : непонятную дрянь подхватил мой ноутбук,
симптомы: после загрузки браузера выскакивают непонятные ошибки и процессы, полез смотреть нашел вот такие файлы
yjty.exe
fokacoqu.exe
userini.exe
System.exe
плюс в диспечере задач непонятное пиршество
пытался удалить - ничего не получается все заново прописывается.
Помогите удалить и
Посмотрите ПОЖАЛУЙСТА правильно ли у меня выставлена автозагрузка системных файлов - боюсь выключить ноут думаю, что то напортачил.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Пофиксите в hijackthis -
Код:
F2 - REG:system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O2 - BHO: (no name) - AutorunsDisabled - (no file)
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('c:\windows\explorer.exe:userini.exe:$DATA','');
QuarantineFile('C:\WINDOWS\explorer.exe:userini.exe:$DATA','');
QuarantineFile('C:\Documents and Settings\005\Application Data\yjty.exe','');
QuarantineFile('C:\WINDOWS\system32\system.exe','');
QuarantineFile('C:\WINDOWS\system32\userini.exe','');
DeleteFile('C:\WINDOWS\system32\userini.exe');
DeleteFile('C:\WINDOWS\system32\system.exe');
DeleteFile('C:\Documents and Settings\005\Application Data\yjty.exe');
DeleteFile('C:\WINDOWS\explorer.exe:userini.exe:$DATA');
DeleteFile('c:\windows\explorer.exe:userini.exe:$DATA');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Services');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
ExecuteRepair(11);
ExecuteRepair(16);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
- Повторите логи.
-
-
Junior Member
- Вес репутации
- 51
-
1. Профиксите в HijackThis как "профиксить в HiJackThis"
Код:
O4 - HKLM\..\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe
O4 - HKCU\..\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe
O4 - HKLM\..\Policies\Explorer\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe
O4 - HKCU\..\Policies\Explorer\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe
2.Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\fokacoqu.exe');
TerminateProcessByName('c:\windows\temp\wpv331280736279.exe');
QuarantineFile('C:\WINDOWS\explorer.exe:userini.exe:$DATA','');
QuarantineFile('C:\Documents and Settings\005\Local Settings\Temporary Internet Files\Content.IE5\POA9W9Y7\vertu[1].htm','');
QuarantineFile('c:\windows\explorer.exe:userini.exe','');
QuarantineFile('C:\WINDOWS\system32\soutouvo.exe','');
QuarantineFile('C:\WINDOWS\system32\fokacoqu.exe','');
QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
DeleteService('tcpsr');
SetServiceStart('Btcsrusbj', 4);
QuarantineFile('C:\WINDOWS\System32\DRIVERS\Btcsrusbj.sys','');
QuarantineFile('C:\WINDOWS\System32\DRIVERS\aecq.sys','');
DeleteService('aecq');
DeleteService('oipadyiiwgr');
QuarantineFile('C:\WINDOWS\system32\kouber.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\NDIS.sys','');
QuarantineFile('c:\windows\temp\wpv331280736279.exe','');
QuarantineFile('c:\windows\system32\fokacoqu.exe','');
DeleteFile('c:\windows\system32\fokacoqu.exe');
DeleteFile('c:\windows\temp\wpv331280736279.exe');
DeleteFile('C:\WINDOWS\System32\DRIVERS\aecq.sys');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('C:\WINDOWS\system32\fokacoqu.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','doojouhoo');
DeleteFile('C:\WINDOWS\system32\soutouvo.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','pyryquyb');
DeleteFile('c:\windows\explorer.exe:userini.exe:$DATA');
DeleteFile('C:\Documents and Settings\005\Local Settings\Temporary Internet Files\Content.IE5\POA9W9Y7\vertu[1].htm');
DeleteFile('C:\WINDOWS\explorer.exe:userini.exe');
DeleteFile('C:\Documents and Settings\005\Local Settings\Temporary Internet Files\Content.IE5\POA9W9Y7\vertu[1].htm');
DeleteFileMask('C:\Documents and Settings\005\Local Settings\Temporary Internet Files\Content.IE5', '*.*', true);;
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
- Сделайте лог MBAM
-
-
Junior Member
- Вес репутации
- 51
1. Профиксите в HijackThis
Выполнено
2.Выполните скрипт в AVZ
Выполнено
3. После перезагрузки:
- выполните такой скрипт
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
Выполнено
4. Сделайте повторные логи (virusinfo_syscheck.zip; hijackthis.log)
Выполнено и прикреплено
5. - Сделайте лог MBAM
Выполнил прикрепил
Теперь по ситуации : Пофиксил в HijackThis 4 строчки, после выполнил
длинный скрипт в АВЗ, комп долго думал, потом завис на долго
пришлось вынимать батарейку отключать от электро сети перезагружать.
Загрузил и опять все повторил, на этот раз удачно.
после перезагрузки в диспечере все равно непонятные процессы
загрузил счас HijackThis опять все 4 строчки на месте востановились
-
Удалите в MBAM -
Код:
Зараженные ключи в реестре:
HKEY_CLASSES_ROOT\CLSID\{1408e208-2ac1-42d3-9f10-78a5b36e05ac} (Trojan.BHO) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ati4jnxx (Rootkit.Agent) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\MADOWN (Worm.Magania) -> No action taken.
Зараженные параметры в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\userini (Trojan.Dropper) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\userini (Trojan.Dropper) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\userini (Trojan.Dropper) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\userini (Trojan.Dropper) -> No action taken.
Зараженные папки:
C:\Documents and Settings\All Users.WINDOWS\Application Data\msvd32srv (Worm.AutoRun) -> No action taken.
C:\Program Files\WinPop (Adware.WinPop) -> No action taken.
C:\WINDOWS\system32\wsnpoem (Trojan.Agent) -> No action taken.
Зараженные файлы:
C:\WINDOWS\explorer.exe:userini.exe (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\000\Local Settings\Temporary Internet Files\Content.IE5\UV2VU5YZ\'file[1].exe' (Malware.Packer) -> No action taken.
C:\Documents and Settings\0000\Local Settings\Temp\07LFgOB2.exe (Trojan.Downloader) -> No action taken.
C:\Documents and Settings\0000\Local Settings\Temp\pWnkpiWa.exe (Trojan.Downloader) -> No action taken.
C:\Documents and Settings\0000\Local Settings\Temp\v3x1.g22me (Trojan.Xorpix) -> No action taken.
C:\Documents and Settings\0000\Local Settings\Temp\Temporary Internet Files\Content.IE5\C63JYFLT\5[1].exe (Trojan.Downloader) -> No action taken.
C:\System Volume Information\_restore{61920E9E-9FF7-4E5C-9F65-761B9F5F732B}\RP271\A0038726.EXE (Trojan.Downloader) -> No action taken.
C:\System Volume Information\_restore{61920E9E-9FF7-4E5C-9F65-761B9F5F732B}\RP271\A0038727.EXE (Trojan.Downloader) -> No action taken.
C:\System Volume Information\_restore{61920E9E-9FF7-4E5C-9F65-761B9F5F732B}\RP271\A0038741.exe (Worm.Brontok) -> No action taken.
C:\System Volume Information\_restore{61920E9E-9FF7-4E5C-9F65-761B9F5F732B}\RP284\A0042846.EXE (Trojan.Downloader) -> No action taken.
C:\System Volume Information\_restore{61920E9E-9FF7-4E5C-9F65-761B9F5F732B}\RP284\A0042847.EXE (Trojan.Downloader) -> No action taken.
C:\System Volume Information\_restore{61920E9E-9FF7-4E5C-9F65-761B9F5F732B}\RP284\A0042861.exe (Worm.Brontok) -> No action taken.
C:\WINDOWS\Temp\wpv021280735770.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\system32\kouber.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\system32\tyfur.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\system32\drivers\ati4jnxx.sys (Rootkit.Agent) -> No action taken.
C:\WINDOWS\system32\drivers\Btcsrusbj.sys (Rootkit.Agent) -> No action taken.
C:\WINDOWS\system32\wbem\grpconv.exe (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\All Users.WINDOWS\Application Data\msvd32srv\autorunlf.exe (Worm.AutoRun) -> No action taken.
C:\Documents and Settings\005\Application Data\yjty.exe (Worm.Palevo) -> No action taken.
C:\Documents and Settings\005\Application Data\wiaservg.log (Malware.Trace) -> No action taken.
C:\4.tmp (Trojan.Agent) -> No action taken.
C:\Documents and Settings\000\~tmp1174.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\msauc.exe (Trojan.Agent) -> No action taken.
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
StopService('ati4jnxx');
DeleteService('ati4jnxx');
QuarantineFile('C:\WINDOWS\system32\hifaquuhu.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\ati4jnxx.sys','');
DeleteFile('c:\windows\explorer.exe:userini.exe:$DATA');
DeleteFile('C:\WINDOWS\system32\Drivers\ati4jnxx.sys');
BC_DeleteSvc('ati4jnxx');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('SCU',2,2,true);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
- Повторите логи АВЗ и MBAM
-
-
Junior Member
- Вес репутации
- 51
Все выполнил
в MBAM просто клацнул удалить все.
скрипт в Авз выполнил перезагрузился.
карантин прислал.
Логи сделал - накаких красных подозрительных обьектов или
процессов Авз ненашел
и МВАМ тоже никаких инфицированных обьектов не выявил!
Вроде все вылечилось!
Господа хочу вам выразить Огромную Признательность и Глубокое Уважение за ваш труд! Спасибо! спасли меня.
-
Дабы не увидеть Вас здесь через два дня опять, мы Вам рекомендуем -
- Обновить Windows XP SP2, установите SP3, может потребоваться активация.
- Internet Explorer v6.00 до восьмой версии, даже если Вы его не используете.
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 51
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\005\application data\yjty.exe - Backdoor.Win32.Bredolab.ghi ( DrWEB: Win32.HLLW.Autoruner.22584, BitDefender: Trojan.Generic.AS.000987, AVAST4: Win32:Bredolab-DO [Trj] )
- c:\documents and settings\005\local settings\temporary internet files\content.ie5\poa9w9y7\vertu[1].htm - Packed.Win32.Krap.m ( DrWEB: Trojan.Packed.19706, BitDefender: Trojan.Packed.Hiloti.Gen.2, AVAST4: Win32:Walpak [Cryp] )
- c:\windows\explorer.exe:userini.exe - Backdoor.Win32.Bredolab.gqa ( BitDefender: Gen:Trojan.Heur.FU.dqW@a0kwvxdc, AVAST4: Win32:Bredolab-DO [Trj] )
- c:\windows\explorer.exe:userini.exe:$data - Backdoor.Win32.Bredolab.gqa ( BitDefender: Gen:Trojan.Heur.FU.dqW@a0kwvxdc, AVAST4: Win32:Bredolab-DO [Trj] )
- c:\windows\explorer.exe:userini.exe:$data - Email-Worm.Win32.Joleee.fcw ( DrWEB: Trojan.Spambot.6788, BitDefender: Trojan.Crypter.F, AVAST4: Win32:Bredolab-DN [Trj] )
- c:\windows\system32\drivers\btcsrusbj.sys - Backdoor.Win32.Agent.avbz ( DrWEB: Trojan.Proxy.15396, BitDefender: Trojan.Generic.4310101, NOD32: Win32/Agent.WQK trojan, AVAST4: Win32:Malware-gen )
- c:\windows\system32\drivers\ndis.sys - Virus.Win32.Protector.b ( DrWEB: BackDoor.Bulknet.417, BitDefender: Rootkit.Kobcka.Patched.Gen, NOD32: Win32/Protector.B virus, AVAST4: Win32:Cutwail-J [Rtk] )
- c:\windows\system32\fokacoqu.exe - Backdoor.Win32.Bredolab.gps ( DrWEB: Trojan.Botnetlog.477, BitDefender: Trojan.Generic.4652843, AVAST4: Win32:Bredolab-DO [Trj] )
- c:\windows\system32\kouber.exe - Backdoor.Win32.Bredolab.gps ( DrWEB: Trojan.Botnetlog.477, BitDefender: Trojan.Generic.4652843, AVAST4: Win32:Bredolab-DO [Trj] )
- c:\windows\system32\soutouvo.exe - Backdoor.Win32.Bredolab.gps ( DrWEB: Trojan.Botnetlog.477, BitDefender: Trojan.Generic.4652843, AVAST4: Win32:Bredolab-DO [Trj] )
- c:\windows\system32\userini.exe - Trojan-Downloader.Win32.Small.kpp ( DrWEB: Trojan.Spambot.6788, BitDefender: Gen:Trojan.Heur.FU.dqW@aOb@FElc, AVAST4: Win32:Bredolab-DO [Trj] )
- c:\windows\temp\wpv331280736279.exe - Backdoor.Win32.Bredolab.gqa ( BitDefender: Gen:Trojan.Heur.FU.dqW@a0kwvxdc, AVAST4: Win32:Bredolab-DO [Trj] )
-