Показано с 1 по 18 из 18.

userini.exe, startup virus (заявка № 86181)

  1. #1
    Junior Member Репутация
    Регистрация
    24.08.2010
    Адрес
    kyiv, ukraine
    Сообщений
    31
    Вес репутации
    24

    Thumbs up userini.exe, startup virus

    Всем привет!
    Сканил в безопасном режиме альтернативными антивирусами(cureit, kasperskiy, avz) комп, вирусы они находят и кладут их в карантин, после перезаггрузки вирусы (Startup: 0njee6q.exe) все равно висят в процессах, никак не могу побороть
    помогите с троянами, ниже отчет программы avz

    модератор, вложил логи avz, логи Malwarebytes Antimalware не создались, 1,5 часа сканил винчестер, в итоге нашел 10 инфицированных файлов,но папка Logs пустая, не знаю почему, что делать дальше?
    тепер могу загрузиться только в безопасном режиме и то через раз, в автозагрузке уже не появляются левые процессы, но в моем профиле во временной папке появляются неизвестные экзешники, удаляются только ручками но снова появляются после перезагрузки, хелп!
    Вложения Вложения
    Последний раз редактировалось pig; 24.08.2010 в 14:57. Причина: карантин в теме неуместен

  2. Реклама
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    1.Профиксите в HijackThis
    Код:
    O4 - HKLM\..\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe
    O4 - HKCU\..\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe
    O4 - HKLM\..\Policies\Explorer\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe
    O4 - HKCU\..\Policies\Explorer\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe
    O4 - Startup: 0njee6q.exe
    2. Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     TerminateProcessByName('c:\windows\system32\userini.exe');
     QuarantineFile('C:\Documents and Settings\Л\Главное меню\Программы\Автозагрузка\0njee6q.exe','');
     QuarantineFile('C:\Documents and Settings\Л\msgvn.exe','');
     QuarantineFile('c:\windows\system32\userini.exe','');
     DeleteFile('c:\windows\system32\userini.exe');
     DeleteFile('C:\Documents and Settings\Л\msgvn.exe');
     DeleteFile('C:\Documents and Settings\Л\Главное меню\Программы\Автозагрузка\0njee6q.exe');
     QuarantineFile('C:\Documents and Settings\Л\Application Data\ehgey.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-2922857610-1968273733-176158403-8679\yv8g67.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-7535988068-7278369957-386093702-1356\yv8g67.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-9323064280-7641228079-534478287-0787\nissan.exe','');
     DeleteFile('C:\RECYCLER\S-1-5-21-2922857610-1968273733-176158403-8679\yv8g67.exe');
     DeleteFile('C:\RECYCLER\S-1-5-21-7535988068-7278369957-386093702-1356\yv8g67.exe');
     DeleteFile('C:\Documents and Settings\Л\Application Data\ehgey.exe');
     DeleteFile('C:\RECYCLER\S-1-5-21-9323064280-7641228079-534478287-0787\nissan.exe');
     DeleteFileMask('C:\RECYCLER\S-1-5-21-2922857610-1968273733-176158403-8679', '*.*', true);
     DeleteDirectory('C:\RECYCLER\S-1-5-21-2922857610-1968273733-176158403-8679');
     DeleteFileMask('C:\RECYCLER\S-1-5-21-7535988068-7278369957-386093702-1356', '*.*', true);
     DeleteDirectory('C:\RECYCLER\S-1-5-21-7535988068-7278369957-386093702-1356');
     DeleteFileMask('C:\RECYCLER\S-1-5-21-9323064280-7641228079-534478287-0787', '*.*', true);
     DeleteDirectory('C:\RECYCLER\S-1-5-21-9323064280-7641228079-534478287-0787');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman ');
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteRepair(11);
     ExecuteWizard('TSW', 2, 2, true);
     ExecuteWizard('SCU', 2, 2, true);
     RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun',221);
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
    - Сделайте лог MBAM

  4. #3
    Junior Member Репутация
    Регистрация
    24.08.2010
    Адрес
    kyiv, ukraine
    Сообщений
    31
    Вес репутации
    24
    - Сделайте лог MBAM

    1,5 часа сканировал, нашел 10 инфицированных файлов , но логи не создались! пустая папка logs по вышеуказанному пути

    модератор, вложил логи avz, логи Malwarebytes Antimalware не создались, 1,5 часа сканил винчестер, в итоге нашел 10 инфицированных файлов,но папка Logs пустая, не знаю почему, что делать дальше?
    тепер могу загрузиться только в безопасном режиме и то через раз, в автозагрузке уже не появляются левые процессы, но в моем профиле во временной папке появляются неизвестные экзешники, удаляются только ручками но снова появляются после перезагрузки, хелп!
    Последний раз редактировалось pig; 24.08.2010 в 14:58. Причина: убрал оверквотинг, а то глаза разбегаются

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    делайте комплект догов

  6. #5
    Junior Member Репутация
    Регистрация
    24.08.2010
    Адрес
    kyiv, ukraine
    Сообщений
    31
    Вес репутации
    24
    polword,
    в шапку прикрепил

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1288
    Цитата Сообщение от polword Посмотреть сообщение
    вложил логи avz
    Надо было в этом сообщении, а не в первом. История много чему учит.

  8. #7
    Junior Member Репутация
    Регистрация
    24.08.2010
    Адрес
    kyiv, ukraine
    Сообщений
    31
    Вес репутации
    24
    Цитата Сообщение от pig Посмотреть сообщение
    Надо было в этом сообщении, а не в первом. История много чему учит.
    по просьбе трудящих выкладываю сюда
    Вложения Вложения
    Последний раз редактировалось pig; 24.08.2010 в 14:57. Причина: Для карантина отдельная ссылка есть

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    Файл quarantine.zip - из темы уберите...
    Цитата Сообщение от polword Посмотреть сообщение
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
    Добавлено через 1 минуту

    - Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     QuarantineFile('G:\check.exe','');
     QuarantineFile('G:\autorun.inf','');
     DeleteFile('C:\Documents and Settings\Л\msgvn.exe');
     DeleteFile('G:\autorun.inf');
     DeleteFile('G:\check.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman ');
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteRepair(11);
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
    Последний раз редактировалось polword; 24.08.2010 в 15:05. Причина: Добавлено

  10. #9
    Junior Member Репутация
    Регистрация
    24.08.2010
    Адрес
    kyiv, ukraine
    Сообщений
    31
    Вес репутации
    24
    Цитата Сообщение от polword Посмотреть сообщение
    Файл quarantine.zip - из темы уберите...
    сорри, туплю, загрузил файл карантина, по поводу bds сейчас буду смотреть дамп памяти

  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    сделайте скрипт и новые логи

  12. #11
    Junior Member Репутация
    Регистрация
    24.08.2010
    Адрес
    kyiv, ukraine
    Сообщений
    31
    Вес репутации
    24

    сделал новые логи, проверьте, пожалуйста

    polword,
    Вложения Вложения

  13. #12
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    - Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     QuarantineFile('C:\Documents and Settings\Л\msgvn.exe','');
     QuarantineFile('C:\Documents and Settings\Л\Application Data\ozzfhv.exe','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\Beep.sys','');
     DeleteService('srservice');
     QuarantineFile('C:\WINDOWS\system32\drivers\AtapiDrv.sys','');
     DeleteFile('C:\WINDOWS\system32\drivers\AtapiDrv.sys');
     DeleteFile('srservice.sys');
      DeleteFile('C:\Documents and Settings\Л\Application Data\ozzfhv.exe');
     DeleteFile('C:\Documents and Settings\Л\msgvn.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman ');
     BC_ImportAll;
     BC_DeleteSvc('srservice');
     BC_DeleteFile('srservice.sys');
     ExecuteSysClean;
     ExecuteRepair(11);
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)

  14. #13
    Junior Member Репутация
    Регистрация
    24.08.2010
    Адрес
    kyiv, ukraine
    Сообщений
    31
    Вес репутации
    24

    сделал

    polword,
    сделал!
    Вложения Вложения

  15. #14
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    - сделайте лог Combofix

  16. #15
    Junior Member Репутация
    Регистрация
    24.08.2010
    Адрес
    kyiv, ukraine
    Сообщений
    31
    Вес репутации
    24
    Цитата Сообщение от polword Посмотреть сообщение
    - сделайте лог Combofix
    сделал!
    Вложения Вложения
    • Тип файла: txt log.txt (10.0 Кб, 2 просмотров)

  17. #16
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    - Замените файл c:\windows\system32\winlogon.exe на чистый из дистрибутива.

    Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
    Код:
    KillAll::
    
    File::
    c:\windows\system32\userini.exe
    c:\windows\system32\1A86B8\A4F961.EXE
    c:\windows\System32\ifjuibics.exe
    
    Driver::
    
    NetSvc::
    
    Folder::
    c:\windows\system32\1A86B8
    
    Registry::
    [-HKLM\~\startupfolder\C:^Documents and Settings^Л^Главное меню^Программы^Автозагрузка^0njee6q.exe]
    
    FileLook::
    
    DirLook::
    После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.



    Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

  18. #17
    Junior Member Репутация
    Регистрация
    24.08.2010
    Адрес
    kyiv, ukraine
    Сообщений
    31
    Вес репутации
    24
    polword,
    спасибо за помощь, ноут уже не у меня, заявку можно закрывать, винда грузится в startup вирусов не видно

  19. #18
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,562
    Вес репутации
    942

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 3
    • Обработано файлов: 28
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\documents and settings\\л\\application data\\ehgey.exe - Trojan-Downloader.Win32.Agent.eigw ( DrWEB: Trojan.Packed.21552, BitDefender: Trojan.Generic.4792090, AVAST4: Win32:MalOb-CS [Cryp] )
      2. c:\\documents and settings\\л\\application data\\ozzfhv.exe - Trojan-Spy.Win32.Zbot.astq ( DrWEB: Trojan.Packed.21552, BitDefender: Trojan.Generic.7372303, NOD32: Win32/Bflient.K worm, AVAST4: Win32:MalOb-CS [Cryp] )
      3. c:\\documents and settings\\л\\msgvn.exe - Backdoor.Win32.Bredolab.het ( DrWEB: Trojan.Packed.21552, BitDefender: Gen:Variant.Kazy.1007, NOD32: Win32/Peerfrag.II worm, AVAST4: Win32:MalOb-CS [Cryp] )
      4. c:\\windows\\system32\\drivers\\atapidrv.sys - Rootkit.Win32.Agent.blls ( DrWEB: Trojan.NtRootKit.6671, BitDefender: Backdoor.Generic.435125, AVAST4: Win32:FakeAV-ANE [Rtk] )
      5. c:\\windows\\system32\\drivers\\beep.sys - Rootkit.Win32.Agent.blls ( DrWEB: Trojan.NtRootKit.6671, BitDefender: Backdoor.Generic.435125, AVAST4: Win32:FakeAV-ANE [Rtk] )
      6. c:\\windows\\system32\\userini.exe - Backdoor.Win32.Bredolab.hfw ( DrWEB: Trojan.Packed.21552, BitDefender: Trojan.Generic.KD.28134, AVAST4: Win32:Crypt-HIL [Trj] )
      7. g:\\check.exe - Backdoor.Win32.Bredolab.het ( DrWEB: Trojan.Packed.21552, BitDefender: Gen:Variant.Kazy.1007, NOD32: Win32/Peerfrag.II worm, AVAST4: Win32:MalOb-CS [Cryp] )

    Рекомендации:
    1. Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !


  • Уважаемый(ая) error1982, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Computer slowness on startup
      От tanveer в разделе Malware Removal Service
      Ответов: 3
      Последнее сообщение: 11.08.2010, 10:43
    2. slow startup and shutdown
      От sarath в разделе Malware Removal Service
      Ответов: 2
      Последнее сообщение: 13.06.2010, 10:45
    3. explorer.exe:userini.exe или просто userini.exe
      От Darzok в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 27.01.2010, 01:37
    4. sanitardiska + userinit.exe в Startup
      От Need help в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 17.07.2008, 01:34
    5. PT Startup Monitor
      От egik в разделе Другие программы по безопасности
      Ответов: 1
      Последнее сообщение: 27.05.2007, 09:37

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00536 seconds with 22 queries