Показано с 1 по 16 из 16.

kaspersky 2009 съедает userinit (заявка № 92636)

  1. #1
    Junior Member Репутация
    Регистрация
    29.11.2010
    Сообщений
    16
    Вес репутации
    49

    Thumbs up kaspersky 2009 съедает userinit

    Здравствуйте! Антивирус при проверке находит в userinit троян, вылечить не может и удаляет его, я восстанавливаю с диска, но он при следующей загрузке опять оказывается зараженным. Кто-то его заражает еще до загрузки виндовс, т.к. на диске с которого я его восстанавливал он чистый.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    - Выполните скрипт в AVZ

    Код:
    var
    i : integer;
    KeyList : TStringList;                      
    begin
    KeyList := TStringList.Create;
    RegKeyEnumKey('HKLM','SYSTEM', KeyList);
    for i := 0 to KeyList.Count-1 do
    if pos('controlset', LowerCase(KeyList[i])) > 0 then
     begin
     if RegKeyExistsEx('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\BITS') then
      begin
      RegKeyResetSecurity('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\BITS');
      RegKeyStrParamWrite('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
      AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+KeyList[i]+'\Services\BITS исправлено на оригинальное.');
      end;
     if RegKeyExistsEx('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\wuauserv') then
      begin 
      RegKeyResetSecurity('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\wuauserv');
      RegKeyStrParamWrite('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
      AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+KeyList[i]+'\Services\wuauserv исправлено на оригинальное.');
      end;
     end;
     KeyList.Free;
     SaveLog(GetAVZDirectory + 'fystemRoot.log');
     QuarantineFile('C:\WINDOWS\system32\userinit.exe','');
     ExecuteWizard('TSW', 2, 2, true);
     ExecuteWizard('SCU', 2, 2, true);
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
    - Сделайте лог MBAM

  4. #3
    Junior Member Репутация
    Регистрация
    29.11.2010
    Сообщений
    16
    Вес репутации
    49
    Сделал все как просили, вот логи, карантин отправил

  5. #4
    Junior Member Репутация
    Регистрация
    29.11.2010
    Сообщений
    16
    Вес репутации
    49
    Не дождался сегодня ответа, буду теперь только завтра, так что все действия буду производить тоже завтра. По возможности опишите шаги которые нужно предпринять, чтоб не ждать весь день ответа (из за разницы в часовых поясах долгое лечение получается).

  6. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    - Выполните скрипт в AVZ
    Код:
    begin
      DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,'); 
     QuarantineFile('C:\WINDOWS\system32\waehapsclib.dll','');
     QuarantineFile('C:\WINDOWS\system32\waemapsclib.dll','');
     QuarantineFile('C:\WINDOWS\system32\waepapsclib.dll','');
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы

    - удалите в MBAM
    Код:
    Зараженные ключи в реестре:
    HKEY_CLASSES_ROOT\CLSID\{ff4ec53a-ca51-9a39-6cdd-5ffb26fb445c} (Spyware.Bividon) -> No action taken.
    HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
    HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
    HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
    HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe (Trojan.Agent) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\FuckYou (Malware.Trace) -> No action taken.
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Enum\Root\LEGACY_MD_ServicesB1 (Backdoor.Bot) -> No action taken.
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WIND0WS (Trojan.GamesThief) -> No action taken.
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINHELP32 (Trojan.Backdoor) -> No action taken.
    
    Зараженные параметры в реестре:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> No action taken.
    
    Объекты реестра заражены:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Rogue.Antivirus2010) -> Data: c:\windows\system32\userinit.exe -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Rogue.Antivirus2010) -> Data: system32\userinit.exe -> No action taken.
    
    Зараженные папки:
    C:\Documents and Settings\All Users\Application Data\Storm\update\%SESSIONNAME% (Trojan.ServiceHijacker) -> No action taken.
    C:\Program Files\AntivirusXP2008 (Rogue.AntiVirus2008) -> No action taken.
    C:\Program Files\AntivirusXP2008\Bases (Rogue.AntiVirus2008) -> No action taken.
    C:\Program Files\AntivirusXP2008\Cache (Rogue.AntiVirus2008) -> No action taken.
    C:\Program Files\AntivirusXP2008\Plugins (Rogue.AntiVirus2008) -> No action taken.
    C:\Program Files\AntivirusXP2008\Skins (Rogue.AntiVirus2008) -> No action taken.
    C:\Program Files\AntivirusXP2008\Sounds (Rogue.AntiVirus2008) -> No action taken.
    C:\Program Files\Microsoft Common (Trojan.Agent) -> No action taken.
    C:\WINDOWS\system32\lowsec (Stolen.data) -> No action taken.
    
    Зараженные файлы:
    C:\WINDOWS\system32\waehapsclib.dll (Malware.Packer) -> No action taken.
    C:\WINDOWS\system32\waemapsclib.dll (Malware.Packer) -> No action taken.
    C:\WINDOWS\system32\waepapsclib.dll (Malware.Packer) -> No action taken.
    C:\Program Files\AntivirusXP2008\htmlayout.dll (Rogue.AntiVirus2008) -> No action taken.
    C:\Program Files\AntivirusXP2008\Icon.ico (Rogue.AntiVirus2008) -> No action taken.
    C:\Program Files\AntivirusXP2008\key (Rogue.AntiVirus2008) -> No action taken.
    C:\Program Files\AntivirusXP2008\loader.htm (Rogue.AntiVirus2008) -> No action taken.
    C:\Program Files\AntivirusXP2008\msxml.dll (Rogue.AntiVirus2008) -> No action taken.
    C:\Program Files\AntivirusXP2008\psapi.dll (Rogue.AntiVirus2008) -> No action taken.
    C:\Program Files\AntivirusXP2008\SmartLoader.exe (Rogue.AntiVirus2008) -> No action taken.
    C:\Program Files\AntivirusXP2008\Uninstall.exe (Rogue.AntiVirus2008) -> No action taken.
    C:\Program Files\AntivirusXP2008\Bases\boot8d_vm.bin (Rogue.AntiVirus2008) -> No action taken.
    C:\Program Files\AntivirusXP2008\Bases\kernel46r_lg.bin (Rogue.AntiVirus2008) -> No action taken.
    C:\Program Files\AntivirusXP2008\Bases\spy2_ew.bin (Rogue.AntiVirus2008) -> No action taken.
    C:\Program Files\AntivirusXP2008\Bases\sys35_lh.bin (Rogue.AntiVirus2008) -> No action taken.
    C:\Program Files\AntivirusXP2008\Skins\Default.smart (Rogue.AntiVirus2008) -> No action taken.
    C:\Program Files\AntivirusXP2008\Sounds\hover.wav (Rogue.AntiVirus2008) -> No action taken.
    C:\Program Files\AntivirusXP2008\Sounds\press.wav (Rogue.AntiVirus2008) -> No action taken.
    C:\Program Files\AntivirusXP2008\Sounds\ready.wav (Rogue.AntiVirus2008) -> No action taken.
    C:\Program Files\AntivirusXP2008\Sounds\virfound.wav (Rogue.AntiVirus2008) -> No action taken.
    C:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> No action taken.
    C:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> No action taken.
    C:\WINDOWS\system32\delSelf.bat (Malware.Trace) -> No action taken.
    C:\Documents and Settings\Администратор\Local Settings\Temp\explorer.exe (Trojan.Agent) -> No action taken.
    C:\WINDOWS\Help\kfdtk.chm (Malware.Trace) -> No action taken.
    C:\WINDOWS\system32\svchost.ex (Heuristics.Reserved.Word.Exploit) -> No action taken.
    - Замените файл C:\WINDOWS\system32\userinit.exe на чистый из дистрибутива.

    - Сделайте повторный лог virusinfo_syscheck.zip;
    - Сделайте лог MBAM
    Последний раз редактировалось polword; 30.11.2010 в 20:42.

  7. #6
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    А также

    Сделайте лог ComboFix
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  8. #7
    Junior Member Репутация
    Регистрация
    29.11.2010
    Сообщений
    16
    Вес репутации
    49
    все логи приложил

  9. #8
    Junior Member Репутация
    Регистрация
    29.11.2010
    Сообщений
    16
    Вес репутации
    49
    после сделанного combofix лога и перезагрузки не стартует explorer.exe, приходится запускать его ручками из диспетчера задач. (выяснил случайно, рубанули свет, комп выключился, после включения рабочего стола как не бывало )
    Заметил что при загрузке сразу открывается папка мои документы, такое чувство что вместо explorer она прописана.
    Последний раз редактировалось kondrat82; 01.12.2010 в 09:58.

  10. #9
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    ComboFix тут не причем

    userinit.exe заменили?

    c:\windows\system32\drivers\beep.sys восстановите с дистрибутива http://virusinfo.info/showthread.php?t=51654

    Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
    Код:
    KillAll::
    
    File::
    
    Driver::
    wind0ws
    wind1ws
    wind2ws
    
    NetSvc::
    wind0ws
    wind1ws
    wind2ws
    
    Folder::
    
    Registry::
    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
    "Userinit"="c:\windows\system32\userinit.exe,"
    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
    "WabSvc"=-
    "WacSvc"=-
    "xcvs"=-
    "WadSvc"=-
    "WaeSvc"=-
    "WaehSvc"=-
    "WaeiSvc"=-
    "WaemSvc"=-
    "WaeqSvc"=-
    
    FileLook::
    
    DirLook::
    После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

    Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  11. #10
    Junior Member Репутация
    Регистрация
    29.11.2010
    Сообщений
    16
    Вес репутации
    49
    Я понял что не причем. Вобщем взяли меня за горло по поводу лечения, ибо комп был нужен срочно, пока ждал ответа, пришлось накатывать сп3, userinit.exe explorer.exe beep.sys были заменены на оригиналы с диска. После наката выполнил приложенный код. Лог прикрепляю. По поводу работы системы нареканий нет, каспер молчит, процесов левых вроде не видно. Знаю что поступил не совсем по правилам, но времени уже не было ждать. Всем огромное спасибо за помощь! В след году сам запишусь на курсы т.к. сталкиваюсь с лечением постоянно, но такое впервые мне попалось.

    Добавлено через 4 минуты

    лог не прикрепился т.к. после сп3 стал весть 830 килобайт, а у вас стоит ограничение. Ну в общем я думаю проблем больше не будет с ним, еще раз спасибо! Здорово выручили!
    Последний раз редактировалось kondrat82; 01.12.2010 в 13:43. Причина: Добавлено

  12. #11
    Junior Member Репутация
    Регистрация
    29.11.2010
    Сообщений
    16
    Вес репутации
    49
    совсем голова не варит уже, можно же запаковать в архив
    Вложения Вложения

  13. #12
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550

  14. #13
    Junior Member Репутация
    Регистрация
    29.11.2010
    Сообщений
    16
    Вес репутации
    49
    Удалил. 5 часов машина в работе, пока все нормально!

  15. #14
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    Обновите систему
    - Установите Internet-Explorer 8.(даже если Вы его не используете)
    - Поставте все последние обновления системы Windows - тут

    После обновления:
    - Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
    Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
    Перезагрузите компьютер.
    Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
    Последний раз редактировалось thyrex; 02.12.2010 в 00:04. Причина: SP3 уже накатили

  16. #15
    Junior Member Репутация
    Регистрация
    29.11.2010
    Сообщений
    16
    Вес репутации
    49
    Вчера при обновлении и поставил internet explorer 8. За скрипт спасибо проверю заодно свою машинку. За обновлениями старюсь следить вовремя, просто этот чужой компьютер был.

  17. #16
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 4
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\userinit.exe - Trojan.Win32.Agent.ghds ( DrWEB: Trojan.Smitnyl, BitDefender: Trojan.YoDDOS.B, AVAST4: Win32:Smitnyl [Trj] )


  • Уважаемый(ая) kondrat82, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 4
      Последнее сообщение: 29.04.2012, 01:11
    2. Ответов: 2
      Последнее сообщение: 13.08.2011, 22:44
    3. не запускается AVP Kaspersky 2009
      От Hunter_rid в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 05.06.2009, 14:12
    4. Ответов: 60
      Последнее сообщение: 19.07.2008, 20:05
    5. Ответов: 0
      Последнее сообщение: 20.06.2008, 22:41

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00920 seconds with 20 queries