cicld.dll

Printable View

16.09.2011, 08:35
Никита Шагиев

Вложений: 3

cicld.dll

Авира начала ругаться на данную дллку, но удалить, поместить в карантин или зделать что-нибудь иное с ней невозможно. Так-же появились новые процессы в диспетчере задач, и при запуске виндовс вылетает пустое окно ошибки (диалоговое окно с рисунком красного крестика, но без текста)
16.09.2011, 08:36
Info_bot

Уважаемый(ая) [B]Никита Шагиев[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
16.09.2011, 09:10
Techno

Здравствуйте!!!
Ваше [B]C:\Users\Darknest One\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Autodial.bat[/B] ?
Вот эта строка Вам о чем нибудь говорит?:)
[CODE]F2 - REG:system.ini: UserInit=userinit.win /PASSWORD=zzCH6IPA7WZyggNhg1Es /verysilent[/CODE]
Файл [B]userinit.win[/B] знаком? А пароль [B]zzCH6IPA7WZyggNhg1Es[/B]?:) Windows сборка или оригинал? Оригинальный файл [B]C:\windows\system32\userinit.exe[/B] присутствует в системе?

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните в АВЗ:[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
TerminateProcessByName('C:\Windows\system32\d3d9.exe');
QuarantineFile('C:\Windows\system32\userinit.win','');
QuarantineFile('C:\Windows\system32\d3d9.exe','');
QuarantineFile('c:\windows\system32\mssrv32.exe','');
QuarantineFile('C:\Windows\system32\cicld.dll','');
DeleteFile('C:\Windows\system32\cicld.dll');
DeleteFile('c:\windows\system32\mssrv32.exe');
DeleteFile('C:\Windows\system32\d3d9.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Win');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('msupdate');
BC_Activate;
RebootWindows(true);
end.[/CODE]

[COLOR="#FF0000"]Компьютер перезагрузится[/COLOR]

[B]После перезагрузки:[/B]
- Выполните в АВЗ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Файл [B]quarantine.zip[/B] из папки AVZ загрузите по ссылке "[COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR]" вверху темы.

- [B]Обновите базы АВЗ[/B] (АВЗ -> меню "Файл" -> "Обновление баз" -> "Пуск"), [URL="http://virusinfo.info/showthread.php?t=4905"]отключите восстановление системы[/URL] и Повторите логи.
16.09.2011, 09:35
Никита Шагиев

Здравствуйте) Autodial это наше) Юзеринит или пароль нам не знаком. Винда-сборка (ес надо, могу указать от кого) Сейчас выполню, что указано
UPD:
В указанном месте есть файл Userinit.exe

[size="1"][color="#666686"][B][I]Добавлено через 8 минут[/I][/B][/color][/size]

Восстановление отключено, базы свежие. Логи хайджека тоже нужны, простите за глупый вопрос?
16.09.2011, 09:37
Techno

[quote="Никита Шагиев;826435"]Логи хайджека тоже нужны, простите за глупый вопрос?[/quote]
Да.
16.09.2011, 10:13
Никита Шагиев

Вложений: 3

Новые логи
16.09.2011, 10:27
Techno

- [URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите в HijackThis:[/URL]
[CODE]F2 - REG:system.ini: UserInit=userinit.win /PASSWORD=zzCH6IPA7WZyggNhg1Es /verysilent
O4 - HKLM\..\Policies\Explorer\Run: [Win] d3d9.exe
O20 - AppInit_DLLs: cicld.dll[/CODE]

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните в АВЗ:[/URL]
[CODE]begin
BC_DeleteFile('c:\windows\system32\mssrv32.exe');
BC_DeleteFile('C:\Windows\system32\userinit.win');
BC_DeleteFile('C:\Windows\system32\d3d9.exe');
BC_DeleteFile('C:\Windows\system32\cicld.dll');
BC_DeleteSvc('msupdate');
BC_Activate;
RebootWindows(true);
end.[/CODE]

[COLOR="#FF0000"]Компьютер перезагрузится[/COLOR]

- Повторите логи АВЗ.
16.09.2011, 11:21
Никита Шагиев

Вложений: 2

Вот логи. Только после перезагрузки не загрузилась ни одна программа з автозапуска. Даж эксплорер пришлось грузить вручную. И в хайджеке после перезагрузки все пункты появились заново.
Перезагрузка теперь только с ручным запуском эксплорера, антивирус и фаервол сами не загружаются тоже, рабочий стол виндовс аэро слетел.
16.09.2011, 11:32
Никита Шагиев

О, еще раз запустил хайджек, пофиксил, перезагрузил, все заработало. Антивирус вроде молчит)
16.09.2011, 16:55
Techno

[URL="http://virusinfo.info/showthread.php?t=108964&p=826443&viewfull=1#post826443"]Скрипт из сообщения 7[/URL] повторите.
Повторите логи [B]virusinfo_syscheck.zip[/B]‎ и [B]hijackthis.log‎.[/B]
17.09.2011, 16:55
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]18[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\d3d9.exe - [B]Trojan.VBS.Starter.fd[/B] ( DrWEB: Trojan.Siggen3.14575, BitDefender: Trojan.Generic.6654545 )[*] c:\\windows\\system32\\mssrv32.exe - [B]Backdoor.Win32.Kbot.bey[/B] ( DrWEB: Trojan.DownLoader.26661, BitDefender: Packer.Malware.FriCryptor.B, AVAST4: Win32:Malware-gen )[*] c:\\windows\\system32\\userinit.win - [B]Trojan.Win32.Agent.hvgq[/B] ( DrWEB: Trojan.Siggen3.6756, BitDefender: Gen:Trojan.Heur.GG3@rKfhRxdj )[/LIST][/LIST]