Помогите, Bredolab-BC

Printable View

10.12.2009, 11:38
janis1

Помогите, Bredolab-BC

Добрый день. Проблема такая, подцепил эту заразу (аваст проглядел), начал сильно тормозить инет и сам комп. В запущеных процессах присутствовали 4 процесса explorer.exe:user.ini. После проверки Авастом при загрузке, были найдены и удалены несколько файлов. Сейчас комп ожил, но всё же хотелось бы подстраховаться, дело в том, что комп рабочий и на нём стоит Drive Crypt, то-есть весь диск зашифрован, и в случае чего :censored:... Заранее спасибо.
10.12.2009, 12:10
Шапельский Александр

В логах подозрительного не увидел
10.12.2009, 12:31
janis1

Меня смущают две вещи: дважды запущеные процессы hldasvc.exe, tbmux32.exe, и дата создания файла explorer.exe - 09.12.2009.
10.12.2009, 12:52
Шапельский Александр

[QUOTE=janis1;530859]Меня смущают две вещи: дважды запущеные процессы hldasvc.exe, tbmux32.exe, и дата создания файла explorer.exe - 09.12.2009.[/QUOTE]
По поводу процессов, могу ошибаться, но их и должно быть два.
explorer.exe - чистый.
Сделайте еще лог MBAM, проверим, может что осталось.
10.12.2009, 14:34
janis1

Вот что получилось.
p.s. Вначале запустил сканирование не отключив Аваст, он то-же начал ругаться на userini.exe(опять Бредолаб).
10.12.2009, 14:40
Шапельский Александр

Выполните скрипт
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\userini.exe','');
DeleteFile('C:\WINDOWS\system32\userini.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Компьютер перезагрузится
Закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).

Сделайте новый лог MBAM
10.12.2009, 15:06
janis1

Карантин отослал, надеюсь, что сделал всё правильно:) Лог MBAM скоро создам.
10.12.2009, 15:52
janis1

Вот, пожалуйста лог:
10.12.2009, 16:19
Шапельский Александр

Удалите в MBAM следующее
[CODE]Заражено значений реестра:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\userini (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\userini (Trojan.Agent) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\userini (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\userini (Trojan.Agent) -> No action taken.[/CODE]
Как удалять см. здесь [URL="http://virusinfo.info/showpost.php?p=493584&postcount=2"]http://virusinfo.info/showpost.php?p=493584&postcount=2[/URL]
Сделайте новый лог MBAM для контроля
10.12.2009, 17:35
janis1

Удалил. Вот лог:
10.12.2009, 18:25
Шапельский Александр

В логе чисто, что с проблемой?
11.12.2009, 11:25
janis1

Проблема (видимая), как таковая на момент написания топика уже отсутствовала. Но как видите зловред присутствувал.:) Сейчас вроде всё то-же нормально. Как вернуть userini.exe в зад?
11.12.2009, 12:11
Шапельский Александр

[QUOTE='janis1;531804']Как вернуть userini.exe в зад? [/QUOTE]
[B]C:\WINDOWS\system32\userini.exe[/B]-KIS 2009=Зловред Packed.Win32.Krap.x; DrWEB 5.0=Зловред Trojan.Spambot.6788; VBA32=Файл чистый; BitDefender=Зловред Trojan.Generic.2837276; NOD32=Файл чистый; Avast4=Зловред Win32:Bredolab-BD [Trj]
Вы хотите его вернуть?:) Не путать с [B]userinit.exe[/B]
11.12.2009, 12:22
janis1

[QUOTE='shapel;531832']Вы хотите его вернуть?[/QUOTE] Судя по всему, уже не хочу:>:D
Большое СПАСИБО за помощь!
12.12.2009, 12:22
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\userini.exe - [B]Packed.Win32.Krap.x[/B] ( DrWEB: Trojan.Spambot.6788, BitDefender: Trojan.Generic.2837276, AVAST4: Win32:Bredolab-BD [Trj] )[/LIST][/LIST]