explorer.exe : userini.exe

Printable View

30.04.2010, 16:14
L.cbr

explorer.exe : userini.exe

после загрузки системы запускаются 5 процессов explorer.exe:userini.exe
самостоятельное лечение ни к чему не привело
проверьте пожалуйста логи
30.04.2010, 16:31
DefesT

[URL="http://virusinfo.info/showthread.php?t=4905"]Отключите восстановление системы[/URL]
[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL] в Hijackthis:[CODE]R3 - URLSearchHook: (no name) - {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} - (no file)
R3 - URLSearchHook: (no name) - - (no file)
R3 - URLSearchHook: (no name) - {E9598854-2568-48DF-9755-1D330BD50EDE} - (no file)
F2 - REG:system.ini: UserInit=userinit.exe
O4 - HKLM\..\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe
O4 - HKCU\..\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe
O4 - HKLM\..\Policies\Explorer\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe
O4 - HKCU\..\Policies\Explorer\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe
O20 - Winlogon Notify: reset5c - C:\WINDOWS\SYSTEM32\reset5c.dll[/CODE]
Скачайте "OSAM" ([URL="http://www2.online-solutions.ru/ru/download_file.php?p=65580"]Online Solutions Autorun Manager[/URL]). В меню драйверов правой кнопкой по [B]kuptfasi[/B] и выберите "Turn Run Off". Подтвердите перезагрузку.
Отключите компьютер от интернета, а также [B]антивирус[/B] и/или [B]файрвол[/B].
Закройте все программы, выполните скрипт в AVZ:[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\Drivers\kuptfasi.sys','');
QuarantineFile('C:\Documents and Settings\Администратор\csrss.exe','');
QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\4BA94U5O\netprotocol[2].exe','');
QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\4BA94U5O\netprotocol[1].exe','');
QuarantineFile('c:\windows\explorer.exe:userini.exe:$DATA','');
QuarantineFile('c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise.exe','');
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('C:\WINDOWS\System32\netprotocol.dll','');
QuarantineFile('C:\Documents and Settings\Администратор\vqg.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\TASKMAN.exe','');
QuarantineFile('C:\WINDOWS\system32\reset5c.dll','');
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\zwog.exe','');
QuarantineFile('C:\WINDOWS\system32\CTFMON.EXE','');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\zwog.exe');
DeleteFile('C:\WINDOWS\system32\Drivers\kuptfasi.sys');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\TASKMAN.exe');
DeleteFile('C:\Documents and Settings\Администратор\vqg.exe');
DeleteFile('c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise.exe');
DeleteFile('c:\windows\explorer.exe:userini.exe:$DATA');
DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\4BA94U5O\netprotocol[1].exe');
DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\4BA94U5O\netprotocol[2].exe');
DeleteFile('C:\Documents and Settings\Администратор\csrss.exe');
DeleteFile('C:\WINDOWS\system32\reset5c.dll');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
DeleteFile('C:\WINDOWS\System32\netprotocol.dll');
DelCLSID('08B0E5C0-4FCB-11CF-AAX5-90401C608512');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Netprotocol\Parameters','ServiceDll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','userini');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','userini');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','userinit');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','userinit');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MSConfig');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(7);
ExecuteWizard('TSW',2,2,true);
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил [COLOR="DarkRed"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы. Сделайте новые логи по правилам (virusinfo_syscure.zip, virusinfo_syscheck.zip и hijackthis.log)
30.04.2010, 18:58
L.cbr

все сделал
вот новые логи
30.04.2010, 20:00
DefesT

[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL] в Hijackthis:[CODE]F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe
O4 - HKLM\..\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe
O4 - HKCU\..\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe
O4 - HKLM\..\Policies\Explorer\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe
O4 - HKCU\..\Policies\Explorer\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe
O20 - Winlogon Notify: reset5c - reset5c.dll (file missing)[/CODE]
Отключите компьютер от интернета, а также [B]антивирус[/B] и/или [B]файрвол[/B].
Закройте все программы, выполните скрипт в AVZ:[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
TerminateProcessByName('c:\windows\temp\wpv591272623446.exe');
QuarantineFile('C:\WINDOWS\system32\userini.exe','');
QuarantineFile('c:\windows\temp\wpv591272623446.exe','');
DeleteFile('c:\windows\temp\wpv591272623446.exe');
DeleteFile('C:\WINDOWS\explorer.exe:userini.exe:$DATA');
DeleteFile('C:\WINDOWS\system32\userini.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','userini');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','userini');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил [COLOR="DarkRed"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы. Сделайте новые логи
01.05.2010, 10:29
L.cbr

карантин пуст
при соединении с нетом, запускается wpv[цифры].exe
01.05.2010, 13:43
thyrex

Сделайте лог [url]http://virusinfo.info/showpost.php?p=493610&postcount=1[/url]
01.05.2010, 14:48
L.cbr

пофиксил через ComboFix
вот лог
01.05.2010, 21:43
thyrex

c:\windows\system32\grpconv.exe восстановите с дистрибутива [url]http://virusinfo.info/showthread.php?t=51654[/url]

Пуск - Выполнить - regedit
В ветке [QUOTE][HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost][/QUOTE] в правой части найдите параметр [B]DcomLaunch[/B] и удалите в нем строку [B]Netprotocol[/B]

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
[code]KillAll::

File::

Driver::
gfzitaprg
qrbqb

NetSvc::
gfzitaprg
qrbqb
Folder::

Registry::

FileLook::

DirLook::[/code]
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
[img]http://i076.radikal.ru/1003/e5/554faea12baf.gif[/img]
Когда сохранится новый отчет [B]ComboFix.txt[/B], прикрепите его к сообщению.
17.05.2010, 10:10
L.cbr

Спасибо всем кто помогал с проблемой)
Я уезжал на несколько дней и без меня снесли ось
Но выражаю огромную благодарность за решение моей проблемы)
18.05.2010, 10:10
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]39[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\localservice\local settings\temporary internet files\content.ie5\4ba94u5o\netprotocol[2].exe - [B]Trojan-Downloader.Win32.Piker.bty[/B] ( DrWEB: Trojan.Packed.19647, BitDefender: Gen:Heur.Krypt.11, AVAST4: Win32:Bredolab-BR [Trj] )[*] c:\documents and settings\администратор\application data\zwog.exe - [B]Trojan.Win32.Buzus.dtlh[/B] ( DrWEB: Trojan.MulDrop1.15756, BitDefender: Trojan.Agent.APLN, AVAST4: Win32:Malware-gen )[*] c:\documents and settings\администратор\csrss.exe - [B]P2P-Worm.Win32.Palevo.adgy[/B] ( BitDefender: Gen:Variant.Rimecud.1 )[*] c:\windows\explorer.exe:userini.exe:$data - [B]Packed.Win32.Krap.x[/B] ( DrWEB: Trojan.Spambot.6788, BitDefender: Trojan.Bredolab.BN, AVAST4: Win32:Bredolab-DE [Trj] )[*] c:\windows\system32\drivers\kuptfasi.sys - [B]Rootkit.Win32.Pakes.zo[/B] ( DrWEB: Trojan.Siggen.18257, BitDefender: Backdoor.Tofsee.Gen, NOD32: Win32/TrojanDownloader.Genome.CLU trojan, AVAST4: Win32:Malware-gen )[*] c:\windows\system32\reset5c.dll - [B]Trojan-Proxy.Win32.Small.agf[/B] ( AVAST4: Win32:Malware-gen )[*] c:\windows\system32\userini.exe - [B]Packed.Win32.Krap.x[/B] ( DrWEB: Trojan.Spambot.6788, BitDefender: Trojan.Bredolab.BO, AVAST4: Win32:Rootkit-gen [Rtk] )[/LIST][/LIST]