Userini грузит процессор

Printable View

02.07.2010, 19:43
akalibr

Userini грузит процессор

Загрузка доходит до 100% при минимуме запущенных программ
02.07.2010, 21:32
Nikkollo

Отключите интернет.
Выгрузите/отключите антивирус/файрволл.

Пофиксите в HijackThis:
[CODE]
F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe
O4 - HKLM\..\Policies\Explorer\Run: [csrcs] C:\WINDOWS\system32\csrcs.exe
O4 - HKLM\..\Policies\Explorer\Run: [userini] C:\WINDOWS\system32\userini.exe
O4 - HKCU\..\Policies\Explorer\Run: [Dr.Watson] C:\WINDOWS\system32\sysnkey32.exe
O4 - HKCU\..\Policies\Explorer\Run: [userini] C:\WINDOWS\system32\userini.exe
[/CODE]

Выполните скрипт в AVZ:
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Cher1\Application Data\ibnzs.exe','');
QuarantineFile('C:\WINDOWS\system32\userini.exe','');
QuarantineFile('C:\WINDOWS\system32\sysnkey32.exe','');
QuarantineFile('C:\WINDOWS\system32\csrcs.exe','');
QuarantineFile('C:\Documents and Settings\Cher1\Application Data\mrpky.exe','');
QuarantineFile('C:\DOCUME~1\Cher1\LOCALS~1\Temp\lgwawfiyjo.sys','');
DeleteFile('C:\DOCUME~1\Cher1\LOCALS~1\Temp\lgwawfiyjo.sys');
DeleteFile('C:\Documents and Settings\Cher1\Application Data\mrpky.exe');
DeleteFile('C:\WINDOWS\system32\csrcs.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','csrcs');
DeleteFile('C:\WINDOWS\system32\userini.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini');
DeleteFile('C:\WINDOWS\system32\sysnkey32.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini');
DeleteFile('C:\Documents and Settings\Cher1\Application Data\ibnzs.exe');
ExecuteWizard('TSW', 2, 2, true);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

[/CODE]
Компьютер перезагрузится.

После перезагрузки выполните скрипт в AVZ:
[CODE]
begin
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
[/CODE]

Запустите/включите антивирус/файрволл.
Подключите интернет.

Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".

Повторите лог virusinfo_syscheck.zip и лог HijackThis и приложите в теме.
02.07.2010, 22:28
akalibr

логи и карантин выслал.
Вирус в системе сидит, это показал Интернет.
Посмотрите, пожалуйста.
02.07.2010, 23:02
Nikkollo

Отключите интернет.
Выгрузите/отключите антивирус/файрволл.

Пофиксите в HijackThis:
[CODE]
F3 - REG:win.ini: run=C:\WINDOWS\system32\virejww.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\DOCUME~1\Cher1\LOCALS~1\Temp\bldjad.exe
[/CODE]

Выполните скрипт в AVZ:
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
TerminateProcessByName('c:\windows\temp\wpv951278066679.exe');
QuarantineFile('C:\WINDOWS\Temp\wpv951278066679.exe','');
QuarantineFile('C:\WINDOWS\system32\virejww.exe','');
QuarantineFile('C:\DOCUME~1\Cher1\LOCALS~1\Temp\bldjad.exe','');
DeleteFile('C:\WINDOWS\Temp\wpv951278066679.exe');
DeleteFile('C:\WINDOWS\system32\virejww.exe');
DeleteFile('C:\DOCUME~1\Cher1\LOCALS~1\Temp\bldjad.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

[/CODE]
Компьютер перезагрузится.

После перезагрузки выполните скрипт в AVZ:
[CODE]
begin
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
[/CODE]

Запустите/включите антивирус/файрволл.
Подключите интернет.

Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".

У вас очень уязвимая система.
Воздержитесь от посещения сомнительных сайтов и открытия вложений в письмах, даже от известных вам адресатов, если вы эти письма от них не ожидали.
Скачайте и установите SP3 для Windows XP:
[url]http://www.microsoft.com/downloads/details.aspx?familyid=5B33B5A8-5E76-401F-BE08-1E1555D4F3D4&displaylang=ru[/url]
А так же обновления, вышедшие после него:
[url]http://poleznosti.ru/soft/file_catalog/?file_id=20080528205228[/url]
Так же обновите Internet Explorer до актуальной версии (даже если не используете):
[url]http://www.microsoft.com/rus/windows/internet-explorer/[/url]

Повторите для контроля лог virusinfo_syscheck.zip и лог HijackThis и приложите в теме.
03.07.2010, 00:04
thyrex

И такой лог [url]http://virusinfo.info/showpost.php?p=457118&postcount=1[/url] тоже сделайте
03.07.2010, 01:12
akalibr

загрузил карантин
при подключении к Инету в папке windows/temp опять какой-то вирь вылез

[size="1"][color="#666686"][B][I]Добавлено через 13 минут[/I][/B][/color][/size]

поставлю обновления, потом буду дальше пробовать
03.07.2010, 09:04
akalibr

после установки sp3 critical updates и IE8 сделал новые логи
прошу поглядеть
интернет при проведении сканирования не подключал, боюсь
03.07.2010, 12:41
PavelA

Удалить:
[CODE]C:\Documents and Settings\Cher1\Local Settings\Temporary Internet Files\Content.IE5\TUCDU565\update[1].exe (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\Cher1\Local Settings\Temporary Internet Files\Content.IE5\S5HPFTIX\apatu[1].exe (Trojan.VB) -> No action taken.
C:\Documents and Settings\Cher1\Local Settings\Temporary Internet Files\Content.IE5\S5HPFTIX\1[2].exe (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\Cher1\Local Settings\Temporary Internet Files\Content.IE5\S5HPFTIX\1[3].exe (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\Cher1\Local Settings\Temporary Internet Files\Content.IE5\59CZDPVO\h2[1].exe (Malware.Packer.Gen) -> No action taken.[/CODE]
Выполнить скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\apa.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\str.sys','');
DeleteFile('c:\windows\system32\userini.exe');
DeleteFile('C:\WINDOWS\system32\userini.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Прислать карантин.
03.07.2010, 13:02
thyrex

В дополнение к совету Павла также [URL="http://virusinfo.info/showpost.php?p=493584&postcount=2"]удалить в МВАМ[/URL]
[CODE]Зараженные процессы в памяти:
C:\WINDOWS\system32\userini.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\system32\userini.exe (Trojan.Dropper) -> No action taken.

Зараженные ключи в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DRM\amty (Worm.Autorun) -> No action taken.

Зараженные параметры в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\userini (Trojan.Dropper) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\userini (Trojan.Dropper) -> No action taken.

Зараженные файлы:
C:\WINDOWS\system32\apa.exe (Trojan.VB) -> No action taken.
C:\WINDOWS\system32\wbem\grpconv.exe (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\Cher1\Application Data\wiaservg.log (Malware.Trace) -> No action taken.
C:\Documents and Settings\LocalService\Application Data\wiaservg.log (Malware.Trace) -> No action taken.
C:\Documents and Settings\NetworkService\Application Data\wiaservg.log (Malware.Trace) -> No action taken.
C:\WINDOWS\system32\drivers\str.sys (Rootkit.Agent) -> No action taken.[/CODE]

Проверьте наличие файла C:\WINDOWS\system32\grpconv.exe
Если будет отсутствовать, восстановите с дистрибутива [url]http://virusinfo.info/showthread.php?t=51654[/url]
03.07.2010, 13:14
akalibr

карантин выслал, поглядите
03.07.2010, 13:45
akalibr

все проделал высылаю логи на всякий случай
03.07.2010, 13:47
PavelA

Лог МБАМ тоже пришлите.
03.07.2010, 16:28
Nikkollo

Еще уязвимости поищем...
Выполните скрипт в AVZ отсюда:
[url]http://df.ru/~kad/ScanVuln.txt[/url]
Файл avz_log.txt из папки AVZ\LOG приложите в теме.
03.07.2010, 18:23
akalibr

[B]PavelA[/B], прикладываю отчет

[B]Nikkollo[/B], скрипт нашел одну уязвимость - уязвимость flashplayer, и выдал ссылку, я перешел по ней, скачал и установил flashplayer. После второго прокручивания скрипта ошибок найдено не было.
03.07.2010, 19:44
PavelA

[CODE]C:\WINDOWS\system32\apa.exe (Trojan.VB) -> No action taken.
C:\WINDOWS\system32\wbem\grpconv.exe (Trojan.Dropper) -> No action taken.[/CODE]
Эту парочку через карантин AVZ пришлите на проверку.
03.07.2010, 20:19
akalibr

выполнил скрипт
[QUOTE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\apa.exe','');
QuarantineFile('C:\WINDOWS\system32\wbem\grpconv.exe','');
DeleteFile('C:\WINDOWS\system32\apa.exe');
DeleteFile('C:\WINDOWS\system32\wbem\grpconv.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/QUOTE]
и выслал карантин, логи в процессе
03.07.2010, 20:20
thyrex

[URL="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалить в МВАМ[/URL]
[CODE]Зараженные файлы:
C:\WINDOWS\system32\apa.exe (Trojan.VB) -> No action taken.
C:\WINDOWS\system32\wbem\grpconv.exe (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\Cher1\Application Data\wiaservg.log (Malware.Trace) -> No action taken.
C:\Documents and Settings\LocalService\Application Data\wiaservg.log (Malware.Trace) -> No action taken.
C:\Documents and Settings\NetworkService\Application Data\wiaservg.log (Malware.Trace) -> No action taken.
C:\WINDOWS\system32\drivers\str.sys (Rootkit.Agent) -> No action taken.[/CODE]

Проверьте наличие файла C:\WINDOWS\system32\grpconv.exe
Если будет отсутствовать, восстановите с дистрибутива [url]http://virusinfo.info/showthread.php?t=51654[/url]
03.07.2010, 20:31
akalibr

логи
03.07.2010, 20:59
thyrex

[B]akalibr[/B], Вы можете, наконец, выполнить то, что Вам говорят!?

Прочтите сообщение №17
03.07.2010, 21:10
akalibr

По поводу поста 17. Я так все и выполнил, как вы мне говорили: удалил при помощи МБАМ описанные в посте строчки, после перезагрузки повторил проверку, МБАМ ничего не нашла.Файлик C:\WINDOWS\system32\grpconv.exe заменил
полез в Интернет, вроде ничего не подмотал еще через IE.
В папке c:\Windows\Temp\ ничего лишнего не появляется.
Спасибо всем за внимание
04.07.2010, 21:10
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]4[/B][*]Обработано файлов: [B]43[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\cher1\application data\ibnzs.exe - [B]Trojan.Win32.Pincav.acon[/B] ( DrWEB: Trojan.Siggen1.58262 )[*] c:\windows\system32\apa.exe - [B]Trojan.Win32.VB.vtx[/B] ( DrWEB: Trojan.Siggen.4543, BitDefender: Trojan.Generic.2508160, NOD32: Win32/TrojanDownloader.Small.OOT trojan, AVAST4: Win32:VBMod [Trj] )[*] c:\windows\system32\userini.exe - [B]Email-Worm.Win32.Joleee.eyc[/B] ( DrWEB: Trojan.Spambot.6788, BitDefender: Trojan.Generic.4334536, AVAST4: Win32:Malware-gen )[*] c:\windows\system32\virejww.exe - [B]Trojan-Dropper.Win32.Agent.cioc[/B] ( DrWEB: Trojan.Packed.20497, BitDefender: Gen:Backdoor.Heur.dmKfqSfqk1ec, AVAST4: Win32:Malware-gen )[*] c:\windows\system32\wbem\grpconv.exe - [B]Backdoor.Win32.Bredolab.fjx[/B] ( DrWEB: Trojan.Botnetlog.158, BitDefender: Trojan.Generic.4526991, AVAST4: Win32:Bredolab-DJ [Trj] )[*] c:\windows\temp\wpv951278066679.exe - [B]Trojan-Ransom.Win32.PinkBlocker.bzi[/B] ( DrWEB: Trojan.Winlock.2066 )[/LIST][/LIST]