Едедневно обнаруживается REG:SUSPICIOUS.UserinitCorrupted

[Terrorist495]

Приветствую!
Dr.Web ежедневно находит и удаляет объект Userinit, угроза REG:SUSPICIOUS.UserinitCorrupted
Заранее СПАСИБО!

[Info_bot]

Уважаемый(ая) Terrorist495, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[SQ]

Здравствуйте,

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); 
 QuarantineFile('E:\Program Files\EslWire\wire.exe','');
 QuarantineFile('C:\Games\ArtMoney\am745.exe','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Подготовьте лог AdwCleaner и приложите его в теме.

[Terrorist495]

Карантинный файл загрузил, вот лог AdwCleaner

[SQ]

- Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
  
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[Terrorist495]

Вот отчёты.

[SQ]

• Закройте и сохраните все открытые приложения.
• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  
  Код:

  Start::
  CreateRestorePoint:
  CloseProcesses:
  File: E:\Program Files\EslWire\service\WireHelperSvc.exe
  File: C:\Windows\SysWOW64\srvany.exe
  File: C:\Windows\KMService.exe
  FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
  FF Plugin-x32: @microsoft.com/GENUINE -> disabled [No File]
  Folder: C:\Users\Andrey\AppData\Local\Pokus002
  ShellIconOverlayIdentifiers: [
   MEGA (Pending)] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} =>  -> No File
  ShellIconOverlayIdentifiers: [
   MEGA (Synced)] -> {05B38830-F4E9-4329-978B-1DD28605D202} =>  -> No File
  ShellIconOverlayIdentifiers: [
   MEGA (Syncing)] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} =>  -> No File
  ShellIconOverlayIdentifiers-x32: [
   MEGA (Pending)] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} =>  -> No File
  ShellIconOverlayIdentifiers-x32: [
   MEGA (Synced)] -> {05B38830-F4E9-4329-978B-1DD28605D202} =>  -> No File
  ShellIconOverlayIdentifiers-x32: [
   MEGA (Syncing)] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} =>  -> No File
  ContextMenuHandlers1: [NTLEA_Menu] -> {2A963EEF-6970-41fa-936B-8ECDB2ED1000} =>  -> No File
  AlternateDataStreams: C:\ProgramData\TEMP:41ADDB8A [138]
  AlternateDataStreams: C:\ProgramData\TEMP:A064CECC [256]
  AlternateDataStreams: C:\Users\Все пользователи\TEMP:41ADDB8A [138]
  AlternateDataStreams: C:\Users\Все пользователи\TEMP:A064CECC [256]
  Reboot:
  End::

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

[Terrorist495]

Прилагаю файл.

[SQ]

Сообщите, что с проблемой?

[Terrorist495]

Вчера проверял, всё тоже самое. При проверке Dr.Web ежедневно находит Userinit, угроза REG:SUSPICIOUS.UserinitCorrupted

Самое интересное, что эта проблема появилась месяц назад, раньше её не было. Уж не знаю из-за чего она появилась.

[SQ]

Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.

[Terrorist495]

Прилагаю отчёт.

[SQ]

Выполните скрипт в uVS:

Код:

;uVS v4.1.1 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
cexec tools\CreateRestorePoint.exe BeforeCure
zoo E:\PROGRAM FILES (X86)\STEAM\STEAMAPPS\COMMON\PUBG\TSLGAME\BINARIES\WIN64\TSLGAME.EXE
zoo %SystemDrive%\GAMES\ARTMONEY\AM745.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.115\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.4\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.4\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE_64.DLL
restart

[Terrorist495]

Сделал всё как было указано в инструкции выше.

[SQ]

Возможно Ваш антивирус реагирует на приложение:

%SystemDrive%\GAMES\ARTMONEY\AM745.EXE

https://www.virustotal.com/#/file/b6...8fcd/detection

[Terrorist495]

Похоже что действительно был ArtMoney и это очень странно, программа уже 2 года установлена и раньше Dr.Web CureIt! ничего не находил. Удалил программу через Revo Uninstaller Pro с чисткой реестра, вылечил этот параметр через Dr.Web CureIt!, перезагрузил и О ЧУДО! после проверки антивирус ничего не обнаружил.

Большое спасибо!

[SQ]

Удалять не нужно было, так как я отправил запрос в Dr.Web и они подвердили, что это было ложное срабатывание.

Код:

Ваш запрос был проанализирован. Это срабатывание является ложным. Ошибка была исправлена.

P.S. Если это был вирус, то в скриптах бы указали бы удаление этого приложения.

- - - - -Добавлено - - - - -

В завершение:
1.

• Пожалуйста, запустите adwcleaner.exe
• В меню Настройки - Удалить AdwCleaner - выберите Удалить.
• Подтвердите удаление, нажав кнопку: Да.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

[Terrorist495]

Переименовываю FRST64.exe в uninstall.exe, запускаю и она запускается как обычно, компьютер не перезагружается.

Расширения типов файлов у меня показывает.

Безымянный.png

[SQ]

Странно, тогда просто удалите его.

[Terrorist495]

Ещё какие-то действия нужно производить?