-
Junior Member
- Вес репутации
- 53
Помогите, Bredolab-BC
Добрый день. Проблема такая, подцепил эту заразу (аваст проглядел), начал сильно тормозить инет и сам комп. В запущеных процессах присутствовали 4 процесса explorer.exe:user.ini. После проверки Авастом при загрузке, были найдены и удалены несколько файлов. Сейчас комп ожил, но всё же хотелось бы подстраховаться, дело в том, что комп рабочий и на нём стоит Drive Crypt, то-есть весь диск зашифрован, и в случае чего ... Заранее спасибо.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
В логах подозрительного не увидел
-
-
Junior Member
- Вес репутации
- 53
Меня смущают две вещи: дважды запущеные процессы hldasvc.exe, tbmux32.exe, и дата создания файла explorer.exe - 09.12.2009.
-
Сообщение от
janis1
Меня смущают две вещи: дважды запущеные процессы hldasvc.exe, tbmux32.exe, и дата создания файла explorer.exe - 09.12.2009.
По поводу процессов, могу ошибаться, но их и должно быть два.
explorer.exe - чистый.
Сделайте еще лог MBAM, проверим, может что осталось.
-
-
Junior Member
- Вес репутации
- 53
Вот что получилось.
p.s. Вначале запустил сканирование не отключив Аваст, он то-же начал ругаться на userini.exe(опять Бредолаб).
-
Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\userini.exe','');
DeleteFile('C:\WINDOWS\system32\userini.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится
Закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Сделайте новый лог MBAM
-
-
Junior Member
- Вес репутации
- 53
Карантин отослал, надеюсь, что сделал всё правильно Лог MBAM скоро создам.
-
Junior Member
- Вес репутации
- 53
-
Удалите в MBAM следующее
Код:
Заражено значений реестра:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\userini (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\userini (Trojan.Agent) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\userini (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\userini (Trojan.Agent) -> No action taken.
Как удалять см. здесь http://virusinfo.info/showpost.php?p=493584&postcount=2
Сделайте новый лог MBAM для контроля
-
-
Junior Member
- Вес репутации
- 53
-
В логе чисто, что с проблемой?
-
-
Junior Member
- Вес репутации
- 53
Проблема (видимая), как таковая на момент написания топика уже отсутствовала. Но как видите зловред присутствувал. Сейчас вроде всё то-же нормально. Как вернуть userini.exe в зад?
-
Сообщение от
janis1
Как вернуть userini.exe в зад?
C:\WINDOWS\system32\userini.exe-KIS 2009=Зловред Packed.Win32.Krap.x; DrWEB 5.0=Зловред Trojan.Spambot.6788; VBA32=Файл чистый; BitDefender=Зловред Trojan.Generic.2837276; NOD32=Файл чистый; Avast4=Зловред Win32:Bredolab-BD [Trj]
Вы хотите его вернуть? Не путать с userinit.exe
-
-
Junior Member
- Вес репутации
- 53
Сообщение от
shapel
Вы хотите его вернуть?
Судя по всему, уже не хочу
Большое СПАСИБО за помощь!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 4
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\userini.exe - Packed.Win32.Krap.x ( DrWEB: Trojan.Spambot.6788, BitDefender: Trojan.Generic.2837276, AVAST4: Win32:Bredolab-BD [Trj] )
-