Показано с 1 по 17 из 17.

userini в explorer'е, wvp[цифры].exe, protect.sys (заявка № 77332)

  1. #1
    Junior Member Репутация
    Регистрация
    18.03.2009
    Сообщений
    6
    Вес репутации
    33

    Thumbs up userini в explorer'е, wvp[цифры].exe, protect.sys

    Здравствуйте! Ситуация началась с падения nod32 2.7 (ошибка связи с ядром), потерей связи с интернет и ошибок в локальной сети. Запустил CureIT на всех машинах - нашел несколько вирусов, но ситуация не изменилась. Запустил AVZ, он нашел userini, protect.sys - удалил вручную (не скриптом), после перезагрузки userini снова в системе, а также в автозагрузке.

    Прошелся Trojan Remover - userini, wpv[цифры].exe - удалил, перезагрузил. На некоторых машинах помогло, но не на всех... wpv висит в процессах, но уже с другими цифрами, убивается вручную, но это не выход. Интернет в сети пока работает, но не знаю на долго ли. Возможно, в системе сидит еще какая-то дрянь (опыт не позволяет определить). Прошу помощи.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Профиксить:
    Код:
    O4 - HKLM\..\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe
    O4 - HKCU\..\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe
    O4 - HKLM\..\Policies\Explorer\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe
    O4 - HKCU\..\Policies\Explorer\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe
    Выполнить скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\System32\Drivers\protect.sys','');
     DeleteService('protect');
     DeleteFile('C:\WINDOWS\System32\Drivers\protect.sys');
    QuarantineFile('C:\WINDOWS\LastGood\explorer.exe:userini.exe:$DATA ','');
    DeleteFile('C:\WINDOWS\LastGood\explorer.exe:userini.exe:$DATA ');
     QuarantineFile('c:\windows\explorer.exe:userini.exe:$DATA','');
     QuarantineFile('C:\WINDOWS\system32\userini.exe','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\rmhcuoud.sys','');
     DeleteService('rmhcuoud');
     QuarantineFile('C:\WINDOWS\System32\Drivers\oervadwe.sys','');
     DeleteService('oervadwe');
     QuarantineFile('C:\WINDOWS\System32\Drivers\kgeivluj.sys','');
     DeleteService('kgeivluj');
     TerminateProcessByName('c:\windows\temp\wpv281272465328.exe');
     QuarantineFile('c:\windows\temp\wpv281272465328.exe','');
     QuarantineFile('c:\windows\explorer.exe:userini.exe','');
     TerminateProcessByName('c:\windows\explorer.exe:userini.exe');
     DeleteFile('c:\windows\explorer.exe:userini.exe');
     DeleteFile('c:\windows\temp\wpv281272465328.exe');
     DeleteFile('C:\WINDOWS\System32\Drivers\kgeivluj.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\oervadwe.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\rmhcuoud.sys');
     DeleteFile('C:\WINDOWS\system32\userini.exe');
     DeleteFile('c:\windows\explorer.exe:userini.exe:$DATA');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Повторить логи.
    Прислать карантин по Правилам.
    Последний раз редактировалось PavelA; 29.04.2010 в 14:48.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  4. #3
    Junior Member Репутация
    Регистрация
    18.03.2009
    Сообщений
    6
    Вес репутации
    33
    Ваш скрипт помог, но после выполнения стандартного "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" и перезагрузки FastScan Trojan Remover'а снова фиксирует активность и wpv опять в процессах...

  5. #4
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,547
    Вес репутации
    3021
    Пофиксите в HiJack
    Код:
    O4 - HKLM\..\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe
    O4 - HKCU\..\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe
    O4 - HKLM\..\Policies\Explorer\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe
    O4 - HKCU\..\Policies\Explorer\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    TerminateProcessByName('c:\windows\temp\wpv111272465034.exe');
    QuarantineFile('C:\WINDOWS\system32\wbem\grpconv.exe','');
     DeleteFile('C:\WINDOWS\system32\wbem\grpconv.exe');
    QuarantineFile('C:\WINDOWS\explorer.exe','');
      QuarantineFile('c:\windows\temp\wpv111272465034.exe','');
     DeleteFile('c:\windows\temp\wpv111272465034.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  6. #5
    Junior Member Репутация
    Регистрация
    18.03.2009
    Сообщений
    6
    Вес репутации
    33
    Выполнил. Карантин выслал оба раза по правилам (через ссылку). FastScan отмечает utuxodkz.sys

  7. #6
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,547
    Вес репутации
    3021
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    DeleteFile('C:\WINDOWS\explorer.exe:userini.exe:$DATA');
    DeleteFile('C:\WINDOWS\explorer.exe:userini.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Сделайте новые логи
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  8. #7
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Цитата Сообщение от zocs Посмотреть сообщение
    FastScan отмечает utuxodkz.sys
    Не волнуйтесь, это наш драйвер.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  9. #8
    Junior Member Репутация
    Регистрация
    18.03.2009
    Сообщений
    6
    Вес репутации
    33
    Выполнил. Может ли эта зараза распространяться по локальной сети? Или же остальные компьютеры были заражены, к примеру, через флешку? Можно ли, в моем случае, из перечисленных выше скриптов склеить один и попробовать на других машинах или все-таки для каждого компьютера отдельную тему создавать? wpv[цифры].exe присутствует на нескольких компах, так же как и protect.sys
    Вложения Вложения

  10. #9
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Из-за драйверов со случайными именами, которые я удалял в первом скрипте, универ. скрипт не получится.
    Надо открывать новые темы для других компьютеров в сети.

    На этом компьютере надо еще вот с этим protect.sys разобраться.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  11. #10
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,547
    Вес репутации
    3021
    Цитата Сообщение от PavelA Посмотреть сообщение
    На этом компьютере надо еще вот с этим protect.sys разобраться.
    Так ведь он удален уже
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  12. #11
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    В последних логах запись есть:
    protect
    Драйвер: Выгрузить, Удалить, Отключить protect Не запущен protect.sys
    Скрипт: Kарантин, Удалить, Удалить через BC System Bus Extender
    ОТ: Я не на рабочем месте. Карантины не смотрю.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  13. #12
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,547
    Вес репутации
    3021
    Действительно есть...

    Выполните скрипт в AVZ
    Код:
    begin
    DeleteService('protect');
     DeleteFile('protect.sys');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Сделайте новый лог virusinfo_syscheck.zip
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  14. #13
    Junior Member Репутация
    Регистрация
    18.03.2009
    Сообщений
    6
    Вес репутации
    33
    Выполнил. С остальными машинами попробую разобраться сам (было бы кстати, если бы мою заявку в "студенты" вскоре приняли). Спасибо вам за помощь. Обязательно как-нибудь отблагодарю.

  15. #14
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,547
    Вес репутации
    3021
    Чисто

    Установите Internet Explorer 8 (даже если им не пользуетесь)
    Обновите JavaRE
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  16. #15
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Цитата Сообщение от zocs Посмотреть сообщение
    было бы кстати, если бы мою заявку в "студенты" вскоре приняли
    Примем. Этим у нас Ник Головко занимается.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  17. #16
    Junior Member Репутация
    Регистрация
    18.03.2009
    Сообщений
    6
    Вес репутации
    33
    Спасибо!

  18. #17
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 15
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\windows\explorer.exe:userini.exe - Packed.Win32.Krap.x ( DrWEB: Trojan.Spambot.6788, BitDefender: Trojan.Bredolab.BN, AVAST4: Win32:Bredolab-DE [Trj] )
      2. c:\windows\explorer.exe:userini.exe:$data - Packed.Win32.Krap.x ( DrWEB: Trojan.Spambot.6788, BitDefender: Trojan.Bredolab.BN, AVAST4: Win32:Bredolab-DE [Trj] )
      3. c:\windows\lastgood\explorer.exe:userini.exe:$data - Packed.Win32.Krap.x ( DrWEB: Trojan.Spambot.6788, BitDefender: Trojan.Bredolab.BN, AVAST4: Win32:Bredolab-DE [Trj] )
      4. c:\windows\system32\wbem\grpconv.exe - Packed.Win32.Krap.gy ( DrWEB: Trojan.Botnetlog.158, BitDefender: Trojan.Spammer.Tedroo.CG, AVAST4: Win32:Spambot-EL [Trj] )
      5. c:\windows\temp\wpv111272465034.exe - Packed.Win32.Krap.x ( BitDefender: Trojan.Bredolab.BN, AVAST4: Win32:Bredolab-DE [Trj] )
      6. c:\windows\temp\wpv281272465328.exe - Packed.Win32.Krap.x ( DrWEB: Trojan.Spambot.6788, BitDefender: Trojan.Bredolab.BN, AVAST4: Win32:Bredolab-DE [Trj] )


  • Уважаемый(ая) zocs, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 4
      Последнее сообщение: 05.05.2012, 11:47
    2. Ответов: 13
      Последнее сообщение: 24.04.2012, 17:27
    3. Ответов: 4
      Последнее сообщение: 22.03.2012, 15:35
    4. explorer.exe:userini.exe или просто userini.exe
      От Darzok в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 27.01.2010, 01:37

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00485 seconds with 17 queries