после загрузки системы запускаются 5 процессов explorer.exe:userini.exe
самостоятельное лечение ни к чему не привело
проверьте пожалуйста логи
после загрузки системы запускаются 5 процессов explorer.exe:userini.exe
самостоятельное лечение ни к чему не привело
проверьте пожалуйста логи
Отключите восстановление системы
Пофиксите в Hijackthis:Скачайте "OSAM" (Online Solutions Autorun Manager). В меню драйверов правой кнопкой по kuptfasi и выберите "Turn Run Off". Подтвердите перезагрузку.Код:R3 - URLSearchHook: (no name) - {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} - (no file) R3 - URLSearchHook: (no name) - - (no file) R3 - URLSearchHook: (no name) - {E9598854-2568-48DF-9755-1D330BD50EDE} - (no file) F2 - REG:system.ini: UserInit=userinit.exe O4 - HKLM\..\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe O4 - HKCU\..\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe O4 - HKLM\..\Policies\Explorer\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe O4 - HKCU\..\Policies\Explorer\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe O20 - Winlogon Notify: reset5c - C:\WINDOWS\SYSTEM32\reset5c.dll
Отключите компьютер от интернета, а также антивирус и/или файрвол.
Закройте все программы, выполните скрипт в AVZ:После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи по правилам (virusinfo_syscure.zip, virusinfo_syscheck.zip и hijackthis.log)Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\Drivers\kuptfasi.sys',''); QuarantineFile('C:\Documents and Settings\Администратор\csrss.exe',''); QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\4BA94U5O\netprotocol[2].exe',''); QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\4BA94U5O\netprotocol[1].exe',''); QuarantineFile('c:\windows\explorer.exe:userini.exe:$DATA',''); QuarantineFile('c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise.exe',''); QuarantineFile('C:\WINDOWS\system32\sdra64.exe',''); QuarantineFile('C:\WINDOWS\System32\netprotocol.dll',''); QuarantineFile('C:\Documents and Settings\Администратор\vqg.exe',''); QuarantineFile('C:\Documents and Settings\Администратор\Application Data\TASKMAN.exe',''); QuarantineFile('C:\WINDOWS\system32\reset5c.dll',''); QuarantineFile('C:\Documents and Settings\Администратор\Application Data\zwog.exe',''); QuarantineFile('C:\WINDOWS\system32\CTFMON.EXE',''); DeleteFile('C:\Documents and Settings\Администратор\Application Data\zwog.exe'); DeleteFile('C:\WINDOWS\system32\Drivers\kuptfasi.sys'); DeleteFile('C:\Documents and Settings\Администратор\Application Data\TASKMAN.exe'); DeleteFile('C:\Documents and Settings\Администратор\vqg.exe'); DeleteFile('c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise.exe'); DeleteFile('c:\windows\explorer.exe:userini.exe:$DATA'); DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\4BA94U5O\netprotocol[1].exe'); DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\4BA94U5O\netprotocol[2].exe'); DeleteFile('C:\Documents and Settings\Администратор\csrss.exe'); DeleteFile('C:\WINDOWS\system32\reset5c.dll'); DeleteFile('C:\WINDOWS\system32\sdra64.exe'); DeleteFile('C:\WINDOWS\System32\netprotocol.dll'); DelCLSID('08B0E5C0-4FCB-11CF-AAX5-90401C608512'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Netprotocol\Parameters','ServiceDll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','userini'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','userini'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini'); RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','userinit'); RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','userinit'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MSConfig'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman'); RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221); BC_ImportALL; ExecuteSysClean; BC_Activate; ExecuteRepair(7); ExecuteWizard('TSW',2,2,true); RebootWindows(true); end.
все сделал
вот новые логи
Пофиксите в Hijackthis:Отключите компьютер от интернета, а также антивирус и/или файрвол.Код:F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe O4 - HKLM\..\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe O4 - HKCU\..\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe O4 - HKLM\..\Policies\Explorer\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe O4 - HKCU\..\Policies\Explorer\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe O20 - Winlogon Notify: reset5c - reset5c.dll (file missing)
Закройте все программы, выполните скрипт в AVZ:После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логиКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); TerminateProcessByName('c:\windows\temp\wpv591272623446.exe'); QuarantineFile('C:\WINDOWS\system32\userini.exe',''); QuarantineFile('c:\windows\temp\wpv591272623446.exe',''); DeleteFile('c:\windows\temp\wpv591272623446.exe'); DeleteFile('C:\WINDOWS\explorer.exe:userini.exe:$DATA'); DeleteFile('C:\WINDOWS\system32\userini.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','userini'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','userini'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
карантин пуст
при соединении с нетом, запускается wpv[цифры].exe
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
пофиксил через ComboFix
вот лог
c:\windows\system32\grpconv.exe восстановите с дистрибутива http://virusinfo.info/showthread.php?t=51654
Пуск - Выполнить - regedit
В веткев правой части найдите параметр DcomLaunch и удалите в нем строку Netprotocol[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.Код:KillAll:: File:: Driver:: gfzitaprg qrbqb NetSvc:: gfzitaprg qrbqb Folder:: Registry:: FileLook:: DirLook::
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Спасибо всем кто помогал с проблемой)
Я уезжал на несколько дней и без меня снесли ось
Но выражаю огромную благодарность за решение моей проблемы)
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 39
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\localservice\local settings\temporary internet files\content.ie5\4ba94u5o\netprotocol[2].exe - Trojan-Downloader.Win32.Piker.bty ( DrWEB: Trojan.Packed.19647, BitDefender: Gen:Heur.Krypt.11, AVAST4: Win32:Bredolab-BR [Trj] )
- c:\documents and settings\администратор\application data\zwog.exe - Trojan.Win32.Buzus.dtlh ( DrWEB: Trojan.MulDrop1.15756, BitDefender: Trojan.Agent.APLN, AVAST4: Win32:Malware-gen )
- c:\documents and settings\администратор\csrss.exe - P2P-Worm.Win32.Palevo.adgy ( BitDefender: Gen:Variant.Rimecud.1 )
- c:\windows\explorer.exe:userini.exe:$data - Packed.Win32.Krap.x ( DrWEB: Trojan.Spambot.6788, BitDefender: Trojan.Bredolab.BN, AVAST4: Win32:Bredolab-DE [Trj] )
- c:\windows\system32\drivers\kuptfasi.sys - Rootkit.Win32.Pakes.zo ( DrWEB: Trojan.Siggen.18257, BitDefender: Backdoor.Tofsee.Gen, NOD32: Win32/TrojanDownloader.Genome.CLU trojan, AVAST4: Win32:Malware-gen )
- c:\windows\system32\reset5c.dll - Trojan-Proxy.Win32.Small.agf ( AVAST4: Win32:Malware-gen )
- c:\windows\system32\userini.exe - Packed.Win32.Krap.x ( DrWEB: Trojan.Spambot.6788, BitDefender: Trojan.Bredolab.BO, AVAST4: Win32:Rootkit-gen [Rtk] )
Уважаемый(ая) L.cbr, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.