День добрый 2 раз ПК заражается троянами. В процессе висит Userini в 2-3 экземплярах..
Просьба помочь вылечить
1-й раз тема была вот здесь:
http://virusinfo.info/showthread.php...079#post627079
Логи привожу.
Спасибо за помощь.
День добрый 2 раз ПК заражается троянами. В процессе висит Userini в 2-3 экземплярах..
Просьба помочь вылечить
1-й раз тема была вот здесь:
http://virusinfo.info/showthread.php...079#post627079
Логи привожу.
Спасибо за помощь.
Последний раз редактировалось forever; 19.04.2011 в 00:49.
Здравствуйте.
Отключите восстановление системы!
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\windows\system32\userini.exe'); QuarantineFile('C:\WINDOWS\system32\drivers\win32x.sys',''); QuarantineFile('C:\WINDOWS\system32\dllcache\cdrom.sys',''); QuarantineFile('C:\WINDOWS\explorer.exe:userini.exe:$DATA',''); QuarantineFile('C:\WINDOWS\system32\regedit.exe',''); QuarantineFile('C:\Documents and Settings\ЖЕНЯиДИМА\Мои документы\proshow.exe',''); QuarantineFile('C:\Documents and Settings\ЖЕНЯиДИМА\Application Data\gkewzr.exe',''); QuarantineFile('C:\DOCUME~1\AD22~1\LOCALS~1\Temp\nxeljshtrhtrj.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\protect.sys',''); QuarantineFile('C:\WINDOWS\System32\DRIVERS\kwflowerq.sys',''); QuarantineFile('C:\Documents and Settings\ЖЕНЯиДИМА\Мои документы\ScsiAccess.exe',''); QuarantineFile('c:\windows\system32\userini.exe',''); DeleteFile('c:\windows\system32\userini.exe'); DeleteFile('C:\WINDOWS\system32\drivers\protect.sys'); DeleteFile('C:\DOCUME~1\AD22~1\LOCALS~1\Temp\nxeljshtrhtrj.sys'); DeleteFile('C:\Documents and Settings\ЖЕНЯиДИМА\Application Data\gkewzr.exe'); DeleteFile('C:\WINDOWS\system32\regedit.exe'); DeleteFile('C:\WINDOWS\explorer.exe:userini.exe:$DATA'); DeleteFile('C:\WINDOWS\system32\drivers\win32x.sys'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','userini'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','userini'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini'); DeleteService('tuhlti'); DeleteService('protect'); BC_ImportAll; ExecuteSysClean; BC_DeleteSvc('ICF'); BC_Activate; Executerepair(11); ExecuteWizard('TSW', 2, 2, true); RebootWindows(true); end.
закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
все сделал как написали.
логи привожу.
Карантин:
Файл сохранён как100524_010019_virus_4bf99763888df.zip
Размер файла1042471
MD5 0fc80735312eef6659597343ed6899a8
Последний раз редактировалось forever; 19.04.2011 в 00:49.
- Замените файл C:\WINDOWS\system32\dllcache\cdrom.sys и C:\WINDOWS\system32\drivers\cdrom.sys на чистый из дистрибутива.
Как заменить файл можно посмотреть тут
- Сделайте повторный лог virusinfo_syscheck.zip;
Заменил.
Логи привожу
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\system32\regedit.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 17
- В ходе лечения обнаружены вредоносные программы:
- c:\docume~1\ad22~1\locals~1\temp\nxeljshtrhtrj.sys - Rootkit.Win32.Agent.bfwx ( DrWEB: Trojan.NtRootKit.2965, BitDefender: Backdoor.Generic.336464, NOD32: Win32/Rootkit.Agent.NLF trojan, AVAST4: Win32:Malware-gen )
- c:\system volume information\_restore{d1dfb682-b218-493c-9016-dbaf67288464}\rp401\a0415256.sys - Trojan.Win32.Inject.aoxd ( DrWEB: BackDoor.Bulknet.477, BitDefender: Rootkit.Kobcka.Patched.Gen, NOD32: Win32/Protector.I virus, AVAST4: Win32:Cutwail-AH [Rtk] )
- c:\system volume information\_restore{d1dfb682-b218-493c-9016-dbaf67288464}\rp401\a0415257.sys - Trojan.Win32.Inject.aoxd ( DrWEB: BackDoor.Bulknet.477, BitDefender: Rootkit.Kobcka.Patched.Gen, NOD32: Win32/Protector.I virus, AVAST4: Win32:Cutwail-AH [Rtk] )
- c:\system volume information\_restore{d1dfb682-b218-493c-9016-dbaf67288464}\rp401\a0415264.sys - Trojan.Win32.Inject.aoxd ( DrWEB: BackDoor.Bulknet.477, BitDefender: Rootkit.Kobcka.Patched.Gen, NOD32: Win32/Protector.I virus, AVAST4: Win32:Cutwail-AH [Rtk] )
- c:\system volume information\_restore{d1dfb682-b218-493c-9016-dbaf67288464}\rp401\a0415265.sys - Trojan.Win32.Inject.aoxd ( DrWEB: BackDoor.Bulknet.477, BitDefender: Rootkit.Kobcka.Patched.Gen, NOD32: Win32/Protector.I virus, AVAST4: Win32:Cutwail-AH [Rtk] )
- c:\system volume information\_restore{d1dfb682-b218-493c-9016-dbaf67288464}\rp401\a0416264.sys - Trojan.Win32.Inject.aoxd ( DrWEB: BackDoor.Bulknet.477, BitDefender: Rootkit.Kobcka.Patched.Gen, NOD32: Win32/Protector.I virus, AVAST4: Win32:Cutwail-AH [Rtk] )
- c:\system volume information\_restore{d1dfb682-b218-493c-9016-dbaf67288464}\rp401\a0416265.sys - Trojan.Win32.Inject.aoxd ( DrWEB: BackDoor.Bulknet.477, BitDefender: Rootkit.Kobcka.Patched.Gen, NOD32: Win32/Protector.I virus, AVAST4: Win32:Cutwail-AH [Rtk] )
- c:\system volume information\_restore{d1dfb682-b218-493c-9016-dbaf67288464}\rp402\a0416276.sys - Trojan.Win32.Inject.aoxd ( DrWEB: BackDoor.Bulknet.477, BitDefender: Rootkit.Kobcka.Patched.Gen, NOD32: Win32/Protector.I virus, AVAST4: Win32:Cutwail-AH [Rtk] )
- c:\system volume information\_restore{d1dfb682-b218-493c-9016-dbaf67288464}\rp402\a0416277.sys - Trojan.Win32.Inject.aoxd ( DrWEB: BackDoor.Bulknet.477, BitDefender: Rootkit.Kobcka.Patched.Gen, NOD32: Win32/Protector.I virus, AVAST4: Win32:Cutwail-AH [Rtk] )
- c:\windows\explorer.exe:userini.exe:$data - Email-Worm.Win32.Joleee.eub ( BitDefender: Gen:Variant.Bredo.2, AVAST4: Win32:Bredolab-DG [Trj] )
- c:\windows\system32\dllcache\cdrom.sys - Trojan.Win32.Inject.aoxd ( DrWEB: BackDoor.Bulknet.477, BitDefender: Rootkit.Kobcka.Patched.Gen, NOD32: Win32/Protector.I virus, AVAST4: Win32:Cutwail-AH [Rtk] )
- c:\windows\system32\drivers\cdrom.sys - Trojan.Win32.Inject.aoxd ( DrWEB: BackDoor.Bulknet.477, BitDefender: Rootkit.Kobcka.Patched.Gen, NOD32: Win32/Protector.I virus, AVAST4: Win32:Cutwail-AH [Rtk] )
- c:\windows\system32\drivers\kwflowerq.sys - Backdoor.Win32.Agent.avbz ( DrWEB: Trojan.Proxy.15396, BitDefender: Trojan.Generic.3869094, AVAST4: Win32:Rootkit-gen [Rtk] )
- c:\windows\system32\userini.exe - Email-Worm.Win32.Joleee.euc ( DrWEB: Trojan.Spambot.6788, BitDefender: Trojan.Generic.3913877, AVAST4: Win32:Bredolab-DG [Trj] )
Уважаемый(ая) forever, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.