Показано с 1 по 12 из 12.

Несколько процессов Userini.exe (заявка № 80078)

  1. #1
    Junior Member Репутация
    Регистрация
    03.06.2010
    Сообщений
    6
    Вес репутации
    28

    Thumbs up Несколько процессов Userini.exe

    В процессах появляются несколько userini.exe, которые загружают цп.
    Помогите, пожалуйста.
    Последний раз редактировалось Elmer; 03.06.2010 в 16:14.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    528
    - Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,'); 
     QuarantineFile('F:\nastavi\palili.exe','');
     QuarantineFile('F:\autorun.inf','');
     QuarantineFile('C:\Temp\982.exe','');
     QuarantineFile('C:\Temp\979.exe','');
     QuarantineFile('C:\Temp\977.exe','');
     QuarantineFile('C:\Temp\974.exe','');
     QuarantineFile('C:\Temp\919.exe','');
     QuarantineFile('C:\Temp\884.exe','');
     QuarantineFile('C:\Temp\729.exe','');
     QuarantineFile('C:\Temp\728.exe','');
     QuarantineFile('C:\Temp\635.exe','');
     QuarantineFile('C:\Temp\601.exe','');
     QuarantineFile('C:\Temp\507.exe','');
     QuarantineFile('C:\Temp\487.exe','');
     QuarantineFile('C:\Temp\440.exe','');
     QuarantineFile('C:\Temp\438.exe','');
     QuarantineFile('C:\Temp\433.exe','');
     QuarantineFile('C:\Temp\398.exe','');
     QuarantineFile('C:\Temp\247.exe','');
     QuarantineFile('C:\Temp\114.exe','');
     QuarantineFile('C:\Temp\081.exe','');
     QuarantineFile('C:\Temp\069.exe','');
     QuarantineFile('C:\Documents and Settings\Admin_01\Local Settings\Temporary Internet Files\Content.IE5\UY234NLJ\fdewwdqkj[1].exe','');
     QuarantineFile('C:\Documents and Settings\Admin_01\Local Settings\Temporary Internet Files\Content.IE5\UY234NLJ\cvdsvcds[1].exe','');
     QuarantineFile('C:\Documents and Settings\Admin_01\Local Settings\Temporary Internet Files\Content.IE5\UY234NLJ\bhggrwefew[1].exe','');
     QuarantineFile('C:\Documents and Settings\Admin_01\Local Settings\Temporary Internet Files\Content.IE5\NDQEI7BO\ewdemki[1].exe','');
     QuarantineFile('C:\Documents and Settings\Admin_01\Local Settings\Temporary Internet Files\Content.IE5\NDQEI7BO\dwwdknm[1].exe','');
     QuarantineFile('C:\Documents and Settings\Admin_01\Local Settings\Temporary Internet Files\Content.IE5\NDQEI7BO\dsgvds[1].exe','');
     QuarantineFile('C:\Documents and Settings\Admin_01\Local Settings\Temporary Internet Files\Content.IE5\NDQEI7BO\dfwklmkm[1].exe','');
     QuarantineFile('C:\Documents and Settings\Admin_01\Local Settings\Temporary Internet Files\Content.IE5\ECV2OPKU\dcwmi[1].exe','');
     QuarantineFile('C:\Documents and Settings\Admin_01\Local Settings\Temporary Internet Files\Content.IE5\ECV2OPKU\cwmkom[1].exe','');
     QuarantineFile('C:\Documents and Settings\Admin_01\Local Settings\Temporary Internet Files\Content.IE5\ECV2OPKU\cvdsds[1].exe','');
     QuarantineFile('C:\Documents and Settings\Admin_01\Local Settings\Temporary Internet Files\Content.IE5\ECV2OPKU\cfewk[1].exe','');
     QuarantineFile('C:\Documents and Settings\Admin_01\Local Settings\Temporary Internet Files\Content.IE5\C7OGTXOL\fekmnjk[1].exe','');
     QuarantineFile('c:\windows\explorer.exe:userini.exe:$DATA','');
     QuarantineFile('C:\WINDOWS\system32\y3kk3ww3ii3.exe','');
     QuarantineFile('C:\WINDOWS\system32\wwriiduupg.exe','');
     QuarantineFile('C:\WINDOWS\system32\w3yytkkfwwr.exe','');
     QuarantineFile('C:\WINDOWS\system32\uu3gg3ss70z.exe','');
     QuarantineFile('C:\WINDOWS\system32\userini.exe','');
     QuarantineFile('C:\WINDOWS\system32\tz0vvrhhd.exe','');
     QuarantineFile('C:\WINDOWS\system32\q6cc6oo6.exe','');
     QuarantineFile('C:\WINDOWS\system32\o1aa6mm6.exe','');
     QuarantineFile('C:\WINDOWS\system32\miiduupggb.exe','');
     QuarantineFile('C:\WINDOWS\system32\l0rnii6uu.exe','');
     QuarantineFile('C:\WINDOWS\system32\hxtopu86g.exe','');
     QuarantineFile('C:\WINDOWS\system32\bg86s81epql.exe','');
     QuarantineFile('C:\WINDOWS\system32\a0q3cc3oo3.exe','');
     QuarantineFile('C:\WINDOWS\system32\97081gr.exe','');
     QuarantineFile('C:\WINDOWS\system32\9m1ieez.exe','');
     QuarantineFile('C:\Documents and Settings\Admin_01\madb.exe','');
     QuarantineFile('C:\Documents and Settings\Admin_01\ctfmon.exe','');
     DeleteFile('C:\Documents and Settings\Admin_01\ctfmon.exe');
     DeleteFile('C:\Documents and Settings\Admin_01\madb.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','bchdyy');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','bwwsii');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','iejzf');
     DeleteFile('C:\WINDOWS\system32\9m1ieez.exe');
     DeleteFile('C:\WINDOWS\system32\97081gr.exe');
     DeleteFile('C:\WINDOWS\system32\a0q3cc3oo3.exe');
     DeleteFile('C:\WINDOWS\system32\bg86s81epql.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','cydozav');
     DeleteFile('C:\WINDOWS\system32\cii3uu360m3.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','ekkbg0c');
     DeleteFile('C:\WINDOWS\system32\dyy6kk6ww.exe');
     DeleteFile('C:\WINDOWS\system32\hxtopu86g.exe');
     DeleteFile('C:\WINDOWS\system32\l0rnii6uu.exe');
     DeleteFile('C:\WINDOWS\system32\miiduupggb.exe');
     DeleteFile('C:\WINDOWS\system32\nii6uu6gg6s.exe');
     DeleteFile('C:\WINDOWS\system32\o1aa6mm6.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','zafbww6');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','pkk6w');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','stokkf');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','qrmnie');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','xyo1e');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','ejfaa6');
     DeleteFile('C:\WINDOWS\system32\q6cc6oo6.exe');
     DeleteFile('C:\WINDOWS\system32\tz0vvrhhd.exe');
     DeleteFile('C:\WINDOWS\system32\userini.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','userini');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','userini');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','pqvrm');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','qmmhy');
     DeleteFile('C:\WINDOWS\system32\uu3gg3ss70z.exe');
     DeleteFile('C:\WINDOWS\system32\w3yytkkfwwr.exe');
     DeleteFile('C:\WINDOWS\system32\wwriiduupg.exe');
     DeleteFile('C:\WINDOWS\system32\y3kk3ww3ii3.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','armm3');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','rmniee');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','opkgg');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','qwwnii');
     DeleteFile('c:\windows\explorer.exe:userini.exe:$DATA');
     DeleteFile('C:\Documents and Settings\Admin_01\Local Settings\Temporary Internet Files\Content.IE5\C7OGTXOL\dewds1[1].exe');
     DeleteFile('C:\Documents and Settings\Admin_01\Local Settings\Temporary Internet Files\Content.IE5\C7OGTXOL\fdefelkm[1].exe');
     DeleteFile('C:\Documents and Settings\Admin_01\Local Settings\Temporary Internet Files\Content.IE5\C7OGTXOL\fekmnjk[1].exe');
     DeleteFile('C:\Documents and Settings\Admin_01\Local Settings\Temporary Internet Files\Content.IE5\ECV2OPKU\cfewk[1].exe');
     DeleteFile('C:\Documents and Settings\Admin_01\Local Settings\Temporary Internet Files\Content.IE5\ECV2OPKU\cvdsds[1].exe');
     DeleteFile('C:\Documents and Settings\Admin_01\Local Settings\Temporary Internet Files\Content.IE5\ECV2OPKU\cwmkom[1].exe');
     DeleteFile('C:\Documents and Settings\Admin_01\Local Settings\Temporary Internet Files\Content.IE5\ECV2OPKU\dcwmi[1].exe');
     DeleteFile('C:\Documents and Settings\Admin_01\Local Settings\Temporary Internet Files\Content.IE5\NDQEI7BO\dfwklmkm[1].exe');
     DeleteFile('C:\Documents and Settings\Admin_01\Local Settings\Temporary Internet Files\Content.IE5\NDQEI7BO\dsgvds[1].exe');
     DeleteFile('C:\Documents and Settings\Admin_01\Local Settings\Temporary Internet Files\Content.IE5\NDQEI7BO\dwwdknm[1].exe');
     DeleteFile('C:\Documents and Settings\Admin_01\Local Settings\Temporary Internet Files\Content.IE5\NDQEI7BO\ewdemki[1].exe');
     DeleteFile('C:\Documents and Settings\Admin_01\Local Settings\Temporary Internet Files\Content.IE5\UY234NLJ\bhggrwefew[1].exe');
     DeleteFile('C:\Documents and Settings\Admin_01\Local Settings\Temporary Internet Files\Content.IE5\UY234NLJ\cvdsvcds[1].exe');
     DeleteFile('C:\Documents and Settings\Admin_01\Local Settings\Temporary Internet Files\Content.IE5\UY234NLJ\dfwemkmn1[1].exe');
     DeleteFile('C:\Documents and Settings\Admin_01\Local Settings\Temporary Internet Files\Content.IE5\UY234NLJ\fdewwdqkj[1].exe');
     DeleteFile('C:\Temp\069.exe');
     DeleteFile('C:\Temp\081.exe');
     DeleteFile('C:\Temp\107.exe');
     DeleteFile('C:\Temp\114.exe');
     DeleteFile('C:\Temp\247.exe');
     DeleteFile('C:\Temp\398.exe');
     DeleteFile('C:\Temp\433.exe');
     DeleteFile('C:\Temp\438.exe');
     DeleteFile('C:\Temp\440.exe');
     DeleteFile('C:\Temp\487.exe');
     DeleteFile('C:\Temp\507.exe');
     DeleteFile('C:\Temp\601.exe');
     DeleteFile('C:\Temp\635.exe');
     DeleteFile('C:\Temp\728.exe');
     DeleteFile('C:\Temp\729.exe');
     DeleteFile('C:\Temp\734.exe');
     DeleteFile('C:\Temp\884.exe');
     DeleteFile('C:\Temp\919.exe');
     DeleteFile('C:\Temp\974.exe');
     DeleteFile('C:\Temp\977.exe');
     DeleteFile('C:\Temp\979.exe');
     DeleteFile('C:\Temp\982.exe');
     DeleteFile('C:\WINDOWS\explorer.exe:userini.exe:$DATA');
     DeleteFile('F:\autorun.inf');
      DeleteFileMask('C:\Documents and Settings\Admin_01\Local Settings\Temporary Internet Files\Content.IE5', '*.*', true);
     QuarantineFile('C:\WINDOWS\explorer.exe:userini.exe','');
     DeleteFile('C:\WINDOWS\explorer.exe:userini.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','taskman');
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteRepair(11);
     ExecuteRepair(17);
     ExecuteWizard('TSW', 2, 2, true);
     ExecuteWizard('SCU', 2, 2, true);
     RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
    - Сделайте лог MBAM

  4. #3
    Junior Member Репутация
    Регистрация
    03.06.2010
    Сообщений
    6
    Вес репутации
    28
    Карантин прислал.Процессы userini.exe исчезли. Заметил в процессах несколько svchost, скриншот прикрепил. Так и должно быть??? Подскажите,пожалуйста.

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    528
    1.удалите в MBAM
    Код:
    Зараженные ключи в реестре:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lsirimuk (Trojan.Agent) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Fci (Rootkit.Agent) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AvMonitor.exe (Trojan.Agent) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavMon.exe (Trojan.Agent) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\trojandetector.exe (Security.Hijack) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\usbcleaner.exe (Security.Hijack) -> No action taken.
    
    Зараженные параметры в реестре:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\userini (Trojan.Agent) -> No action taken.
    
    Зараженные файлы:
    D:\avz4\Infected\2010-06-02\avz00001.dta (Trojan.Ddox) -> No action taken.
    D:\avz4\Infected\2010-06-02\avz00002.dta (Trojan.Ddox) -> No action taken.
    D:\avz4\Infected\2010-06-02\avz00004.dta (Trojan.Ddox) -> No action taken.
    D:\avz4\Infected\2010-06-02\avz00005.dta (Trojan.Ddox) -> No action taken.
    D:\avz4\Infected\2010-06-02\avz00010.dta (Malware.Packer.Gen) -> No action taken.
    D:\avz4\Infected\2010-06-02\avz00014.dta (Trojan.Ddox) -> No action taken.
    D:\avz4\Infected\2010-06-02\avz00015.dta (Trojan.Ddox) -> No action taken.
    D:\avz4\Infected\2010-06-02\avz00016.dta (Trojan.Ddox) -> No action taken.
    D:\avz4\Infected\2010-06-02\avz00017.dta (Trojan.Ddox) -> No action taken.
    D:\avz4\Infected\2010-06-02\avz00020.dta (Trojan.Ddox) -> No action taken.
    D:\avz4\Infected\2010-06-02\avz00022.dta (Trojan.Ddox) -> No action taken.
    D:\avz4\Infected\2010-06-02\avz00024.dta (Trojan.Ddox) -> No action taken.
    D:\avz4\Infected\2010-06-02\avz00025.dta (Trojan.Ddox) -> No action taken.
    D:\avz4\Infected\2010-06-02\avz00026.dta (Trojan.Ddox) -> No action taken.
    D:\avz4\Infected\2010-06-02\avz00029.dta (Trojan.Ddox) -> No action taken.
    D:\avz4\Quarantine\2010-06-02\avz00001.dta (Trojan.Dropper) -> No action taken.
    D:\avz4\Quarantine\2010-06-02\avz00007.dta (Trojan.Ddox) -> No action taken.
    D:\avz4\Quarantine\2010-06-02\avz00012.dta (Trojan.Ddox) -> No action taken.
    D:\avz4\Quarantine\2010-06-02\avz00022.dta (Trojan.Ddox) -> No action taken.
    D:\avz4\Quarantine\2010-06-02\avz00035.dta (Trojan.Ddox) -> No action taken.
    D:\avz4\Quarantine\2010-06-02\avz00044.dta (Trojan.Dropper) -> No action taken.
    D:\avz4\Quarantine\2010-06-03\avz00005.dta (Trojan.Ddox) -> No action taken.
    D:\avz4\Quarantine\2010-06-03\avz00017.dta (Trojan.Ddox) -> No action taken.
    D:\avz4\Quarantine\2010-06-03\avz00025.dta (Trojan.Ddox) -> No action taken.
    D:\avz4\Quarantine\2010-06-03\avz00030.dta (Trojan.Ddox) -> No action taken.
    D:\avz4\Quarantine\2010-06-03\avz00034.dta (Trojan.Dropper) -> No action taken.
    D:\avz4\Quarantine\2010-06-03\avz00036.dta (Trojan.Dropper) -> No action taken.
    C:\WINDOWS\system32\Drivers\ndisvvan.sys (Rootkit.Agent) -> No action taken.
    C:\Documents and Settings\Admin_01\Application Data\wiaservg.log (Malware.Trace) -> No action taken.
    C:\WINDOWS\system32\secupdat.dat (Backdoor.Bot) -> No action taken.
    C:\Documents and Settings\Admin_01\secupdat.dat (Worm.Autorun) -> No action taken.
    C:\Documents and Settings\All Users\secupdat.dat (Worm.Autorun) -> No action taken.
    C:\Documents and Settings\Default User\secupdat.dat (Worm.Autorun) -> No action taken.
    C:\Documents and Settings\LocalService\secupdat.dat (Worm.Autorun) -> No action taken.
    C:\Documents and Settings\NetworkService\secupdat.dat (Worm.Autorun) -> No action taken.
    C:\Documents and Settings\Администратор\secupdat.dat (Worm.Autorun) -> No action taken.
    C:\Documents and Settings\Администратор.ADMIN\secupdat.dat (Worm.Autorun) -> No action taken.
    C:\WINDOWS\system32\config\systemprofile\secupdat.dat (Worm.Autorun) -> No action taken.
    2.Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     QuarantineFile('C:\WINDOWS\system32\Drivers\lsirimuk.sys','');
     QuarantineFile('C:\WINDOWS\Prefetch\EXPLORER.EXE ','');
     DeleteFile('C:\WINDOWS\system32\Drivers\lsirimuk.sys');
     BC_ImportAll;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
    - Сделайте повторные логи virusinfo_syscheck.zip; MBAM

    Добавлено через 1 минуту

    Цитата Сообщение от Elmer Посмотреть сообщение
    Заметил в процессах несколько svchost
    - это нормально
    Последний раз редактировалось polword; 03.06.2010 в 19:40. Причина: Добавлено

  6. #5
    Junior Member Репутация
    Регистрация
    03.06.2010
    Сообщений
    6
    Вес репутации
    28
    [QUOTE=polword;648904]1.удалите в MBAM
    [CODE]
    Зараженные ключи в реестре:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\lsirimuk (Trojan.Agent) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Fci (Rootkit.Agent) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AvMonitor.exe (Trojan.Agent) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavMon.exe (Trojan.Agent) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\trojandetector.exe (Security.Hijack) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\usbcleaner.exe (Security.Hijack) -> No action taken.

    Зараженные параметры в реестре:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Policies\Explorer\Run\userini (Trojan.Agent) -> No action taken.

    Зараженные файлы:
    D:\avz4\Infected\2010-06-02\avz00001.dta (Trojan.Ddox) -> No action taken.
    D:\avz4\Infected\2010-06-02\avz00002.dta (Trojan.Ddox) -> No action taken.
    D:\avz4\Infected\2010-06-02\avz00004.dta (Trojan.Ddox) -> No action taken.
    D:\avz4\Infected\2010-06-02\avz00005.dta (Trojan.Ddox) -> No action taken.
    D:\avz4\Infected\2010-06-02\avz00010.dta (Malware.Packer.Gen) -> No action taken.
    D:\avz4\Infected\2010-06-02\avz00014.dta (Trojan.Ddox) -> No action taken.
    D:\avz4\Infected\2010-06-02\avz00015.dta (Trojan.Ddox) -> No action taken.
    D:\avz4\Infected\2010-06-02\avz00016.dta (Trojan.Ddox) -> No action taken.
    D:\avz4\Infected\2010-06-02\avz00017.dta (Trojan.Ddox) -> No action taken.
    D:\avz4\Infected\2010-06-02\avz00020.dta (Trojan.Ddox) -> No action taken.
    D:\avz4\Infected\2010-06-02\avz00022.dta (Trojan.Ddox) -> No action taken.
    D:\avz4\Infected\2010-06-02\avz00024.dta (Trojan.Ddox) -> No action taken.
    D:\avz4\Infected\2010-06-02\avz00025.dta (Trojan.Ddox) -> No action taken.
    D:\avz4\Infected\2010-06-02\avz00026.dta (Trojan.Ddox) -> No action taken.
    D:\avz4\Infected\2010-06-02\avz00029.dta (Trojan.Ddox) -> No action taken.
    D:\avz4\Quarantine\2010-06-02\avz00001.dta (Trojan.Dropper) -> No action taken.
    D:\avz4\Quarantine\2010-06-02\avz00007.dta (Trojan.Ddox) -> No action taken.
    D:\avz4\Quarantine\2010-06-02\avz00012.dta (Trojan.Ddox) -> No action taken.
    D:\avz4\Quarantine\2010-06-02\avz00022.dta (Trojan.Ddox) -> No action taken.
    D:\avz4\Quarantine\2010-06-02\avz00035.dta (Trojan.Ddox) -> No action taken.
    D:\avz4\Quarantine\2010-06-02\avz00044.dta (Trojan.Dropper) -> No action taken.
    D:\avz4\Quarantine\2010-06-03\avz00005.dta (Trojan.Ddox) -> No action taken.
    D:\avz4\Quarantine\2010-06-03\avz00017.dta (Trojan.Ddox) -> No action taken.
    D:\avz4\Quarantine\2010-06-03\avz00025.dta (Trojan.Ddox) -> No action taken.
    D:\avz4\Quarantine\2010-06-03\avz00030.dta (Trojan.Ddox) -> No action taken.
    D:\avz4\Quarantine\2010-06-03\avz00034.dta (Trojan.Dropper) -> No action taken.
    D:\avz4\Quarantine\2010-06-03\avz00036.dta (Trojan.Dropper) -> No action taken.
    C:\WINDOWS\system32\Drivers\ndisvvan.sys (Rootkit.Agent) -> No action taken.
    C:\Documents and Settings\Admin_01\Application Data\wiaservg.log (Malware.Trace) -> No action taken.
    C:\WINDOWS\system32\secupdat.dat (Backdoor.Bot) -> No action taken.
    C:\Documents and Settings\Admin_01\secupdat.dat (Worm.Autorun) -> No action taken.
    C:\Documents and Settings\All Users\secupdat.dat (Worm.Autorun) -> No action taken.
    C:\Documents and Settings\Default User\secupdat.dat (Worm.Autorun) -> No action taken.
    C:\Documents and Settings\LocalService\secupdat.dat (Worm.Autorun) -> No action taken.
    C:\Documents and Settings\NetworkService\secupdat.dat (Worm.Autorun) -> No action taken.
    C:\Documents and Settings\Администратор\secupdat.dat (Worm.Autorun) -> No action taken.
    C:\Documents and Settings\Администратор.ADMIN\secupdat.dat (Worm.Autorun) -> No action taken.
    C:\WINDOWS\system32\config\systemprofile\secupdat. dat (Worm.Autorun) -> No action taken.

    А как это сделать? Это приложение я удалил как и просили в описании программы. - Сделайте лог MBAM

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    528
    это надо смотреть тут

  8. #7
    Junior Member Репутация
    Регистрация
    03.06.2010
    Сообщений
    6
    Вес репутации
    28
    Карантин загрузил. Установил заново МВАМ, просканировал, но программа нашла не все, что Вы просили удалить (сделал скриншот

    Uploaded with ImageShack.us). Папку D:\avz4 я удалил ранее, вместе с МВАМ. После выполнения скрипта (который расположен ниже), перезагрузки Windows не произошло, перезагрузил вручную.

    2.Выполните скрипт в AVZ
    Код:

    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
    QuarantineFile('C:\WINDOWS\system32\Drivers\lsirim uk.sys','');
    QuarantineFile('C:\WINDOWS\Prefetch\EXPLORER.EXE ','');
    DeleteFile('C:\WINDOWS\system32\Drivers\lsirimuk.s ys');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Последний раз редактировалось Elmer; 04.06.2010 в 00:01.

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    528
    - Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     DeleteFile('C:\WINDOWS\Prefetch\EXPLORER.EXE');
     BC_ImportAll;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - Сделайте лог MBAM

  10. #9
    Junior Member Репутация
    Регистрация
    03.06.2010
    Сообщений
    6
    Вес репутации
    28
    Скрипт выполнил, логи прикрепил.

  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    528
    Чисто.

    обновите систему
    - SP2 обновите до Service Pack 3(может потребоваться активация)
    * Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
    - Установите Internet-Explorer 8.(даже если Вы его не используете)
    - Поставте все последние обновления системы Windows - тут

  12. #11
    Junior Member Репутация
    Регистрация
    03.06.2010
    Сообщений
    6
    Вес репутации
    28
    Огромное спасибо

  13. #12
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 150
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\documents and settings\admin_01\ctfmon.exe - P2P-Worm.Win32.Palevo.akvu ( DrWEB: Win32.HLLW.Lime.18 )
      2. c:\documents and settings\admin_01\local settings\temporary internet files\content.ie5\c7ogtxol\fekmnjk[1].exe - Trojan.Win32.Ddox.ln ( DrWEB: Trojan.Packed.20337, BitDefender: Trojan.Generic.4075810, NOD32: Win32/Lethic.AA trojan )
      3. c:\documents and settings\admin_01\local settings\temporary internet files\content.ie5\ecv2opku\cfewk[1].exe - Trojan.Win32.Ddox.li ( DrWEB: BackDoor.Siggen.14353, BitDefender: Trojan.Generic.4026522, NOD32: Win32/Lethic.AA trojan, AVAST4: Win32:Malware-gen )
      4. c:\documents and settings\admin_01\local settings\temporary internet files\content.ie5\ecv2opku\cvdsds[1].exe - Trojan.Win32.Ddox.mj ( DrWEB: BackDoor.Siggen.14353, BitDefender: Trojan.Generic.4123123, AVAST4: Win32:Malware-gen )
      5. c:\documents and settings\admin_01\local settings\temporary internet files\content.ie5\ecv2opku\cwmkom[1].exe - Trojan.Win32.Ddox.lj ( DrWEB: BackDoor.Siggen.14353, BitDefender: Backdoor.Generic.353295, NOD32: Win32/Lethic.AA trojan, AVAST4: Win32:Malware-gen )
      6. c:\documents and settings\admin_01\local settings\temporary internet files\content.ie5\ecv2opku\dcwmi[1].exe - Trojan.Win32.Ddox.lc ( DrWEB: BackDoor.Siggen.14353, BitDefender: Trojan.Generic.4026522, NOD32: Win32/Lethic.AA trojan, AVAST4: Win32:Malware-gen )
      7. c:\documents and settings\admin_01\local settings\temporary internet files\content.ie5\ndqei7bo\dfwklmkm[1].exe - Trojan.Win32.Ddox.ls ( DrWEB: Trojan.Packed.20337, BitDefender: Trojan.Generic.4075810 )
      8. c:\documents and settings\admin_01\local settings\temporary internet files\content.ie5\ndqei7bo\dsgvds[1].exe - Trojan.Win32.Ddox.lh ( DrWEB: BackDoor.Siggen.14353, BitDefender: Trojan.Generic.4026522, AVAST4: Win32:Malware-gen )
      9. c:\documents and settings\admin_01\local settings\temporary internet files\content.ie5\ndqei7bo\dwwdknm[1].exe - Trojan.Win32.Ddox.lw ( DrWEB: BackDoor.Siggen.14353, BitDefender: Trojan.Generic.4026522, AVAST4: Win32:Malware-gen )
      10. c:\documents and settings\admin_01\local settings\temporary internet files\content.ie5\ndqei7bo\ewdemki[1].exe - Trojan.Win32.Ddox.le ( DrWEB: BackDoor.Siggen.14353, BitDefender: Backdoor.Generic.353295, NOD32: Win32/Lethic.AA trojan, AVAST4: Win32:Malware-gen )
      11. c:\documents and settings\admin_01\local settings\temporary internet files\content.ie5\uy234nlj\bhggrwefew[1].exe - Trojan.Win32.Ddox.ky ( DrWEB: BackDoor.Siggen.14353, BitDefender: Trojan.Generic.4026522, NOD32: Win32/Lethic.AA trojan, AVAST4: Win32:Malware-gen )
      12. c:\documents and settings\admin_01\local settings\temporary internet files\content.ie5\uy234nlj\cvdsvcds[1].exe - Trojan.Win32.Ddox.lt ( DrWEB: BackDoor.Siggen.14353, BitDefender: Trojan.Generic.4026522, NOD32: Win32/Lethic.AA trojan, AVAST4: Win32:Malware-gen )
      13. c:\documents and settings\admin_01\local settings\temporary internet files\content.ie5\uy234nlj\fdewwdqkj[1].exe - Trojan.Win32.Ddox.lt ( DrWEB: BackDoor.Siggen.14353, BitDefender: Trojan.Generic.4026522, NOD32: Win32/Lethic.AA trojan, AVAST4: Win32:Malware-gen )
      14. c:\documents and settings\admin_01\madb.exe - Trojan-Dropper.Win32.Mudrop.ixz ( DrWEB: BackDoor.Tofsee.7, BitDefender: Gen:Trojan.Heur.GZ.amGfbCguNKb, AVAST4: Win32:Malware-gen )
      15. c:\temp\069.exe - Trojan.Win32.Ddox.lc ( DrWEB: BackDoor.Siggen.14353, BitDefender: Trojan.Generic.4026522, NOD32: Win32/Lethic.AA trojan, AVAST4: Win32:Malware-gen )
      16. c:\temp\081.exe - Trojan.Win32.Ddox.ln ( DrWEB: Trojan.Packed.20337, BitDefender: Trojan.Generic.4075810, NOD32: Win32/Lethic.AA trojan )
      17. c:\temp\114.exe - Trojan.Win32.Ddox.lh ( DrWEB: BackDoor.Siggen.14353, BitDefender: Trojan.Generic.4026522, AVAST4: Win32:Malware-gen )
      18. c:\temp\247.exe - Trojan.Win32.Ddox.lt ( DrWEB: BackDoor.Siggen.14353, BitDefender: Trojan.Generic.4026522, NOD32: Win32/Lethic.AA trojan, AVAST4: Win32:Malware-gen )
      19. c:\temp\398.exe - Trojan.Win32.Ddox.le ( DrWEB: BackDoor.Siggen.14353, BitDefender: Backdoor.Generic.353295, NOD32: Win32/Lethic.AA trojan, AVAST4: Win32:Malware-gen )
      20. c:\temp\433.exe - Trojan.Win32.Ddox.ln ( DrWEB: Trojan.Packed.20337, BitDefender: Trojan.Generic.4075810, NOD32: Win32/Lethic.AA trojan )
      21. c:\temp\438.exe - Trojan.Win32.Ddox.lu ( DrWEB: Trojan.Packed.20337, BitDefender: Trojan.Generic.4075810 )
      22. c:\temp\440.exe - Trojan.Win32.Ddox.ls ( DrWEB: Trojan.Packed.20337, BitDefender: Trojan.Generic.4075810 )
      23. c:\temp\487.exe - Trojan.Win32.Ddox.ky ( DrWEB: BackDoor.Siggen.14353, BitDefender: Trojan.Generic.4026522, NOD32: Win32/Lethic.AA trojan, AVAST4: Win32:Malware-gen )
      24. c:\temp\507.exe - Trojan.Win32.Ddox.lu ( DrWEB: Trojan.Packed.20337, BitDefender: Trojan.Generic.4075810 )
      25. c:\temp\601.exe - Trojan.Win32.Ddox.lr ( DrWEB: Trojan.Packed.20337, BitDefender: Trojan.Generic.4075810 )
      26. c:\temp\635.exe - Trojan.Win32.Ddox.lc ( DrWEB: BackDoor.Siggen.14353, BitDefender: Trojan.Generic.4026522, NOD32: Win32/Lethic.AA trojan, AVAST4: Win32:Malware-gen )
      27. c:\temp\728.exe - Trojan.Win32.Ddox.lu ( DrWEB: Trojan.Packed.20337, BitDefender: Trojan.Generic.4075810 )
      28. c:\temp\729.exe - Trojan.Win32.Ddox.lw ( DrWEB: BackDoor.Siggen.14353, BitDefender: Trojan.Generic.4026522, AVAST4: Win32:Malware-gen )
      29. c:\temp\919.exe - Trojan.Win32.Ddox.lt ( DrWEB: BackDoor.Siggen.14353, BitDefender: Trojan.Generic.4026522, NOD32: Win32/Lethic.AA trojan, AVAST4: Win32:Malware-gen )
      30. c:\temp\974.exe - Trojan.Win32.Ddox.lj ( DrWEB: BackDoor.Siggen.14353, BitDefender: Backdoor.Generic.353295, NOD32: Win32/Lethic.AA trojan, AVAST4: Win32:Malware-gen )
      31. c:\temp\977.exe - Trojan.Win32.Ddox.lr ( DrWEB: Trojan.Packed.20337, BitDefender: Trojan.Generic.4075810 )
      32. c:\temp\979.exe - Trojan.Win32.Ddox.lt ( DrWEB: BackDoor.Siggen.14353, BitDefender: Trojan.Generic.4026522, NOD32: Win32/Lethic.AA trojan, AVAST4: Win32:Malware-gen )
      33. c:\temp\982.exe - Trojan.Win32.Ddox.mj ( DrWEB: BackDoor.Siggen.14353, BitDefender: Trojan.Generic.4123123, AVAST4: Win32:Malware-gen )
      34. c:\windows\explorer.exe:userini.exe:$data - Packed.Win32.Krap.x ( DrWEB: Trojan.Packed.20382, BitDefender: Trojan.Bredolab.BY, AVAST4: Win32:Malware-gen )
      35. c:\windows\system32\drivers\lsirimuk.sys - Rootkit.Win32.Pakes.zo ( DrWEB: Trojan.Siggen.18257, BitDefender: Backdoor.Tofsee.Gen, NOD32: Win32/TrojanDownloader.Genome.CLU trojan, AVAST4: Win32:Malware-gen )
      36. c:\windows\system32\q6cc6oo6.exe - Trojan.Win32.Ddox.me ( DrWEB: Trojan.Siggen1.37164, BitDefender: Trojan.Generic.4122130 )
      37. c:\windows\system32\userini.exe - Packed.Win32.Krap.x ( DrWEB: Trojan.Packed.20382, BitDefender: Trojan.Bredolab.BY, AVAST4: Win32:Malware-gen )
      38. c:\windows\system32\wwriiduupg.exe - Trojan.Win32.Ddox.mj ( DrWEB: BackDoor.Siggen.14353, BitDefender: Trojan.Generic.4123123, AVAST4: Win32:Malware-gen )
      39. f:\nastavi\palili.exe - P2P-Worm.Win32.Palevo.akvu ( DrWEB: Win32.HLLW.Lime.18 )


  • Уважаемый(ая) Elmer, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Несколько процессов userini
      От akalibr в разделе Помогите!
      Ответов: 19
      Последнее сообщение: 11.07.2010, 23:32
    2. несколько процессов iexplore.exe
      От Dahaka в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 11.06.2010, 12:19
    3. Ответов: 10
      Последнее сообщение: 10.06.2010, 19:15
    4. Несколько процессов userini.exe
      От tehnik34 в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 27.04.2010, 09:40
    5. Несколько процессов iexplore.exe
      От Д.М. в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 29.11.2009, 20:07

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00169 seconds with 16 queries