Userini + подмена диспетчера задач
Добрый вечер.
Помогите пожалуйста!
обнаружил вирус userini
в avz в мастере устранения проблем выдается "подмена диспетчера задач" - проблема появляется вновь через секунду.
в безопасном режиме userini поудалял но после запуска диспетчера задач появляется вновьпомогите пожалуйста!!! большое спасибо!!!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Отключить восстановление системы, защитное ПО.
Выполнить скрипт:
Компьютер перезагрузится. Карантин загрузить по красной ссылке. БАЗЫ "АВЗ" ОБНОВИТЬ и переделать логи.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('c:\windows\explorer.exe:userini.exe:$DATA',''); QuarantineFile('C:\Documents and Settings\Хозяйка\Application Data\cift.exe',''); QuarantineFile('C:\DOCUME~1\892E~1\LOCALS~1\Temp\ruaxkvnmto.sys',''); QuarantineFile('C:\DOCUME~1\892E~1\LOCALS~1\Temp\tlmrdaoboxgdys.sys',''); TerminateProcessByName('c:\windows\temp\wpv571275553049.exe'); QuarantineFile('c:\windows\temp\wpv571275553049.exe',''); SetServiceStart('vbyhun', 4); DeleteService('vbyhun'); SetServiceStart('suhjbwgldadulwb', 4); DeleteService('suhjbwgldadulwb'); DeleteFile('c:\windows\temp\wpv571275553049.exe'); DeleteFile('C:\DOCUME~1\892E~1\LOCALS~1\Temp\tlmrdaoboxgdys.sys'); DeleteFile('C:\DOCUME~1\892E~1\LOCALS~1\Temp\ruaxkvnmto.sys'); DeleteFile('C:\Documents and Settings\Хозяйка\Application Data\cift.exe'); DeleteFile('c:\windows\explorer.exe:userini.exe:$DATA'); BC_Activate; ExecuteSysClean; ExecuteWizard('TSW', 2, 2, true); BC_Activate; RebootWindows(true); end.
Спасибо большое за отклик.
Решаю проблему на компе заведующей детсадом, куда ходит мой ребенок (попросила) потому не сразу ответил - извините.
1. Востановление системы и было отключено раньше.
2. скрипт выполнил. проскакивали какие-то ошибки во время выполнения (по-моему не мог удалить файлы). Потом перегружался комп сам.
3. Базы обновил.
4. Проблема пока не решена...
п.с. подмененный файл Диспетчера задач походу в D&S\Администратор\Application Date\cift.exe - но не могу его убить
Огромное спасибо за раннее!
карантин загрузил
Файл сохранён как100612_132746_2010-06-12_4c135312c58ea.zip
Размер файла460643
MD5a260f88eb7af459946a536489f572143
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DelCLSID('{MAWF3N5A-LP0C-M0RT-K8MY-JKFA6NW3A}'); QuarantineFile('C:\WINDOWS\system32\syschange.exe',''); QuarantineFile('c:\windows\explorer.exe:userini.exe:$DATA',''); QuarantineFile('C:\NOD32\Scanner\scanneris.exe',''); QuarantineFile('C:\WINDOWS\system32\userini.exe',''); QuarantineFile('C:\Documents and Settings\Администратор\Application Data\mrpky.exe,explorer.exe,C:\Documents and Settings\Администратор\Application Data\cift.exe',''); QuarantineFile('C:\Documents and Settings\Администратор\Application Data\mrpky.exe',''); QuarantineFile('C:\Documents and Settings\Администратор\Application Data\cift.exe',''); QuarantineFile('C:\DOCUME~1\892E~1\LOCALS~1\Temp\xhgaiecmgnlzzq.sys',''); DeleteService('lrxzkysgwzvytx'); QuarantineFile('C:\DOCUME~1\892E~1\LOCALS~1\Temp\zjqsyaziuz.sys',''); DeleteService('dmnplxjioiim'); DeleteFile('C:\DOCUME~1\892E~1\LOCALS~1\Temp\zjqsyaziuz.sys'); DeleteFile('C:\DOCUME~1\892E~1\LOCALS~1\Temp\xhgaiecmgnlzzq.sys'); DeleteFile('C:\Documents and Settings\Администратор\Application Data\cift.exe'); DeleteFile('C:\Documents and Settings\Администратор\Application Data\mrpky.exe'); DeleteFile('C:\Documents and Settings\Администратор\Application Data\mrpky.exe,explorer.exe,C:\Documents and Settings\Администратор\Application Data\cift.exe'); DeleteFile('C:\WINDOWS\system32\userini.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','userini'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini'); DeleteFile('C:\NOD32\Scanner\scanneris.exe'); DeleteFile('c:\windows\explorer.exe:userini.exe:$DATA'); DeleteFile('C:\WINDOWS\system32\syschange.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи в нормальном режиме + лог http://virusinfo.info/showpost.php?p=457118&postcount=1
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Заработал шустрее, АВЗ больше не сообщает о подмене диспетчера задач! Логи выкладываю.
погуглил реестр на наличие "userini" - сразу записей небыло, потом появилась: [HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer\Run]
"System Profiling"="C:\\WINDOWS\\system32\\syschange.exe"
"userini"="C:\\WINDOWS\\explorer.exe:userini.e xe"
Последний раз редактировалось Константин Ш.; 12.06.2010 в 14:27.
Логов не видно
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
да забыл. сейчас приаттачил к тому же сообщению.
послал карантин
Файл сохранён как100612_142824_2010-06-12_4c136148e9e9f.zip
Размер файла5477
MD591c0b8f7ebcb3d1c8d6a2ea3e8309539
что-то все-таки сидит еще. первый раз запускал скрипт - ничего небыло, второй (логи от него) снова какая-то зараза
что-то подкидывает userini
Блин. заметил! вирусы подтягиваются из сети. покак не подключаюсь, все пучком.
Вот лог mbam-setup.exe - 20 вирусов. Удалять все?
В общем спасибо.
По-моему поборол...
Удалите в МВАМ
Сделайте лог http://virusinfo.info/showpost.php?p=493610&postcount=1Код:Зараженные ключи в реестре: HKEY_CLASSES_ROOT\CLSID\{1408e208-2ac1-42d3-9f10-78a5b36e05ac} (Trojan.BHO) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DRM\amty (Worm.Autorun) -> No action taken. HKEY_CLASSES_ROOT\CLSID\MADOWN (Worm.Magania) -> No action taken. Зараженные параметры в реестре: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\userini (Trojan.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\userini (Trojan.Agent) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\userini (Trojan.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\userini (Trojan.Agent) -> No action taken. Зараженные папки: C:\Documents and Settings\All Users\Application Data\13219218 (Rogue.Multiple) -> No action taken. Зараженные файлы: C:\WINDOWS\system32\drivers\47089918.sys (Rootkit.Rustock) -> No action taken. C:\WINDOWS\system32\wbem\grpconv.exe (Trojan.Dropper) -> No action taken. C:\Documents and Settings\Хозяйка\Local Settings\Temporary Internet Files\Content.IE5\J78W9M0P\3[1].exe (Trojan.Dropper) -> No action taken. C:\WINDOWS\system32\SelfDel.bat (Malware.Trace) -> No action taken. C:\Documents and Settings\Хозяйка\Application Data\wiaservg.log (Malware.Trace) -> No action taken. C:\WINDOWS\system32\csrcs.exe (Trojan.Agent) -> No action taken. C:\WINDOWS\system32\drivers\str.sys (Rootkit.Agent) -> No action taken. C:\WINDOWS\system32\sdra64.exe (Spyware.Zbot) -> No action taken. C:\WINDOWS\system32\twex.exe (Backdoor.Bot) -> No action taken.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 25
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\администратор\application data\cift.exe - Trojan.Win32.Inject.ardy ( DrWEB: BackDoor.Butter.23, BitDefender: Trojan.Agent.Delf.RMM, AVAST4: Win32:Dracur-D [Cryp] )
- c:\documents and settings\хозяйка\application data\cift.exe - Trojan.Win32.Inject.ardy ( DrWEB: BackDoor.Butter.23, BitDefender: Trojan.Agent.Delf.RMM, AVAST4: Win32:Dracur-D [Cryp] )
- c:\docume~1\892e~1\locals~1\temp\ruaxkvnmto.sys - Rootkit.Win32.Agent.bhqy ( DrWEB: Trojan.NtRootKit.2965, AVAST4: Win32:Rootkit-gen [Rtk] )
- c:\docume~1\892e~1\locals~1\temp\tlmrdaoboxgdys.sy s - Rootkit.Win32.Agent.bhqy ( DrWEB: Trojan.NtRootKit.2965, AVAST4: Win32:Rootkit-gen [Rtk] )
- c:\windows\explorer.exe:userini.exe:$data - Email-Worm.Win32.Joleee.ewf ( DrWEB: Trojan.Spambot.6788, BitDefender: Gen:Variant.Bredo.2, AVAST4: Win32:Bredolab-DI [Trj] )
- c:\windows\system32\syschange.exe - HEUR:Trojan.Win32.Generic ( DrWEB: Trojan.PWS.Ibank.46, BitDefender: Trojan.Generic.4188226, AVAST4: Win32:Malware-gen )
- c:\windows\system32\userini.exe - Email-Worm.Win32.Joleee.ewe ( DrWEB: Trojan.Spambot.6788, BitDefender: Gen:Variant.Bredo.2, AVAST4: Win32:Bredolab-DI [Trj] )
Уважаемый(ая) Константин Ш., наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
