-
Junior Member
- Вес репутации
- 51
Userini + подмена диспетчера задач
Добрый вечер.
Помогите пожалуйста!
обнаружил вирус userini
в avz в мастере устранения проблем выдается "подмена диспетчера задач" - проблема появляется вновь через секунду.
в безопасном режиме userini поудалял но после запуска диспетчера задач появляется вновь помогите пожалуйста!!! большое спасибо!!!
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Отключить восстановление системы, защитное ПО.
Выполнить скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\explorer.exe:userini.exe:$DATA','');
QuarantineFile('C:\Documents and Settings\Хозяйка\Application Data\cift.exe','');
QuarantineFile('C:\DOCUME~1\892E~1\LOCALS~1\Temp\ruaxkvnmto.sys','');
QuarantineFile('C:\DOCUME~1\892E~1\LOCALS~1\Temp\tlmrdaoboxgdys.sys','');
TerminateProcessByName('c:\windows\temp\wpv571275553049.exe');
QuarantineFile('c:\windows\temp\wpv571275553049.exe','');
SetServiceStart('vbyhun', 4);
DeleteService('vbyhun');
SetServiceStart('suhjbwgldadulwb', 4);
DeleteService('suhjbwgldadulwb');
DeleteFile('c:\windows\temp\wpv571275553049.exe');
DeleteFile('C:\DOCUME~1\892E~1\LOCALS~1\Temp\tlmrdaoboxgdys.sys');
DeleteFile('C:\DOCUME~1\892E~1\LOCALS~1\Temp\ruaxkvnmto.sys');
DeleteFile('C:\Documents and Settings\Хозяйка\Application Data\cift.exe');
DeleteFile('c:\windows\explorer.exe:userini.exe:$DATA');
BC_Activate;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится. Карантин загрузить по красной ссылке. БАЗЫ "АВЗ" ОБНОВИТЬ и переделать логи.
-
-
Junior Member
- Вес репутации
- 51
Спасибо большое за отклик.
Решаю проблему на компе заведующей детсадом, куда ходит мой ребенок (попросила) потому не сразу ответил - извините.
1. Востановление системы и было отключено раньше.
2. скрипт выполнил. проскакивали какие-то ошибки во время выполнения (по-моему не мог удалить файлы). Потом перегружался комп сам.
3. Базы обновил.
4. Проблема пока не решена...
п.с. подмененный файл Диспетчера задач походу в D&S\Администратор\Application Date\cift.exe - но не могу его убить как вернуть стандартный? как называется и где накрутить чтоб брал правильный файл Диспетчера задач?
Огромное спасибо за раннее!
-
Junior Member
- Вес репутации
- 51
карантин загрузил
Файл сохранён как100612_132746_2010-06-12_4c135312c58ea.zip
Размер файла460643
MD5a260f88eb7af459946a536489f572143
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelCLSID('{MAWF3N5A-LP0C-M0RT-K8MY-JKFA6NW3A}');
QuarantineFile('C:\WINDOWS\system32\syschange.exe','');
QuarantineFile('c:\windows\explorer.exe:userini.exe:$DATA','');
QuarantineFile('C:\NOD32\Scanner\scanneris.exe','');
QuarantineFile('C:\WINDOWS\system32\userini.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\mrpky.exe,explorer.exe,C:\Documents and Settings\Администратор\Application Data\cift.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\mrpky.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\cift.exe','');
QuarantineFile('C:\DOCUME~1\892E~1\LOCALS~1\Temp\xhgaiecmgnlzzq.sys','');
DeleteService('lrxzkysgwzvytx');
QuarantineFile('C:\DOCUME~1\892E~1\LOCALS~1\Temp\zjqsyaziuz.sys','');
DeleteService('dmnplxjioiim');
DeleteFile('C:\DOCUME~1\892E~1\LOCALS~1\Temp\zjqsyaziuz.sys');
DeleteFile('C:\DOCUME~1\892E~1\LOCALS~1\Temp\xhgaiecmgnlzzq.sys');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\cift.exe');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\mrpky.exe');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\mrpky.exe,explorer.exe,C:\Documents and Settings\Администратор\Application Data\cift.exe');
DeleteFile('C:\WINDOWS\system32\userini.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','userini');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini');
DeleteFile('C:\NOD32\Scanner\scanneris.exe');
DeleteFile('c:\windows\explorer.exe:userini.exe:$DATA');
DeleteFile('C:\WINDOWS\system32\syschange.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи в нормальном режиме + лог http://virusinfo.info/showpost.php?p=457118&postcount=1
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
да забыл. сейчас приаттачил к тому же сообщению.
послал карантин
Файл сохранён как100612_142824_2010-06-12_4c136148e9e9f.zip
Размер файла5477
MD591c0b8f7ebcb3d1c8d6a2ea3e8309539
что-то все-таки сидит еще. первый раз запускал скрипт - ничего небыло, второй (логи от него) снова какая-то зараза
что-то подкидывает userini
-
Junior Member
- Вес репутации
- 51
Блин. заметил! вирусы подтягиваются из сети. покак не подключаюсь, все пучком.
Вот лог mbam-setup.exe - 20 вирусов. Удалять все?
-
Junior Member
- Вес репутации
- 51
В общем спасибо.
По-моему поборол...
-
Удалите в МВАМ
Код:
Зараженные ключи в реестре:
HKEY_CLASSES_ROOT\CLSID\{1408e208-2ac1-42d3-9f10-78a5b36e05ac} (Trojan.BHO) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DRM\amty (Worm.Autorun) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\MADOWN (Worm.Magania) -> No action taken.
Зараженные параметры в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\userini (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\userini (Trojan.Agent) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\userini (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\userini (Trojan.Agent) -> No action taken.
Зараженные папки:
C:\Documents and Settings\All Users\Application Data\13219218 (Rogue.Multiple) -> No action taken.
Зараженные файлы:
C:\WINDOWS\system32\drivers\47089918.sys (Rootkit.Rustock) -> No action taken.
C:\WINDOWS\system32\wbem\grpconv.exe (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\Хозяйка\Local Settings\Temporary Internet Files\Content.IE5\J78W9M0P\3[1].exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\system32\SelfDel.bat (Malware.Trace) -> No action taken.
C:\Documents and Settings\Хозяйка\Application Data\wiaservg.log (Malware.Trace) -> No action taken.
C:\WINDOWS\system32\csrcs.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\drivers\str.sys (Rootkit.Agent) -> No action taken.
C:\WINDOWS\system32\sdra64.exe (Spyware.Zbot) -> No action taken.
C:\WINDOWS\system32\twex.exe (Backdoor.Bot) -> No action taken.
Сделайте лог http://virusinfo.info/showpost.php?p=493610&postcount=1
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 25
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\администратор\application data\cift.exe - Trojan.Win32.Inject.ardy ( DrWEB: BackDoor.Butter.23, BitDefender: Trojan.Agent.Delf.RMM, AVAST4: Win32:Dracur-D [Cryp] )
- c:\documents and settings\хозяйка\application data\cift.exe - Trojan.Win32.Inject.ardy ( DrWEB: BackDoor.Butter.23, BitDefender: Trojan.Agent.Delf.RMM, AVAST4: Win32:Dracur-D [Cryp] )
- c:\docume~1\892e~1\locals~1\temp\ruaxkvnmto.sys - Rootkit.Win32.Agent.bhqy ( DrWEB: Trojan.NtRootKit.2965, AVAST4: Win32:Rootkit-gen [Rtk] )
- c:\docume~1\892e~1\locals~1\temp\tlmrdaoboxgdys.sy s - Rootkit.Win32.Agent.bhqy ( DrWEB: Trojan.NtRootKit.2965, AVAST4: Win32:Rootkit-gen [Rtk] )
- c:\windows\explorer.exe:userini.exe:$data - Email-Worm.Win32.Joleee.ewf ( DrWEB: Trojan.Spambot.6788, BitDefender: Gen:Variant.Bredo.2, AVAST4: Win32:Bredolab-DI [Trj] )
- c:\windows\system32\syschange.exe - HEUR:Trojan.Win32.Generic ( DrWEB: Trojan.PWS.Ibank.46, BitDefender: Trojan.Generic.4188226, AVAST4: Win32:Malware-gen )
- c:\windows\system32\userini.exe - Email-Worm.Win32.Joleee.ewe ( DrWEB: Trojan.Spambot.6788, BitDefender: Gen:Variant.Bredo.2, AVAST4: Win32:Bredolab-DI [Trj] )
-