Показано с 1 по 7 из 7.

Trojan.Winlock. вирус в user.ini (заявка № 81586)

  1. #1
    Junior Member Репутация
    Регистрация
    30.03.2010
    Сообщений
    142
    Вес репутации
    29

    Exclamation Trojan.Winlock. вирус в user.ini

    Добрый вечер. Просьба помочь вылечить ПК.
    В начале была блокировка экрана порно банером, ввел код который взял на сайте Dr.Web. http://www.drweb.com/unlocker/index/ Экран разблокировался.

    Все же хочется окончательно удалить эту гадость.

    Логи привожу.

    Заранее всем участникам спасибо!
    Последний раз редактировалось forever; 28.06.2010 в 23:18.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,547
    Вес репутации
    3021
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\explorer.exe:userini.exe:$DATA','');
     QuarantineFile('D:\Program files\totalcmd\cglptnt.sys','');
     QuarantineFile('kwflowerq.sys','');
     DeleteService('kwflowerq');
     QuarantineFile('C:\Documents and Settings\ЖЕНЯиДИМА\Мои документы\ScsiAccess.exe','');
     TerminateProcessByName('c:\windows\temp\wpv471277121687.exe');
     QuarantineFile('c:\windows\temp\wpv471277121687.exe','');
     TerminateProcessByName('c:\windows\system32\userini.exe');
     QuarantineFile('c:\windows\system32\userini.exe','');
     DeleteFile('c:\windows\system32\userini.exe');
     DeleteFile('c:\windows\temp\wpv471277121687.exe');
     DeleteFile('kwflowerq.sys');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','userini');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','userini');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini');
     DeleteFile('C:\WINDOWS\explorer.exe:userini.exe:$DATA');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи + лог http://virusinfo.info/showpost.php?p=457118&postcount=1
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  4. #3
    Junior Member Репутация
    Регистрация
    30.03.2010
    Сообщений
    142
    Вес репутации
    29

    Готово

    thyrex - извини что так долго отвечал, уезжал.. вот только добрался до ноута.

    Все сделал логи привожу.
    Результат загрузки
    Файл сохранён как 100627_004049_virus_4c2665d1682d4.zip
    Размер файла 81827
    MD5 31a6e71f41076bc59095b8197ebe652f

  5. #4
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,547
    Вес репутации
    3021
    Удалите в МВАМ (только осторожно, ибо не все строчки нужно отмечать)
    Код:
    Зараженные ключи в реестре:
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\{28abc5c0-4fcb-11cf-aax5-81cx1c635612} (Trojan.Agent) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Fci (Rootkit.Agent) -> No action taken.
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ICF (Rootkit.Agent) -> No action taken.
    
    Зараженные параметры в реестре:
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\host (Malware.Trace) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\id (Malware.Trace) -> No action taken.
    
    Зараженные файлы:
    C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\STJMB5EH\n22[5].exe (Trojan.Dropper) -> No action taken.
    C:\Documents and Settings\ЖЕНЯиДИМА\Local Settings\Temporary Internet Files\Content.IE5\6B21YN85\1[1].exe (Trojan.Dropper) -> No action taken.
    C:\Documents and Settings\ЖЕНЯиДИМА\Local Settings\Temporary Internet Files\Content.IE5\6B21YN85\sec[1].exe (Trojan.SpamBot) -> No action taken.
    C:\Documents and Settings\ЖЕНЯиДИМА\Local Settings\Temporary Internet Files\Content.IE5\WP83AJ8T\1[1].exe (Trojan.Dropper) -> No action taken.
    C:\Program Files\IKARUS\virus.utilities\quarantine\files\7.vir (Spyware.Passwords) -> No action taken.
    C:\WINDOWS\temp\wpv281273499623.exe (Trojan.Dropper) -> No action taken.
    C:\WINDOWS\temp\wpv381275311461.exe (Trojan.Dropper) -> No action taken.
    C:\WINDOWS\temp\wpv391275029474.exe (Trojan.Dropper) -> No action taken.
    C:\WINDOWS\temp\wpv401274973542.exe (Trojan.Dropper) -> No action taken.
    C:\WINDOWS\temp\wpv421276707328.exe (Trojan.Dropper) -> No action taken.
    C:\WINDOWS\temp\wpv451275580686.exe (Trojan.Dropper) -> No action taken.
    C:\WINDOWS\temp\wpv481275553768.exe (Trojan.Dropper) -> No action taken.
    C:\WINDOWS\temp\wpv491275552900.exe (Trojan.Dropper) -> No action taken.
    C:\WINDOWS\temp\wpv491275553493.exe (Trojan.Dropper) -> No action taken.
    C:\WINDOWS\temp\wpv641275059006.exe (Trojan.Dropper) -> No action taken.
    C:\WINDOWS\temp\wpv651275029355.exe (Trojan.Dropper) -> No action taken.
    C:\WINDOWS\temp\wpv661275553221.exe (Trojan.Dropper) -> No action taken.
    C:\WINDOWS\temp\wpv681274174304.exe (Trojan.Dropper) -> No action taken.
    C:\WINDOWS\temp\wpv681274770948.exe (Trojan.Dropper) -> No action taken.
    C:\WINDOWS\temp\wpv741275915733.exe (Trojan.Dropper) -> No action taken.
    C:\WINDOWS\temp\wpv771273574967.exe (Trojan.Dropper) -> No action taken.
    C:\WINDOWS\temp\wpv771276705576.exe (Trojan.Dropper) -> No action taken.
    C:\WINDOWS\temp\wpv811276759321.exe (Trojan.Dropper) -> No action taken.
    C:\WINDOWS\temp\wpv081273879417.exe (Trojan.Dropper) -> No action taken.
    C:\WINDOWS\temp\wpv081275029417.exe (Trojan.Dropper) -> No action taken.
    C:\WINDOWS\temp\wpv081275553049.exe (Trojan.Dropper) -> No action taken.
    C:\WINDOWS\temp\wpv091274184546.exe (Trojan.Dropper) -> No action taken.
    C:\WINDOWS\temp\wpv121274083693.exe (Trojan.Dropper) -> No action taken.
    C:\WINDOWS\temp\wpv131273488493.exe (Trojan.Dropper) -> No action taken.
    C:\WINDOWS\temp\wpv141273573875.exe (Trojan.Dropper) -> No action taken.
    C:\WINDOWS\temp\wpv141276716753.exe (Trojan.Dropper) -> No action taken.
    C:\WINDOWS\temp\wpv161273574797.exe (Trojan.Dropper) -> No action taken.
    C:\WINDOWS\temp\wpv221273577047.exe (Trojan.Dropper) -> No action taken.
    C:\WINDOWS\temp\wpv221275553665.exe (Trojan.Dropper) -> No action taken.
    C:\WINDOWS\temp\wpv241273499316.exe (Trojan.Dropper) -> No action taken.
    C:\WINDOWS\temp\wpv241274970436.exe (Trojan.Dropper) -> No action taken.
    C:\WINDOWS\temp\wpv831273913086.exe (Trojan.Dropper) -> No action taken.
    C:\WINDOWS\temp\wpv861276716863.exe (Trojan.Dropper) -> No action taken.
    C:\WINDOWS\temp\wpv881276717150.exe (Trojan.Dropper) -> No action taken.
    C:\WINDOWS\temp\wpv931275037067.exe (Trojan.Dropper) -> No action taken.
    C:\WINDOWS\temp\wpv941275552831.exe (Trojan.Dropper) -> No action taken.
    C:\WINDOWS\temp\wpv991276706242.exe (Trojan.Dropper) -> No action taken.
    C:\WINDOWS\temp\wpv991276706608.exe (Trojan.Dropper) -> No action taken.
    C:\WINDOWS\temp\wpv531273573735.exe (Trojan.Dropper) -> No action taken.
    C:\WINDOWS\temp\wpv571274174438.exe (Trojan.Dropper) -> No action taken.
    C:\WINDOWS\temp\wpv571275327332.exe (Trojan.Dropper) -> No action taken.
    C:\WINDOWS\temp\wpv591274970207.exe (Trojan.Dropper) -> No action taken.
    C:\WINDOWS\temp\wpv591276706016.exe (Trojan.Dropper) -> No action taken.
    C:\WINDOWS\temp\wpv601275553585.exe (Trojan.Dropper) -> No action taken.
    C:\WINDOWS\temp\wpv601276716976.exe (Trojan.Dropper) -> No action taken.
    C:\WINDOWS\temp\wpv611274174390.exe (Trojan.Dropper) -> No action taken.
    C:\WINDOWS\temp\wpv611276717903.exe (Trojan.Dropper) -> No action taken.
    C:\WINDOWS\temp\wpv491275915800.exe (Trojan.Dropper) -> No action taken.
    C:\WINDOWS\temp\wpv621274174193.exe (Trojan.Dropper) -> No action taken.
    C:\WINDOWS\temp\wpv821273913623.exe (Trojan.Dropper) -> No action taken.
    C:\WINDOWS\temp\wpv001273488921.exe (Trojan.Dropper) -> No action taken.
    C:\WINDOWS\temp\wpv011275553103.exe (Trojan.Dropper) -> No action taken.
    C:\WINDOWS\temp\wpv031276706163.exe (Trojan.Dropper) -> No action taken.
    C:\WINDOWS\temp\wpv041276710767.exe (Trojan.Dropper) -> No action taken.
    C:\WINDOWS\temp\wpv051274083913.exe (Trojan.Dropper) -> No action taken.
    C:\WINDOWS\temp\wpv051274174481.exe (Trojan.Dropper) -> No action taken.
    D:\programms\Antivirus\avz4\Quarantine\2010-04-24\avz00009.dta (Spyware.Passwords) -> No action taken.
    D:\programms\Antivirus\avz4\Quarantine\2010-05-21\avz00001.dta (Trojan.Dropper) -> No action taken.
    D:\programms\Antivirus\avz4\Quarantine\2010-05-21\avz00005.dta (Trojan.Agent) -> No action taken.
    D:\programms\Antivirus\avz4\Quarantine\2010-05-21\avz00006.dta (Trojan.Dropper) -> No action taken.
    D:\programms\Antivirus\avz4\Quarantine\2010-05-23\avz00001.dta (Trojan.Dropper) -> No action taken.
    D:\programms\Antivirus\avz4\Quarantine\2010-05-23\avz00013.dta (Trojan.Dropper) -> No action taken.
    D:\programms\Antivirus\avz4\Quarantine\2010-05-23\avz00017.dta (Rootkit.Agent) -> No action taken.
    D:\programms\Antivirus\avz4\Quarantine\2010-06-26\avz00001.dta (Trojan.Dropper) -> No action taken.
    D:\programms\Antivirus\avz4\Quarantine\2010-06-26\avz00003.dta (Trojan.Dropper) -> No action taken.
    D:\programms\Antivirus\avz4\Infected\2010-04-23\avz00001.dta (Trojan.Downloader) -> No action taken.
    D:\programms\Antivirus\avz4\Infected\2010-04-24\avz00001.dta (Trojan.Agent) -> No action taken.
    D:\programms\Antivirus\avz4\Infected\2010-05-21\avz00003.dta (Trojan.Agent) -> No action taken.
    D:\programms\Antivirus\avz4\Infected\2010-05-21\avz00004.dta (Trojan.Agent) -> No action taken.
    D:\programms\Antivirus\avz4\Infected\2010-05-21\avz00011.dta (Trojan.Dropper) -> No action taken.
    D:\programms\Antivirus\avz4\Infected\2010-05-21\avz00012.dta (Trojan.Dropper) -> No action taken.
    D:\programms\Antivirus\avz4\Infected\2010-05-21\avz00013.dta (Trojan.Dropper) -> No action taken.
    D:\programms\Antivirus\avz4\Infected\2010-05-21\avz00014.dta (Trojan.Dropper) -> No action taken.
    D:\programms\Antivirus\avz4\Infected\2010-05-21\avz00015.dta (Trojan.Dropper) -> No action taken.
    D:\programms\Antivirus\avz4\Infected\2010-05-21\avz00016.dta (Trojan.Dropper) -> No action taken.
    D:\programms\Antivirus\avz4\Infected\2010-05-21\avz00017.dta (Trojan.Agent) -> No action taken.
    E:\prg from forever\avz4\avz4\Quarantine\2010-06-22\avz00001.dta (Trojan.Dropper) -> No action taken.
    E:\prg from forever\avz4\avz4\Quarantine\2010-06-22\avz00004.dta (Trojan.Dropper) -> No action taken.
    E:\prg from forever\avz4\avz4\Infected\2010-06-22\avz00002.dta (Rootkit.Agent) -> No action taken.
    E:\prg from forever\avz4\avz4\Infected\2010-06-22\avz00003.dta (Trojan.Dropper) -> No action taken.
    E:\prg from forever\avz4\avz4\Infected\2010-06-22\avz00004.dta (Trojan.Dropper) -> No action taken.
    E:\prg from forever\avz4\avz4\Infected\2010-06-22\avz00005.dta (Trojan.Dropper) -> No action taken.
    E:\prg from forever\avz4\avz4\Infected\2010-06-22\avz00006.dta (Trojan.Dropper) -> No action taken.
    E:\prg from forever\avz4\avz4\Infected\2010-06-22\avz00007.dta (Trojan.Dropper) -> No action taken.
    E:\prg from forever\avz4\avz4\Infected\2010-06-22\avz00008.dta (Trojan.Dropper) -> No action taken.
    E:\prg from forever\avz4\avz4\Infected\2010-06-22\avz00009.dta (Trojan.Dropper) -> No action taken.
    E:\prg from forever\avz4\avz4\Infected\2010-06-22\avz00010.dta (Trojan.Dropper) -> No action taken.
    E:\prg from forever\avz4\avz4\Infected\2010-06-22\avz00011.dta (Trojan.Dropper) -> No action taken.
    E:\prg from forever\avz4\avz4\Infected\2010-06-22\avz00012.dta (Trojan.Dropper) -> No action taken.
    C:\Documents and Settings\ЖЕНЯиДИМА\Application Data\wiaservg.log (Malware.Trace) -> No action taken.
    C:\WINDOWS\system32\drivers\str.sys (Rootkit.Agent) -> No action taken.
    C:\WINDOWS\temp\wpv141275553171.exe (Trojan.Agent) -> No action taken.
    C:\WINDOWS\temp\wpv441276865916.exe (Trojan.Agent) -> No action taken.
    C:\WINDOWS\temp\wpv991275552789.exe (Trojan.Agent) -> No action taken.
    C:\Documents and Settings\forever\oashdihasidhasuidhiasdhiashdiuasdhasd (Malware.Trace) -> No action taken.
    C:\Documents and Settings\LocalService\oashdihasidhasuidhiasdhiashdiuasdhasd (Malware.Trace) -> No action taken.
    C:\Documents and Settings\ЖЕНЯиДИМА\oashdihasidhasuidhiasdhiashdiuasdhasd (Malware.Trace) -> No action taken.
    C:\WINDOWS\Prefetch\EXPLORER.EXE (Trojan.Agent) -> No action taken.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  6. #5
    Junior Member Репутация
    Регистрация
    30.03.2010
    Сообщений
    142
    Вес репутации
    29

    Сделал.

    Сделал все как написано.
    Делал 2 раза вот логи от МВАМ.
    1.mbam-log-2010-06-28 (13-21-10)
    2.mbam-log-2010-06-28 (21-03-23)

    Так же привожу логи после удаления, про сканировал avz.

    Посмотрите пожалуйста.
    Если на этом все, сообщите. Спасибо.
    Последний раз редактировалось forever; 24.11.2010 в 17:03.

  7. #6
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,547
    Вес репутации
    3021
    Код:
    C:\WINDOWS\system32\termsrv.dll
    C:\WINDOWS\system32\dllcache\termsrv.dll
    D:\programms\rdp\termsrv.dll
    Все эти файлы упакуйте с паролем virus и пришлите по красной ссылке Прислать запрошенный карантин вверху темы
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  8. #7
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 2
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\windows\explorer.exe:userini.exe:$data - Email-Worm.Win32.Joleee.evi ( DrWEB: Trojan.Spambot.6788, BitDefender: Trojan.Bredolab.BV, AVAST4: Win32:Bredolab-DH [Trj] )
      2. c:\windows\system32\userini.exe - Packed.Win32.Krap.x ( DrWEB: Trojan.Spambot.6788, BitDefender: Trojan.Bredolab.BV, AVAST4: Win32:Bredolab-DH [Trj] )


  • Уважаемый(ая) forever, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Нужна помощь. На компе вирус trojan.winlock.2741
      От Tinka в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 04.03.2011, 14:36
    2. Вирус, предположительно Trojan.Winlock 1819
      От iiva в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 09.06.2010, 08:10
    3. Trojan.Winlock.97 Вирус-вымогатель
      От sterx1988 в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 23.02.2010, 20:06
    4. Вирус Attention, User! Some dangerous trojan
      От BAtFF в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 22.02.2009, 06:06

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00260 seconds with 16 queries