-
Junior Member
- Вес репутации
- 52
Trojan.Winlock. вирус в user.ini
Добрый вечер. Просьба помочь вылечить ПК.
В начале была блокировка экрана порно банером, ввел код который взял на сайте Dr.Web. http://www.drweb.com/unlocker/index/ Экран разблокировался.
Все же хочется окончательно удалить эту гадость.
Логи привожу.
Заранее всем участникам спасибо!
Последний раз редактировалось forever; 29.06.2010 в 00:18.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\explorer.exe:userini.exe:$DATA','');
QuarantineFile('D:\Program files\totalcmd\cglptnt.sys','');
QuarantineFile('kwflowerq.sys','');
DeleteService('kwflowerq');
QuarantineFile('C:\Documents and Settings\ЖЕНЯиДИМА\Мои документы\ScsiAccess.exe','');
TerminateProcessByName('c:\windows\temp\wpv471277121687.exe');
QuarantineFile('c:\windows\temp\wpv471277121687.exe','');
TerminateProcessByName('c:\windows\system32\userini.exe');
QuarantineFile('c:\windows\system32\userini.exe','');
DeleteFile('c:\windows\system32\userini.exe');
DeleteFile('c:\windows\temp\wpv471277121687.exe');
DeleteFile('kwflowerq.sys');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','userini');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','userini');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini');
DeleteFile('C:\WINDOWS\explorer.exe:userini.exe:$DATA');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи + лог http://virusinfo.info/showpost.php?p=457118&postcount=1
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
Готово
thyrex - извини что так долго отвечал, уезжал.. вот только добрался до ноута.
Все сделал логи привожу.
Результат загрузки
Файл сохранён как 100627_004049_virus_4c2665d1682d4.zip
Размер файла 81827
MD5 31a6e71f41076bc59095b8197ebe652f
-
Удалите в МВАМ (только осторожно, ибо не все строчки нужно отмечать)
Код:
Зараженные ключи в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\{28abc5c0-4fcb-11cf-aax5-81cx1c635612} (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Fci (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ICF (Rootkit.Agent) -> No action taken.
Зараженные параметры в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\host (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\id (Malware.Trace) -> No action taken.
Зараженные файлы:
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\STJMB5EH\n22[5].exe (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\ЖЕНЯиДИМА\Local Settings\Temporary Internet Files\Content.IE5\6B21YN85\1[1].exe (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\ЖЕНЯиДИМА\Local Settings\Temporary Internet Files\Content.IE5\6B21YN85\sec[1].exe (Trojan.SpamBot) -> No action taken.
C:\Documents and Settings\ЖЕНЯиДИМА\Local Settings\Temporary Internet Files\Content.IE5\WP83AJ8T\1[1].exe (Trojan.Dropper) -> No action taken.
C:\Program Files\IKARUS\virus.utilities\quarantine\files\7.vir (Spyware.Passwords) -> No action taken.
C:\WINDOWS\temp\wpv281273499623.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\temp\wpv381275311461.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\temp\wpv391275029474.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\temp\wpv401274973542.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\temp\wpv421276707328.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\temp\wpv451275580686.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\temp\wpv481275553768.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\temp\wpv491275552900.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\temp\wpv491275553493.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\temp\wpv641275059006.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\temp\wpv651275029355.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\temp\wpv661275553221.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\temp\wpv681274174304.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\temp\wpv681274770948.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\temp\wpv741275915733.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\temp\wpv771273574967.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\temp\wpv771276705576.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\temp\wpv811276759321.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\temp\wpv081273879417.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\temp\wpv081275029417.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\temp\wpv081275553049.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\temp\wpv091274184546.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\temp\wpv121274083693.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\temp\wpv131273488493.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\temp\wpv141273573875.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\temp\wpv141276716753.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\temp\wpv161273574797.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\temp\wpv221273577047.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\temp\wpv221275553665.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\temp\wpv241273499316.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\temp\wpv241274970436.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\temp\wpv831273913086.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\temp\wpv861276716863.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\temp\wpv881276717150.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\temp\wpv931275037067.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\temp\wpv941275552831.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\temp\wpv991276706242.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\temp\wpv991276706608.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\temp\wpv531273573735.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\temp\wpv571274174438.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\temp\wpv571275327332.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\temp\wpv591274970207.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\temp\wpv591276706016.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\temp\wpv601275553585.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\temp\wpv601276716976.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\temp\wpv611274174390.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\temp\wpv611276717903.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\temp\wpv491275915800.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\temp\wpv621274174193.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\temp\wpv821273913623.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\temp\wpv001273488921.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\temp\wpv011275553103.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\temp\wpv031276706163.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\temp\wpv041276710767.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\temp\wpv051274083913.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\temp\wpv051274174481.exe (Trojan.Dropper) -> No action taken.
D:\programms\Antivirus\avz4\Quarantine\2010-04-24\avz00009.dta (Spyware.Passwords) -> No action taken.
D:\programms\Antivirus\avz4\Quarantine\2010-05-21\avz00001.dta (Trojan.Dropper) -> No action taken.
D:\programms\Antivirus\avz4\Quarantine\2010-05-21\avz00005.dta (Trojan.Agent) -> No action taken.
D:\programms\Antivirus\avz4\Quarantine\2010-05-21\avz00006.dta (Trojan.Dropper) -> No action taken.
D:\programms\Antivirus\avz4\Quarantine\2010-05-23\avz00001.dta (Trojan.Dropper) -> No action taken.
D:\programms\Antivirus\avz4\Quarantine\2010-05-23\avz00013.dta (Trojan.Dropper) -> No action taken.
D:\programms\Antivirus\avz4\Quarantine\2010-05-23\avz00017.dta (Rootkit.Agent) -> No action taken.
D:\programms\Antivirus\avz4\Quarantine\2010-06-26\avz00001.dta (Trojan.Dropper) -> No action taken.
D:\programms\Antivirus\avz4\Quarantine\2010-06-26\avz00003.dta (Trojan.Dropper) -> No action taken.
D:\programms\Antivirus\avz4\Infected\2010-04-23\avz00001.dta (Trojan.Downloader) -> No action taken.
D:\programms\Antivirus\avz4\Infected\2010-04-24\avz00001.dta (Trojan.Agent) -> No action taken.
D:\programms\Antivirus\avz4\Infected\2010-05-21\avz00003.dta (Trojan.Agent) -> No action taken.
D:\programms\Antivirus\avz4\Infected\2010-05-21\avz00004.dta (Trojan.Agent) -> No action taken.
D:\programms\Antivirus\avz4\Infected\2010-05-21\avz00011.dta (Trojan.Dropper) -> No action taken.
D:\programms\Antivirus\avz4\Infected\2010-05-21\avz00012.dta (Trojan.Dropper) -> No action taken.
D:\programms\Antivirus\avz4\Infected\2010-05-21\avz00013.dta (Trojan.Dropper) -> No action taken.
D:\programms\Antivirus\avz4\Infected\2010-05-21\avz00014.dta (Trojan.Dropper) -> No action taken.
D:\programms\Antivirus\avz4\Infected\2010-05-21\avz00015.dta (Trojan.Dropper) -> No action taken.
D:\programms\Antivirus\avz4\Infected\2010-05-21\avz00016.dta (Trojan.Dropper) -> No action taken.
D:\programms\Antivirus\avz4\Infected\2010-05-21\avz00017.dta (Trojan.Agent) -> No action taken.
E:\prg from forever\avz4\avz4\Quarantine\2010-06-22\avz00001.dta (Trojan.Dropper) -> No action taken.
E:\prg from forever\avz4\avz4\Quarantine\2010-06-22\avz00004.dta (Trojan.Dropper) -> No action taken.
E:\prg from forever\avz4\avz4\Infected\2010-06-22\avz00002.dta (Rootkit.Agent) -> No action taken.
E:\prg from forever\avz4\avz4\Infected\2010-06-22\avz00003.dta (Trojan.Dropper) -> No action taken.
E:\prg from forever\avz4\avz4\Infected\2010-06-22\avz00004.dta (Trojan.Dropper) -> No action taken.
E:\prg from forever\avz4\avz4\Infected\2010-06-22\avz00005.dta (Trojan.Dropper) -> No action taken.
E:\prg from forever\avz4\avz4\Infected\2010-06-22\avz00006.dta (Trojan.Dropper) -> No action taken.
E:\prg from forever\avz4\avz4\Infected\2010-06-22\avz00007.dta (Trojan.Dropper) -> No action taken.
E:\prg from forever\avz4\avz4\Infected\2010-06-22\avz00008.dta (Trojan.Dropper) -> No action taken.
E:\prg from forever\avz4\avz4\Infected\2010-06-22\avz00009.dta (Trojan.Dropper) -> No action taken.
E:\prg from forever\avz4\avz4\Infected\2010-06-22\avz00010.dta (Trojan.Dropper) -> No action taken.
E:\prg from forever\avz4\avz4\Infected\2010-06-22\avz00011.dta (Trojan.Dropper) -> No action taken.
E:\prg from forever\avz4\avz4\Infected\2010-06-22\avz00012.dta (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\ЖЕНЯиДИМА\Application Data\wiaservg.log (Malware.Trace) -> No action taken.
C:\WINDOWS\system32\drivers\str.sys (Rootkit.Agent) -> No action taken.
C:\WINDOWS\temp\wpv141275553171.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\temp\wpv441276865916.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\temp\wpv991275552789.exe (Trojan.Agent) -> No action taken.
C:\Documents and Settings\forever\oashdihasidhasuidhiasdhiashdiuasdhasd (Malware.Trace) -> No action taken.
C:\Documents and Settings\LocalService\oashdihasidhasuidhiasdhiashdiuasdhasd (Malware.Trace) -> No action taken.
C:\Documents and Settings\ЖЕНЯиДИМА\oashdihasidhasuidhiasdhiashdiuasdhasd (Malware.Trace) -> No action taken.
C:\WINDOWS\Prefetch\EXPLORER.EXE (Trojan.Agent) -> No action taken.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
Сделал.
Сделал все как написано.
Делал 2 раза вот логи от МВАМ.
1.mbam-log-2010-06-28 (13-21-10)
2.mbam-log-2010-06-28 (21-03-23)
Так же привожу логи после удаления, про сканировал avz.
Посмотрите пожалуйста.
Если на этом все, сообщите. Спасибо.
Последний раз редактировалось forever; 24.11.2010 в 17:03.
-
Код:
C:\WINDOWS\system32\termsrv.dll
C:\WINDOWS\system32\dllcache\termsrv.dll
D:\programms\rdp\termsrv.dll
Все эти файлы упакуйте с паролем virus и пришлите по красной ссылке Прислать запрошенный карантин вверху темы
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\explorer.exe:userini.exe:$data - Email-Worm.Win32.Joleee.evi ( DrWEB: Trojan.Spambot.6788, BitDefender: Trojan.Bredolab.BV, AVAST4: Win32:Bredolab-DH [Trj] )
- c:\windows\system32\userini.exe - Packed.Win32.Krap.x ( DrWEB: Trojan.Spambot.6788, BitDefender: Trojan.Bredolab.BV, AVAST4: Win32:Bredolab-DH [Trj] )
-