Показано с 1 по 7 из 7.

explorer.exe:userini.exe и циферные файлы (заявка № 82338)

  1. #1
    Junior Member Репутация
    Регистрация
    02.07.2010
    Сообщений
    3
    Вес репутации
    51

    Exclamation explorer.exe:userini.exe и циферные файлы

    Здравствуйте, сегодня столкнулся с такой проблеммой, появляется explorer.exe:userini.exe в процессах и циферные файлы типа 13235.exe, их штуки 4, затем появляется файл wpv631277976305.exe, цифры отличаются, во вложение вложу, касперский после включения начинает лечение активных угроз и комп перегружается. Поэтому их в деспетчере я убиваю и работаю дальше! Бонусом вкладываю отчет каспера, может пригодится!
    Последний раз редактировалось merlin85; 02.07.2010 в 15:51.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    01.06.2007
    Сообщений
    3,112
    Вес репутации
    293
    Доброго времени суток
    Обновите базы AVZ при помощи автоматического обновления (Файл/Обновление баз), удалите лишние вложения - каспер.txt virusinfo_cure.zip wpv631277976305.zip
    Пофиксите в Hijackthis:
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
    Отключите компьютер от интернета, а также отключите антивирус и/или файрвол.
    Закройте все программы, выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     TerminateProcessByName('c:\windows\explorer.exe:userini.exe');
     TerminateProcessByName('c:\windows\system32\userini.exe');
     QuarantineFile('c:\windows\explorer.exe:userini.exe:$DATA','');
     QuarantineFile('C:\WINDOWS\system32\userini.exe','');
     QuarantineFile('C:\Documents and Settings\user\Application Data\ibnzs.exe','');
     DeleteFile('C:\Documents and Settings\user\Application Data\ibnzs.exe');
     DeleteFile('C:\WINDOWS\system32\userini.exe');
     DeleteFile('c:\windows\explorer.exe:userini.exe:$DATA');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','userini');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','userini');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini');
    RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи по правилам + лог mbam

  4. #3
    Junior Member Репутация
    Регистрация
    02.07.2010
    Сообщений
    3
    Вес репутации
    51
    Стало намного лучше, но файл explorer.exe:userini.exe не пропал, высылаю вложения.

  5. #4
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3103
    Удалите в МВАМ
    Код:
    Зараженные параметры в реестре:
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\userini (Trojan.Dropper) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\userini (Trojan.Dropper) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\userini (Trojan.Dropper) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\userini (Trojan.Dropper) -> No action taken.
    
    Объекты реестра заражены:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> No action taken.
    
    Зараженные папки:
    C:\WINDOWS\system32\scvhost (Backdoor.Bot) -> No action taken.
    
    Зараженные файлы:
    C:\WINDOWS\explorer.exe:userini.exe (Trojan.Dropper) -> No action taken.
    C:\Documents and Settings\user\Local Settings\Temp\034142.exe (Trojan.Vidro) -> No action taken.
    C:\Documents and Settings\user\Local Settings\Temp\2456.exe (Packed.Krap) -> No action taken.
    C:\Documents and Settings\user\Local Settings\Temp\398.exe (Packed.Krap) -> No action taken.
    C:\Documents and Settings\user\Local Settings\Temp\788905.exe (Trojan.Vidro) -> No action taken.
    C:\Documents and Settings\user\Local Settings\Temp\~TM4.tmp (Trojan.Dropper) -> No action taken.
    C:\Documents and Settings\user\Local Settings\Temp\~TM8.tmp (Trojan.Dropper) -> No action taken.
    C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\OFA5G32R\default[1].exe (Packed.Krap) -> No action taken.
    C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\OFA5G32R\update[1].exe (Trojan.Dropper) -> No action taken.
    C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\OFA5G32R\35[1].exe (Trojan.Vidro) -> No action taken.
    C:\Documents and Settings\user\Рабочий стол\avz4\Quarantine\2010-07-02\avz00001.dta (Trojan.Dropper) -> No action taken.
    C:\Documents and Settings\user\Рабочий стол\avz4\Quarantine\2010-07-02\avz00002.dta (Trojan.Dropper) -> No action taken.
    C:\WINDOWS\Temp\wpv011277975512.exe (Trojan.Dropper) -> No action taken.
    C:\WINDOWS\Temp\wpv121277975441.exe (Trojan.Dropper) -> No action taken.
    C:\WINDOWS\Temp\wpv181277975966.exe (Trojan.Dropper) -> No action taken.
    C:\WINDOWS\Temp\wpv401277975557.exe (Trojan.Dropper) -> No action taken.
    C:\WINDOWS\Temp\wpv631277976305.exe (Trojan.Dropper) -> No action taken.
    C:\WINDOWS\system32\msvcrt2.dll (Malware.Traces) -> No action taken.
    C:\Documents and Settings\user\Application Data\wiaservg.log (Malware.Trace) -> No action taken.
    C:\WINDOWS\system32\Drivers\str.sys (Rootkit.Agent) -> No action taken.
    C:\WINDOWS\Prefetch\EXPLORER.EXE (Trojan.Agent) -> No action taken.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  6. #5
    Junior Member Репутация
    Регистрация
    02.07.2010
    Сообщений
    3
    Вес репутации
    51
    Процессы пропали, огромное вам спасибо!!!!

  7. #6
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3103
    Новый лог МВАМ сделайте
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  8. #7
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 10
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\documents and settings\user\application data\ibnzs.exe - Trojan.Win32.Pincav.acqe ( DrWEB: Win32.HLLW.Autoruner.22584 )
      2. c:\windows\explorer.exe:userini.exe:$data - Email-Worm.Win32.Joleee.ezc ( BitDefender: Trojan.Generic.4358966 )
      3. c:\windows\explorer.exe:userini.exe:$data - Email-Worm.Win32.Joleee.ezd ( BitDefender: Trojan.Generic.4358457 )
      4. c:\windows\system32\userini.exe - Email-Worm.Win32.Joleee.eyx ( DrWEB: Trojan.Spambot.6788, BitDefender: Gen:Variant.Bredo.2, AVAST4: Win32:Bredolab-DJ [Trj] )


  • Уважаемый(ая) merlin85, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. explorer.exe:userini.exe vol.2
      От Snakes в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 20.04.2010, 15:35
    2. explorer.exe:userini.exe и др.
      От dleecher5 в разделе Помогите!
      Ответов: 43
      Последнее сообщение: 02.04.2010, 13:55
    3. explorer.exe:userini.exe
      От Shouldercannon в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 04.03.2010, 21:36
    4. explorer.exe:userini.exe
      От marker в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 01.02.2010, 14:32
    5. explorer.exe:userini.exe или просто userini.exe
      От Darzok в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 27.01.2010, 01:37

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01194 seconds with 19 queries