-
Junior Member
- Вес репутации
- 51
explorer.exe:userini.exe и циферные файлы
Здравствуйте, сегодня столкнулся с такой проблеммой, появляется explorer.exe:userini.exe в процессах и циферные файлы типа 13235.exe, их штуки 4, затем появляется файл wpv631277976305.exe, цифры отличаются, во вложение вложу, касперский после включения начинает лечение активных угроз и комп перегружается. Поэтому их в деспетчере я убиваю и работаю дальше! Бонусом вкладываю отчет каспера, может пригодится!
Последний раз редактировалось merlin85; 02.07.2010 в 15:51.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Доброго времени суток
Обновите базы AVZ при помощи автоматического обновления (Файл/Обновление баз), удалите лишние вложения - каспер.txt virusinfo_cure.zip wpv631277976305.zip
Пофиксите в Hijackthis:
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
Отключите компьютер от интернета, а также отключите антивирус и/или файрвол.
Закройте все программы, выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\explorer.exe:userini.exe');
TerminateProcessByName('c:\windows\system32\userini.exe');
QuarantineFile('c:\windows\explorer.exe:userini.exe:$DATA','');
QuarantineFile('C:\WINDOWS\system32\userini.exe','');
QuarantineFile('C:\Documents and Settings\user\Application Data\ibnzs.exe','');
DeleteFile('C:\Documents and Settings\user\Application Data\ibnzs.exe');
DeleteFile('C:\WINDOWS\system32\userini.exe');
DeleteFile('c:\windows\explorer.exe:userini.exe:$DATA');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','userini');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','userini');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи по правилам + лог mbam
-
-
Junior Member
- Вес репутации
- 51
Стало намного лучше, но файл explorer.exe:userini.exe не пропал, высылаю вложения.
-
Удалите в МВАМ
Код:
Зараженные параметры в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\userini (Trojan.Dropper) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\userini (Trojan.Dropper) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\userini (Trojan.Dropper) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\userini (Trojan.Dropper) -> No action taken.
Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> No action taken.
Зараженные папки:
C:\WINDOWS\system32\scvhost (Backdoor.Bot) -> No action taken.
Зараженные файлы:
C:\WINDOWS\explorer.exe:userini.exe (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\user\Local Settings\Temp\034142.exe (Trojan.Vidro) -> No action taken.
C:\Documents and Settings\user\Local Settings\Temp\2456.exe (Packed.Krap) -> No action taken.
C:\Documents and Settings\user\Local Settings\Temp\398.exe (Packed.Krap) -> No action taken.
C:\Documents and Settings\user\Local Settings\Temp\788905.exe (Trojan.Vidro) -> No action taken.
C:\Documents and Settings\user\Local Settings\Temp\~TM4.tmp (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\user\Local Settings\Temp\~TM8.tmp (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\OFA5G32R\default[1].exe (Packed.Krap) -> No action taken.
C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\OFA5G32R\update[1].exe (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\OFA5G32R\35[1].exe (Trojan.Vidro) -> No action taken.
C:\Documents and Settings\user\Рабочий стол\avz4\Quarantine\2010-07-02\avz00001.dta (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\user\Рабочий стол\avz4\Quarantine\2010-07-02\avz00002.dta (Trojan.Dropper) -> No action taken.
C:\WINDOWS\Temp\wpv011277975512.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\Temp\wpv121277975441.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\Temp\wpv181277975966.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\Temp\wpv401277975557.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\Temp\wpv631277976305.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\system32\msvcrt2.dll (Malware.Traces) -> No action taken.
C:\Documents and Settings\user\Application Data\wiaservg.log (Malware.Trace) -> No action taken.
C:\WINDOWS\system32\Drivers\str.sys (Rootkit.Agent) -> No action taken.
C:\WINDOWS\Prefetch\EXPLORER.EXE (Trojan.Agent) -> No action taken.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
Процессы пропали, огромное вам спасибо!!!!
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 10
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\user\application data\ibnzs.exe - Trojan.Win32.Pincav.acqe ( DrWEB: Win32.HLLW.Autoruner.22584 )
- c:\windows\explorer.exe:userini.exe:$data - Email-Worm.Win32.Joleee.ezc ( BitDefender: Trojan.Generic.4358966 )
- c:\windows\explorer.exe:userini.exe:$data - Email-Worm.Win32.Joleee.ezd ( BitDefender: Trojan.Generic.4358457 )
- c:\windows\system32\userini.exe - Email-Worm.Win32.Joleee.eyx ( DrWEB: Trojan.Spambot.6788, BitDefender: Gen:Variant.Bredo.2, AVAST4: Win32:Bredolab-DJ [Trj] )
-