Показано с 1 по 20 из 20.

Несколько процессов userini (заявка № 82823)

  1. #1
    Junior Member Репутация
    Регистрация
    10.02.2009
    Сообщений
    173
    Вес репутации
    34

    Exclamation Несколько процессов userini

    Они загружают процессор на 100%
    Прошу посмотреть
    Последний раз редактировалось akalibr; 27.07.2010 в 17:23.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,403
    Вес репутации
    1267
    Поехали -

    Закройте все программы
    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол
    - Системное восстановление

    Пофиксите в hijackthis -

    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
    Выполните скрипт в АВЗ -

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     TerminateProcessByName('C:\WINDOWS\system32\userini.exe');     
     QuarantineFile('c:\windows\explorer.exe:userini.exe','');
     QuarantineFile('c:\windows\explorer.exe:userini.exe:$DATA','');
     QuarantineFile('C:\WINDOWS\explorer.exe:userini.exe:$DATA','');
     QuarantineFile('C:\WINDOWS\system32\cpadvai.dll','');
     QuarantineFile('C:\Documents and Settings\1\Application Data\yftza.exe','');
     QuarantineFile('E:\autorun.inf','');
     QuarantineFile('C:\Documents and Settings\1\csrss.exe','');
     QuarantineFile('C:\WINDOWS\system32\userini.exe','');
     DeleteFile('C:\WINDOWS\system32\userini.exe');
     DeleteFile('C:\Documents and Settings\1\csrss.exe');
     DeleteFile('C:\Documents and Settings\1\Application Data\yftza.exe');
     DeleteFile('C:\WINDOWS\explorer.exe:userini.exe:$DATA');
     DeleteFile('c:\windows\explorer.exe:userini.exe:$DATA');
     DeleteFile('c:\windows\explorer.exe:userini.exe');
     DelAutorunByFileName('C:\WINDOWS\system32\userini.exe');   
     DelAutorunByFileName('C:\Documents and Settings\1\Application Data\yftza.exe');     
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteWizard('TSW',2,2,true);
     ExecuteRepair(11);
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    После перезагрузки:
    - выполните такой скрипт

    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

    Повторите логи, отпишитесь о состоянии.

    Добавлено через 2 минуты

    На заметку - вот с этим - Windows XP SP2, Internet Explorer v6.00 SP2, мы Вас вылечем где-то на пару дней, обновлять надо срочно.
    Последний раз редактировалось olejah; 10.07.2010 в 08:52. Причина: Добавлено

  4. #3
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,359
    Вес репутации
    3019
    Дополнительно к совету Olejah сделайте http://virusinfo.info/showpost.php?p=457118&postcount=1
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  5. #4
    Junior Member Репутация
    Регистрация
    10.02.2009
    Сообщений
    173
    Вес репутации
    34
    карантин выслал и логи подцепил
    Последний раз редактировалось akalibr; 27.07.2010 в 17:23.

  6. #5
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,403
    Вес репутации
    1267
    А рекомендацию thyrex?

    Добавлено через 6 минут

    Живучие гады -

    Выполните скрипт в АВЗ -

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('F:\PAZI\avtomat.exe','');
     QuarantineFile('F:\autorun.inf','');
     DeleteFile('c:\windows\explorer.exe:userini.exe:$DATA');
     DeleteFile('C:\Documents and Settings\1\csrss.exe');               
     BC_ImportAll;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    После перезагрузки:
    - выполните такой скрипт

    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine2.zip'); 
     end.
    Пришлите файл quarantine.zip2 из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

    И приложите лог mbam.
    Последний раз редактировалось olejah; 10.07.2010 в 12:03. Причина: Добавлено

  7. #6
    Junior Member Репутация
    Регистрация
    10.02.2009
    Сообщений
    173
    Вес репутации
    34
    карантин и логи выслал
    Последний раз редактировалось akalibr; 27.07.2010 в 17:23.

  8. #7
    Junior Member Репутация
    Регистрация
    10.02.2009
    Сообщений
    173
    Вес репутации
    34
    лог mbam будет позже

  9. #8
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,403
    Вес репутации
    1267
    Пока ждём лог mbam -

    Выполните скрипт в АВЗ -

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFile('F:\autorun.inf');
     DeleteFile('F:\PAZI\avtomat.exe');  
     RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\oeejwmrxe');
     RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\oeejwmrxe\Parameters');            
     BC_ImportAll;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

  10. #9
    Junior Member Репутация
    Регистрация
    10.02.2009
    Сообщений
    173
    Вес репутации
    34
    вот все логи
    Последний раз редактировалось akalibr; 08.09.2010 в 14:49.

  11. #10
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,403
    Вес репутации
    1267
    Ага, всплыли красавцы -

    Закройте все программы
    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол
    - Системное восстановление

    Выполните скрипт в АВЗ -

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     StopService('RTIFDH');   
     QuarantineFile('C:\WINDOWS\system32\drivers\rtifdh.sys','');  
     QuarantineFile('C:\WINDOWS\TEMP\zezutctafhr.sys','');
     QuarantineFile('C:\WINDOWS\system32\bjdpz.dll','');  
     DeleteFile('C:\WINDOWS\system32\bjdpz.dll');
     DeleteFile('C:\WINDOWS\TEMP\zezutctafhr.sys');  
     DeleteService('jzywviufqdwss');           
     BC_ImportAll;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    После перезагрузки:
    - выполните такой скрипт

    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine3.zip'); 
     end.
    Пришлите файл quarantine3.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

    И ещё пожалуйста, логи + лог mbam, надо убедиться, что выживших не осталось.

  12. #11
    Junior Member Репутация
    Регистрация
    10.02.2009
    Сообщений
    173
    Вес репутации
    34
    карантин, логи, mbam позже
    ...а вот лог mbam
    Последний раз редактировалось akalibr; 08.09.2010 в 14:49.

  13. #12
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,403
    Вес репутации
    1267
    Было - Windows XP SP2, Internet Explorer v6.00 SP2, а стало - Windows XP SP3 Internet Explorer v8.00 (8.00.6001.18702), Вы успели уже обновлений накатить? По логам АВЗ зверьё вымерло, ждём mbam.

  14. #13
    Junior Member Репутация
    Регистрация
    10.02.2009
    Сообщений
    173
    Вес репутации
    34
    вот лог mbam
    что скажите?
    Последний раз редактировалось akalibr; 08.09.2010 в 14:49.

  15. #14
    Junior Member Репутация
    Регистрация
    10.02.2009
    Сообщений
    173
    Вес репутации
    34
    прошу посмотреть

  16. #15
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,359
    Вес репутации
    3019
    Выполните скрипт в AVZ
    Код:
    begin
    QuarantineFile('C:\WINDOWS\Temp\~TM17.tmp','');
    QuarantineFile('C:\WINDOWS\system32\wbem\grpconv.exe','');
    QuarantineFile('C:\Documents and Settings\1\Local Settings\Temporary Internet Files\Content.IE5\AW5ZF6DF\update[1].exe','');
    end.
    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Удалите в МВАМ
    Код:
    Зараженные ключи в реестре:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\FieryAds (Adware.FieryAds) -> No action taken.
    
    Зараженные папки:
    C:\Program Files\FieryAds (Adware.Adware.FearAds) -> No action taken.
    C:\Program Files\Microsoft Common (Trojan.Agent) -> No action taken.
    
    Зараженные файлы:
    C:\Documents and Settings\1\DoctorWeb\Quarantine\FieryAdsUninstall.exe (Adware.FieryAds) -> No action taken.
    C:\Documents and Settings\1\Local Settings\Temporary Internet Files\Content.IE5\AW5ZF6DF\update[1].exe (Trojan.Dropper) -> No action taken.
    C:\WINDOWS\system32\wbem\grpconv.exe (Trojan.Dropper) -> No action taken.
    C:\WINDOWS\Temp\~TM17.tmp (Trojan.Dropper) -> No action taken.
    C:\Documents and Settings\1\Application Data\wiaservg.log (Malware.Trace) -> No action taken.
    C:\Documents and Settings\NetworkService\Application Data\wiaservg.log (Malware.Trace) -> No action taken.
    C:\WINDOWS\system32\drivers\str.sys (Rootkit.Agent) -> No action taken.
    C:\WINDOWS\hosts (Trojan.Agent) -> No action taken.
    Проверьте наличие файла grpconv.exe в папке C:\WINDOWS\system32.
    В случае отсутствия восстановите с дистрибутива http://virusinfo.info/showthread.php?t=51654
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  17. #16
    Junior Member Репутация
    Регистрация
    10.02.2009
    Сообщений
    173
    Вес репутации
    34
    карантин выслал, файл заменил, спасибо

    Добавлено через 2 часа 15 минут

    может быть еще какой- нибудь лог сделать?
    Последний раз редактировалось akalibr; 10.07.2010 в 20:51. Причина: Добавлено

  18. #17
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,403
    Вес репутации
    1267
    Давайте наверное для убедительности ещё разок mbam пройдёмся. Если интересно в карантине было - C:\WINDOWS\system32\wbem\grpconv.exe - Backdoor.Win32.Bredolab.fkl
    C:\WINDOWS\Temp\~TM17.tmp - Backdoor.Win32.Bredolab.fkl

  19. #18
    Junior Member Репутация
    Регистрация
    10.02.2009
    Сообщений
    173
    Вес репутации
    34
    вот он лог, поглядите
    Последний раз редактировалось akalibr; 08.09.2010 в 14:49.

  20. #19
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,359
    Вес репутации
    3019
    Удалите
    Код:
    C:\temp\avz4\Quarantine\2010-07-10\avz00001.dta (Trojan.Dropper) -> No action taken.
    C:\temp\avz4\Quarantine\2010-07-10\avz00002.dta (Trojan.Dropper) -> No action taken.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  21. #20
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 4
    • Обработано файлов: 36
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\documents and settings\1\application data\yftza.exe - Email-Worm.Win32.Iksmas.hsz ( DrWEB: Trojan.MulDrop1.36133, BitDefender: Win32.Worm.TSU, AVAST4: Win32:Bredolab-DJ [Trj] )
      2. c:\documents and settings\1\csrss.exe - Packed.Win32.Katusha.o ( DrWEB: Win32.HLLW.Lime.18, BitDefender: Gen:Heur.Krypt.24, AVAST4: Win32:MalOb-AI [Cryp] )
      3. c:\windows\explorer.exe:userini.exe - Email-Worm.Win32.Joleee.ezl ( DrWEB: Trojan.Spambot.6788, BitDefender: Trojan.Generic.4376919, AVAST4: Win32:Bredolab-DJ [Trj] )
      4. c:\windows\explorer.exe:userini.exe:$data - Email-Worm.Win32.Joleee.ezl ( DrWEB: Trojan.Spambot.6788, BitDefender: Trojan.Generic.4376919, AVAST4: Win32:Bredolab-DJ [Trj] )
      5. c:\windows\system32\userini.exe - Email-Worm.Win32.Joleee.ezl ( DrWEB: Trojan.Spambot.6788, BitDefender: Trojan.Generic.4376919, AVAST4: Win32:Bredolab-DJ [Trj] )
      6. c:\windows\system32\wbem\grpconv.exe - Backdoor.Win32.Bredolab.fkl ( DrWEB: Trojan.Botnetlog.158, BitDefender: Trojan.Generic.4481817, AVAST4: Win32:Bredolab-DJ [Trj] )
      7. c:\windows\temp\~tm17.tmp - Backdoor.Win32.Bredolab.fkl ( DrWEB: Trojan.Botnetlog.158, BitDefender: Trojan.Generic.4481817, AVAST4: Win32:Bredolab-DJ [Trj] )
      8. f:\pazi\avtomat.exe - Packed.Win32.Katusha.o ( DrWEB: Win32.HLLW.Lime.18, BitDefender: Gen:Heur.Krypt.24, AVAST4: Win32:MalOb-AI [Cryp] )


  • Уважаемый(ая) akalibr, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. несколько процессов iexplore.exe
      От Dahaka в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 11.06.2010, 12:19
    2. Ответов: 10
      Последнее сообщение: 10.06.2010, 19:15
    3. Несколько процессов Userini.exe
      От Elmer в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 05.06.2010, 21:53
    4. Несколько процессов userini.exe
      От tehnik34 в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 27.04.2010, 09:40
    5. Несколько процессов iexplore.exe
      От Д.М. в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 29.11.2009, 20:07

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00387 seconds with 16 queries