-
Junior Member
- Вес репутации
- 51
Добрый день! Проблема с трояном в userinit.exe
Добрый день! Моя тема очень похожа вот на эту ))
Вчера утром включил компьютер, при загрузке оказался пустой рабочий стол! Принудительно выполнил explorer, система догрузилась. Решил проверить NOD32 систему, результат: троян в файле userinit.exe win32\kryptik.ftd, который мой антивирусник не смог удалить!
Вообщем, вышел на ваш сайт, подготовил отчёты!
Буду рад, если поможете )) Заранее спасибо!
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Пофиксите в hijackthis -
Код:
R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - (no file)
R3 - URLSearchHook: (no name) - {9CB65206-89C4-402c-BA80-02D8C59F9B1D} - (no file)
R3 - URLSearchHook: (no name) - - (no file)
R3 - URLSearchHook: (no name) - {95289393-33EA-4F8D-B952-483415B9C955} - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\Tasks\Error scan.job');
QuarantineFile('C:\DOCUME~1\1\LOCALS~1\Temp\oUltraf.sys','');
QuarantineFile('C:\WINDOWS\system32\userinit.exe','');
QuarantineFile('C:\DOCUME~1\1\LOCALS~1\Temp\pabuu.exe','');
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
DeleteFile('C:\DOCUME~1\1\LOCALS~1\Temp\pabuu.exe');
BC_ImportAll;
ExecuteSysClean;
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
- Повторите логи
-
-
Junior Member
- Вес репутации
- 51
Сообщение от
Olejah
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
- Повторите логи
Файл закачал
Простите за мою компьютерную неграмотность, но что нужно сделать: "повторите логи"? ))
-
Сообщение от
neuroVladimiR
ростите за мою компьютерную неграмотность
Еще раз выполнить сбор логов по правилам раздела Диагностика
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
Сообщение от
thyrex
Еще раз выполнить сбор логов по правилам раздела Диагностика
Спасибо ))
-
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
if FileExists('C:\WINDOWS\system32\digeste.dll') then
begin
QuarantineFile('C:\WINDOWS\system32\digeste.dll','');
DeleteFile('C:\WINDOWS\system32\digeste.dll');
AddToLog('File Exists');
end else
AddToLog('File does not Exists');
SaveLog(GetAVZDirectory + 'avz.log');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine2.zip');
end.
Пришлите файл quarantine2.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
- Файл avz.log из папки с АВЗ прикрепите к следующему сообщению.
- Скачайте RSIT. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
-
-
Junior Member
- Вес репутации
- 51
Сообщение от
Olejah
Пришлите файл
quarantine2.zip из папки AVZ по ссылке
Прислать запрошенный карантин над первым сообщением этой темы.
- Файл
avz.log из папки с АВЗ прикрепите к следующему сообщению.
- Скачайте
RSIT. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (
RSIT) в корне системного диска.
Сделано ))
-
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\WINDOWS\system32\stu2.exe','');
DeleteFileMask('C:\WINDOWS\system32\lowsec', '*.*', true);
DeleteDirectory('C:\WINDOWS\system32\lowsec');
RegKeyStrParamWrite( 'HKLM', 'system\currentcontrolset\control\securityproviders', 'SecurityProviders', 'msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторный лог RSIT
-
-
Junior Member
- Вес репутации
- 51
Сообщение от
polword
Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторный лог RSIT
Выполнено
-
-
-
Junior Member
- Вес репутации
- 51
А антивирусник всё равно указывает на инфицированный файл...
-
Расскажите поподробней, что за файл, какой к нему путь.
Добавлено через 3 минуты
И я что-то не понял, зачем Вы quarantine.zip запихиваете ещё в virus.zip. Пришлите все архивы quarantine.zip как есть, без ещё одного архивирования.
Последний раз редактировалось olejah; 06.08.2010 в 07:06.
Причина: Добавлено
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 3
- В ходе лечения вредоносные программы в карантинах не обнаружены
-