userini.exe, startup virus

**error1982** · 24.08.2010, 11:20

Всем привет!
Сканил в безопасном режиме альтернативными антивирусами(cureit, kasperskiy, avz) комп, вирусы они находят и кладут их в карантин, после перезаггрузки вирусы (Startup: 0njee6q.exe) все равно висят в процессах, никак не могу побороть
помогите с троянами, ниже отчет программы avz

модератор, вложил логи avz, логи Malwarebytes Antimalware не создались, 1,5 часа сканил винчестер, в итоге нашел 10 инфицированных файлов,но папка Logs пустая, не знаю почему, что делать дальше?
тепер могу загрузиться только в безопасном режиме и то через раз, в автозагрузке уже не появляются левые процессы, но в моем профиле во временной папке появляются неизвестные экзешники, удаляются только ручками но снова появляются после перезагрузки, хелп!

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**polword** · 24.08.2010, 11:42

1.Профиксите в HijackThis

Код:

O4 - HKLM\..\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe
O4 - HKCU\..\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe
O4 - HKLM\..\Policies\Explorer\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe
O4 - HKCU\..\Policies\Explorer\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe
O4 - Startup: 0njee6q.exe

2. Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 TerminateProcessByName('c:\windows\system32\userini.exe');
 QuarantineFile('C:\Documents and Settings\Л\Главное меню\Программы\Автозагрузка\0njee6q.exe','');
 QuarantineFile('C:\Documents and Settings\Л\msgvn.exe','');
 QuarantineFile('c:\windows\system32\userini.exe','');
 DeleteFile('c:\windows\system32\userini.exe');
 DeleteFile('C:\Documents and Settings\Л\msgvn.exe');
 DeleteFile('C:\Documents and Settings\Л\Главное меню\Программы\Автозагрузка\0njee6q.exe');
 QuarantineFile('C:\Documents and Settings\Л\Application Data\ehgey.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-2922857610-1968273733-176158403-8679\yv8g67.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-7535988068-7278369957-386093702-1356\yv8g67.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-9323064280-7641228079-534478287-0787\nissan.exe','');
 DeleteFile('C:\RECYCLER\S-1-5-21-2922857610-1968273733-176158403-8679\yv8g67.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-7535988068-7278369957-386093702-1356\yv8g67.exe');
 DeleteFile('C:\Documents and Settings\Л\Application Data\ehgey.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-9323064280-7641228079-534478287-0787\nissan.exe');
 DeleteFileMask('C:\RECYCLER\S-1-5-21-2922857610-1968273733-176158403-8679', '*.*', true);
 DeleteDirectory('C:\RECYCLER\S-1-5-21-2922857610-1968273733-176158403-8679');
 DeleteFileMask('C:\RECYCLER\S-1-5-21-7535988068-7278369957-386093702-1356', '*.*', true);
 DeleteDirectory('C:\RECYCLER\S-1-5-21-7535988068-7278369957-386093702-1356');
 DeleteFileMask('C:\RECYCLER\S-1-5-21-9323064280-7641228079-534478287-0787', '*.*', true);
 DeleteDirectory('C:\RECYCLER\S-1-5-21-9323064280-7641228079-534478287-0787');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman ');
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteRepair(11);
 ExecuteWizard('TSW', 2, 2, true);
 ExecuteWizard('SCU', 2, 2, true);
 RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun',221);
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
- Сделайте лог MBAM

**error1982** · 24.08.2010, 14:21

- Сделайте лог MBAM

1,5 часа сканировал, нашел 10 инфицированных файлов , но логи не создались! пустая папка logs по вышеуказанному пути

модератор, вложил логи avz, логи Malwarebytes Antimalware не создались, 1,5 часа сканил винчестер, в итоге нашел 10 инфицированных файлов,но папка Logs пустая, не знаю почему, что делать дальше?
тепер могу загрузиться только в безопасном режиме и то через раз, в автозагрузке уже не появляются левые процессы, но в моем профиле во временной папке появляются неизвестные экзешники, удаляются только ручками но снова появляются после перезагрузки, хелп!

**polword** · 24.08.2010, 14:36

делайте комплект догов

**error1982** · 24.08.2010, 14:37

polword,
в шапку прикрепил

**pig** · 24.08.2010, 14:39

Сообщение от polword

вложил логи avz

Надо было в этом сообщении, а не в первом. История много чему учит.

**error1982** · 24.08.2010, 14:42

Сообщение от pig

Надо было в этом сообщении, а не в первом. История много чему учит.

по просьбе трудящих выкладываю сюда

**polword** · 24.08.2010, 15:05

Файл quarantine.zip - из темы уберите...

Сообщение от polword

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы

Добавлено через 1 минуту

- Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
 QuarantineFile('G:\check.exe','');
 QuarantineFile('G:\autorun.inf','');
 DeleteFile('C:\Documents and Settings\Л\msgvn.exe');
 DeleteFile('G:\autorun.inf');
 DeleteFile('G:\check.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman ');
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteRepair(11);
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)

**error1982** · 24.08.2010, 15:06

Сообщение от polword

Файл quarantine.zip - из темы уберите...

сорри, туплю, загрузил файл карантина, по поводу bds сейчас буду смотреть дамп памяти

**polword** · 24.08.2010, 15:15

сделайте скрипт и новые логи

**error1982** · 24.08.2010, 15:28

polword,

**polword** · 24.08.2010, 15:44

- Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
 QuarantineFile('C:\Documents and Settings\Л\msgvn.exe','');
 QuarantineFile('C:\Documents and Settings\Л\Application Data\ozzfhv.exe','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\Beep.sys','');
 DeleteService('srservice');
 QuarantineFile('C:\WINDOWS\system32\drivers\AtapiDrv.sys','');
 DeleteFile('C:\WINDOWS\system32\drivers\AtapiDrv.sys');
 DeleteFile('srservice.sys');
  DeleteFile('C:\Documents and Settings\Л\Application Data\ozzfhv.exe');
 DeleteFile('C:\Documents and Settings\Л\msgvn.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman ');
 BC_ImportAll;
 BC_DeleteSvc('srservice');
 BC_DeleteFile('srservice.sys');
 ExecuteSysClean;
 ExecuteRepair(11);
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)

**error1982** · 24.08.2010, 16:03

polword,
сделал!

**polword** · 24.08.2010, 16:07

- сделайте лог Combofix

**error1982** · 24.08.2010, 16:37

Сообщение от polword

- сделайте лог Combofix

сделал!

**polword** · 24.08.2010, 19:58

- Замените файл c:\windows\system32\winlogon.exe на чистый из дистрибутива.

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

Код:

KillAll::

File::
c:\windows\system32\userini.exe
c:\windows\system32\1A86B8\A4F961.EXE
c:\windows\System32\ifjuibics.exe

Driver::

NetSvc::

Folder::
c:\windows\system32\1A86B8

Registry::
[-HKLM\~\startupfolder\C:^Documents and Settings^Л^Главное меню^Программы^Автозагрузка^0njee6q.exe]

FileLook::

DirLook::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

**error1982** · 25.08.2010, 11:18

polword,
спасибо за помощь, ноут уже не у меня, заявку можно закрывать, винда грузится в startup вирусов не видно

**CyberHelper** · 26.08.2010, 11:18

Статистика проведенного лечения:

Получено карантинов: 3
Обработано файлов: 28
В ходе лечения обнаружены вредоносные программы:
1. c:\\documents and settings\\л\\application data\\ehgey.exe - Trojan-Downloader.Win32.Agent.eigw ( DrWEB: Trojan.Packed.21552, BitDefender: Trojan.Generic.4792090, AVAST4: Win32:MalOb-CS [Cryp] )
2. c:\\documents and settings\\л\\application data\\ozzfhv.exe - Trojan-Spy.Win32.Zbot.astq ( DrWEB: Trojan.Packed.21552, BitDefender: Trojan.Generic.7372303, NOD32: Win32/Bflient.K worm, AVAST4: Win32:MalOb-CS [Cryp] )
3. c:\\documents and settings\\л\\msgvn.exe - Backdoor.Win32.Bredolab.het ( DrWEB: Trojan.Packed.21552, BitDefender: Gen:Variant.Kazy.1007, NOD32: Win32/Peerfrag.II worm, AVAST4: Win32:MalOb-CS [Cryp] )
4. c:\\windows\\system32\\drivers\\atapidrv.sys - Rootkit.Win32.Agent.blls ( DrWEB: Trojan.NtRootKit.6671, BitDefender: Backdoor.Generic.435125, AVAST4: Win32:FakeAV-ANE [Rtk] )
5. c:\\windows\\system32\\drivers\\beep.sys - Rootkit.Win32.Agent.blls ( DrWEB: Trojan.NtRootKit.6671, BitDefender: Backdoor.Generic.435125, AVAST4: Win32:FakeAV-ANE [Rtk] )
6. c:\\windows\\system32\\userini.exe - Backdoor.Win32.Bredolab.hfw ( DrWEB: Trojan.Packed.21552, BitDefender: Trojan.Generic.KD.28134, AVAST4: Win32:Crypt-HIL [Trj] )
7. g:\\check.exe - Backdoor.Win32.Bredolab.het ( DrWEB: Trojan.Packed.21552, BitDefender: Gen:Variant.Kazy.1007, NOD32: Win32/Peerfrag.II worm, AVAST4: Win32:MalOb-CS [Cryp] )