-
Junior Member
- Вес репутации
- 50
userini.exe, startup virus
Всем привет!
Сканил в безопасном режиме альтернативными антивирусами(cureit, kasperskiy, avz) комп, вирусы они находят и кладут их в карантин, после перезаггрузки вирусы (Startup: 0njee6q.exe) все равно висят в процессах, никак не могу побороть
помогите с троянами, ниже отчет программы avz
модератор, вложил логи avz, логи Malwarebytes Antimalware не создались, 1,5 часа сканил винчестер, в итоге нашел 10 инфицированных файлов,но папка Logs пустая, не знаю почему, что делать дальше?
тепер могу загрузиться только в безопасном режиме и то через раз, в автозагрузке уже не появляются левые процессы, но в моем профиле во временной папке появляются неизвестные экзешники, удаляются только ручками но снова появляются после перезагрузки, хелп!
Последний раз редактировалось pig; 24.08.2010 в 14:57.
Причина: карантин в теме неуместен
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
1.Профиксите в HijackThis
Код:
O4 - HKLM\..\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe
O4 - HKCU\..\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe
O4 - HKLM\..\Policies\Explorer\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe
O4 - HKCU\..\Policies\Explorer\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe
O4 - Startup: 0njee6q.exe
2. Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\userini.exe');
QuarantineFile('C:\Documents and Settings\Л\Главное меню\Программы\Автозагрузка\0njee6q.exe','');
QuarantineFile('C:\Documents and Settings\Л\msgvn.exe','');
QuarantineFile('c:\windows\system32\userini.exe','');
DeleteFile('c:\windows\system32\userini.exe');
DeleteFile('C:\Documents and Settings\Л\msgvn.exe');
DeleteFile('C:\Documents and Settings\Л\Главное меню\Программы\Автозагрузка\0njee6q.exe');
QuarantineFile('C:\Documents and Settings\Л\Application Data\ehgey.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-2922857610-1968273733-176158403-8679\yv8g67.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-7535988068-7278369957-386093702-1356\yv8g67.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-9323064280-7641228079-534478287-0787\nissan.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-2922857610-1968273733-176158403-8679\yv8g67.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-7535988068-7278369957-386093702-1356\yv8g67.exe');
DeleteFile('C:\Documents and Settings\Л\Application Data\ehgey.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-9323064280-7641228079-534478287-0787\nissan.exe');
DeleteFileMask('C:\RECYCLER\S-1-5-21-2922857610-1968273733-176158403-8679', '*.*', true);
DeleteDirectory('C:\RECYCLER\S-1-5-21-2922857610-1968273733-176158403-8679');
DeleteFileMask('C:\RECYCLER\S-1-5-21-7535988068-7278369957-386093702-1356', '*.*', true);
DeleteDirectory('C:\RECYCLER\S-1-5-21-7535988068-7278369957-386093702-1356');
DeleteFileMask('C:\RECYCLER\S-1-5-21-9323064280-7641228079-534478287-0787', '*.*', true);
DeleteDirectory('C:\RECYCLER\S-1-5-21-9323064280-7641228079-534478287-0787');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman ');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(11);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun',221);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
- Сделайте лог MBAM
-
-
Junior Member
- Вес репутации
- 50
- Сделайте лог MBAM
1,5 часа сканировал, нашел 10 инфицированных файлов , но логи не создались! пустая папка logs по вышеуказанному пути
модератор, вложил логи avz, логи Malwarebytes Antimalware не создались, 1,5 часа сканил винчестер, в итоге нашел 10 инфицированных файлов,но папка Logs пустая, не знаю почему, что делать дальше?
тепер могу загрузиться только в безопасном режиме и то через раз, в автозагрузке уже не появляются левые процессы, но в моем профиле во временной папке появляются неизвестные экзешники, удаляются только ручками но снова появляются после перезагрузки, хелп!
Последний раз редактировалось pig; 24.08.2010 в 14:58.
Причина: убрал оверквотинг, а то глаза разбегаются
-
-
-
Junior Member
- Вес репутации
- 50
polword,
в шапку прикрепил
-
Сообщение от
polword
вложил логи avz
Надо было в этом сообщении, а не в первом. История много чему учит.
-
-
Junior Member
- Вес репутации
- 50
Сообщение от
pig
Надо было в этом сообщении, а не в первом. История много чему учит.
по просьбе трудящих выкладываю сюда
Последний раз редактировалось pig; 24.08.2010 в 14:57.
Причина: Для карантина отдельная ссылка есть
-
Файл quarantine.zip - из темы уберите...
Сообщение от
polword
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
Добавлено через 1 минуту
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('G:\check.exe','');
QuarantineFile('G:\autorun.inf','');
DeleteFile('C:\Documents and Settings\Л\msgvn.exe');
DeleteFile('G:\autorun.inf');
DeleteFile('G:\check.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman ');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(11);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
Последний раз редактировалось polword; 24.08.2010 в 15:05.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 50
Сообщение от
polword
Файл quarantine.zip - из темы уберите...
сорри, туплю, загрузил файл карантина, по поводу bds сейчас буду смотреть дамп памяти
-
сделайте скрипт и новые логи
-
-
Junior Member
- Вес репутации
- 50
сделал новые логи, проверьте, пожалуйста
-
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\Documents and Settings\Л\msgvn.exe','');
QuarantineFile('C:\Documents and Settings\Л\Application Data\ozzfhv.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Beep.sys','');
DeleteService('srservice');
QuarantineFile('C:\WINDOWS\system32\drivers\AtapiDrv.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\AtapiDrv.sys');
DeleteFile('srservice.sys');
DeleteFile('C:\Documents and Settings\Л\Application Data\ozzfhv.exe');
DeleteFile('C:\Documents and Settings\Л\msgvn.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman ');
BC_ImportAll;
BC_DeleteSvc('srservice');
BC_DeleteFile('srservice.sys');
ExecuteSysClean;
ExecuteRepair(11);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
-
-
Junior Member
- Вес репутации
- 50
сделал
polword,
сделал!
-
-
-
Junior Member
- Вес репутации
- 50
Сообщение от
polword
сделал!
-
- Замените файл c:\windows\system32\winlogon.exe на чистый из дистрибутива.
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::
File::
c:\windows\system32\userini.exe
c:\windows\system32\1A86B8\A4F961.EXE
c:\windows\System32\ifjuibics.exe
Driver::
NetSvc::
Folder::
c:\windows\system32\1A86B8
Registry::
[-HKLM\~\startupfolder\C:^Documents and Settings^Л^Главное меню^Программы^Автозагрузка^0njee6q.exe]
FileLook::
DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
-
-
Junior Member
- Вес репутации
- 50
polword,
спасибо за помощь, ноут уже не у меня, заявку можно закрывать, винда грузится в startup вирусов не видно
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 28
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\л\\application data\\ehgey.exe - Trojan-Downloader.Win32.Agent.eigw ( DrWEB: Trojan.Packed.21552, BitDefender: Trojan.Generic.4792090, AVAST4: Win32:MalOb-CS [Cryp] )
- c:\\documents and settings\\л\\application data\\ozzfhv.exe - Trojan-Spy.Win32.Zbot.astq ( DrWEB: Trojan.Packed.21552, BitDefender: Trojan.Generic.7372303, NOD32: Win32/Bflient.K worm, AVAST4: Win32:MalOb-CS [Cryp] )
- c:\\documents and settings\\л\\msgvn.exe - Backdoor.Win32.Bredolab.het ( DrWEB: Trojan.Packed.21552, BitDefender: Gen:Variant.Kazy.1007, NOD32: Win32/Peerfrag.II worm, AVAST4: Win32:MalOb-CS [Cryp] )
- c:\\windows\\system32\\drivers\\atapidrv.sys - Rootkit.Win32.Agent.blls ( DrWEB: Trojan.NtRootKit.6671, BitDefender: Backdoor.Generic.435125, AVAST4: Win32:FakeAV-ANE [Rtk] )
- c:\\windows\\system32\\drivers\\beep.sys - Rootkit.Win32.Agent.blls ( DrWEB: Trojan.NtRootKit.6671, BitDefender: Backdoor.Generic.435125, AVAST4: Win32:FakeAV-ANE [Rtk] )
- c:\\windows\\system32\\userini.exe - Backdoor.Win32.Bredolab.hfw ( DrWEB: Trojan.Packed.21552, BitDefender: Trojan.Generic.KD.28134, AVAST4: Win32:Crypt-HIL [Trj] )
- g:\\check.exe - Backdoor.Win32.Bredolab.het ( DrWEB: Trojan.Packed.21552, BitDefender: Gen:Variant.Kazy.1007, NOD32: Win32/Peerfrag.II worm, AVAST4: Win32:MalOb-CS [Cryp] )
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
-