Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Вирус в system32\userinit.exe (http://forum.oszone.net/showthread.php?t=182387)

DarkingCat 07-08-2010 18:02 1468898
Вирус в system32\userinit.exe
 
Вложений: 3
Хм...вот в чем проблема, может в логах и будет видно, хотя не знаю)))
Вот, во всех браузерах невозможно проиграть аудио или видео, видео то проигрывается, а звука нету)))
Еще постоянно в трее выскакивает обновление винды, а потом исчезает oO
Короче, надо от этой фигни избавиться ^_^ (AVZ ловил их, но кидал подозрения, а userinit не мог удалить, по понятным причинам).

Drongo 07-08-2010 20:34 1468992
DarkingCat, Привет

Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('c:\windows\system32\drivers\sfc.sys','');
 QuarantineFile('c:\program files\internet explorer\setupapi.dll','');
 QuarantineFile('c:\program files\mozilla firefox\setupapi.dll','');
 QuarantineFile('c:\program files\opera\setupapi.dll','');
 DeleteFile('c:\windows\system32\drivers\sfc.sys');
 QuarantineFile('%windir%\system32\sfcfiles.dll','');
 RenameFile('%windir%\system32\sfcfiles.dll', '%windir%\system32\sfcfiles.bak');
 CopyFile('%windir%\system32\dllcache\sfcfiles.dll', '%windir%\system32\sfcfiles.dll');
 DeleteFile('%windir%\system32\sfcfiles.bak');
 DeleteFile('c:\program files\internet explorer\setupapi.dll');
 DeleteFile('c:\program files\mozilla firefox\setupapi.dll');
 DeleteFile('c:\program files\opera\setupapi.dll');
BC_ImportAll;
ExecuteSysClean;
 BC_DeleteSvc('sfc');
BC_Activate;
RebootWindows(true);
end.
После всех процедур выполните скрипт
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.

Повторите логи

Что с проблемой после выполнения скрипта?

DarkingCat 08-08-2010 14:18 1469320
Вложений: 1
Проблема исчезла, скоро будут логи. И дабы не создавать лишних тем, у меня вопрос: при нажатии второй клавиши мыши, по файлу, у меня выскакивает сначала загрузка Windows Installer (жмякаю по кнопочке отмена, отмена, отмена), а только потом выскакивает окошко с "Свойствами", "Копировать", "Удалить" и т.д. Может есть решение этой проблемы?
--------
Ответ от Л. К.:

setupapi.dll,
setupapi_0.dll,
setupapi_1.dll - Trojan.Win32.BHO.aihg

At the moment these files are detected with the latest antivirus bases.

sfcfiles.dll

This file is in process.
----------
Вот и сами логи:

thyrex 09-08-2010 00:23 1469661
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetServiceStart('Akamai', 4);
 QuarantineFile('C:\WINDOWS\System32\userinit.exe','');
 DeleteFile('c:\program files\common files\akamai\rswin_3725.dll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Akamai\Parameters','ServiceDll');
DeleteService('Akamai');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.

Выполните скрипт в AVZ
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
quarantine.zip из папки AVZ отправьте через форму.
1. Выберите тип запроса "Запрос на исследование вредоносного файла".
2. В окне "Подробное описание возникшей ситуации" наберите "Пароль: virus".
3. Прикрепите файл карантина
4. Введите изображенное на картинке число и нажмите "Далее".
5. Если размер карантина превышает 1,5 Мб, то карантин отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь.

Сделайте новые логи

DarkingCat 09-08-2010 13:02 1469955
Вложений: 1
Вот логи.

thyrex 09-08-2010 14:39 1470023
C:\WINDOWS\System32\userinit.exe проверьте на virustotal
Ссылку на результат проверки сообщите

DarkingCat 09-08-2010 23:46 1470409
http://www.virustotal.com/vt/ru/rece...070cdf51790e66
Фигня нейкая :D

Drongo 10-08-2010 08:21 1470542
DarkingCat, Ссылка не открывается.

DarkingCat 10-08-2010 17:30 1470902
Так и я о чем. Там ничего нету.

thyrex 10-08-2010 18:57 1470942
Цитата:
Цитата DarkingCat
Так и я о чем. Там ничего нету. »
Выложите нормальную ссылку на результат проверки

Drongo 10-08-2010 18:57 1470943
DarkingCat, Хорошо, проверьте ещё раз здесь

http://www.virscan.org/
http://virusscan.jotti.org/ru

DarkingCat 10-08-2010 23:12 1471088
В первом не нашел файл.
Во втором файл весит 0 байт.


Время: 08:26.

Время: 08:26.
© OSzone.net 2001-