Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше.

На данный момент приобретение лицензий ESET через наш сайт недоступно.
В качестве альтернативы предлагаем антивирусные решения PRO32 — надёжную защиту от киберугроз и высокую производительность для устройств на Windows и Android.

Приглашаем вас присоединиться к новому форуму PRO32.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Добавьте лицензию в корзину и примените промокод при оформлении заказа.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

Patched.IG троянская программа

1
RSS
 
Артем Чиркун
Артем Чиркун
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 28.11.2014
Размещено 28.11.2014 20:35:37
ESET выдал предупреждение о трояне Patched.IG при попытке explorer.exe обратится к userinit.exe. Попытка удалить системный файл естественно была неудачной. При записи логов автозапуска также пару раз поругался на этот же троян в папке с uvs, возможно он(троян), если он существует, дает ложные сведения антивируснику. Собственно, кроме окна предупреждения ESET'а ничего не происходит, поэтому понятия не имею, что это может быть. Обращаюсь, пока не случилось чего.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 28.11.2014 20:46:02
да, userinit.exe заражен.
Цитата
C:\WINDOWS\SYSTEM32\USERINIT.EXE
Win32/Patched.IG
сейчас напишем скрипт замены его на чистый файл
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 28.11.2014 20:49:37
1. скачайте чистый файл userinit.exe для вашей системы
Цитата
Windows 7 Ultimate x86 (NT v6.1) build 7601 Service Pack 1 [C:\WINDOWS]
отсюда
http://rghost.ru/59316753
и положите его в папку откуда запускаете uVS на вашем зараженном компьютере,
напишите когда это будет сделано
Изменено: santy - 28.11.2014 20:50:50
[ Как создать образ автозапуска? ]
 
Артем Чиркун
Артем Чиркун
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 28.11.2014
Размещено 28.11.2014 20:51:28
Сделано.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 28.11.2014 20:55:49
2.
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да";uVS v3.85.2 [http://dsrt.dyndns.org]
Код
;Target OS: NTv6.1
OFFSGNSAVE
zoo %Sys32%\userinit.exe
EXEC cmd /c "rename %sys32%\userinit.exe userinit.exe.old"
EXEC cmd /c "rename %sys32%\dllcache\userinit.exe userinit.exe.old"
EXEC cmd /c "copy userinit.exe %sys32%\userinit.exe"
EXEC cmd /c "copy userinit.exe %sys32%\dllcache\userinit.exe" 
czoo
restart
перезагрузка, пишем о старых и новых проблемах.
------------
добавьте новый образ автозапуска для контроля.
[ Как создать образ автозапуска? ]
 
Артем Чиркун
Артем Чиркун
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 28.11.2014
Размещено 28.11.2014 21:18:32
Выполнил все. После перезагрузки новый userinit нормальный, вирус остался в старом, который теперь в old-файле.
P.S. Судя по созданному почти одновременно со мной топику с той же проблемой, после обновления eset начал находить троян, ну или завелось место его распространения.
Изменено: Артем Чиркун - 28.11.2014 21:23:39
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 28.11.2014 21:24:22
да, теперь userinit.exe чистый
C:\WINDOWS\SYSTEM32\USERINIT.EXE
Действительна, подписано Microsoft Windows

так и было задумано,
переименовать зараженный, и скопировать на его место чистый. по другому никак не исправить эту проблему из активной системы
[ Как создать образ автозапуска? ]
 
Артем Чиркун
Артем Чиркун
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 28.11.2014
Размещено 28.11.2014 21:25:28
Кажется в скрипте строчка сместилась. Ну да ладно, не суть.
Изменено: Артем Чиркун - 28.11.2014 21:26:11
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 28.11.2014 21:29:03
врядли это ложное срабатывание,
видимо заражение
это SHA1 зараженного файла
C77C05F5C6CD8D2336D6D276D6324825D2071087
и файл без цифровой, хотя может есет его блокировал на момент создания образа

а это SHA1 чистого файла, на который бвла замена
211295CCDA6CF6409189279BF66A212BD53FC650
------------
по поводу ложного срабатывания, посмотрим, пока это второй случай
на той же системе
Цитата
Windows 7 Ultimate x86 (NT v6.1) build 7601 Service Pack 1 [C:\WINDOWS]

до этого была подмена системных файлов, но только другого.
rpcss.dll
Изменено: santy - 28.11.2014 21:31:17
[ Как создать образ автозапуска? ]
 
1
Читают тему