Форум esetnod32.ru [тема: Patched.IG троянская программа] http://forum.esetnod32.ru Новое в теме Patched.IG троянская программа форума на сайте Форум esetnod32.ru [forum.esetnod32.ru] ru http://backend.userland.com/rss2 Sun, 03 May 2026 19:08:08 +0300 Patched.IG троянская программа Patched.IG троянская программа в форуме Обнаружение вредоносного кода и ложные срабатывания.
врядли это ложное срабатывание,
видимо заражение
это SHA1 зараженного файла
C77C05F5C6CD8D2336D6D276D6324825D2071087
и файл без цифровой, хотя может есет его блокировал на момент создания образа

а это SHA1 чистого файла, на который бвла замена
211295CCDA6CF6409189279BF66A212BD53FC650
------------
по поводу ложного срабатывания, посмотрим, пока это второй случай
на той же системе

====quote====
Windows 7 Ultimate x86 (NT v6.1) build 7601 Service Pack 1 [C:\WINDOWS]
=============

до этого была подмена системных файлов, но только другого.
rpcss.dll
28.11.2014 21:29:03, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic11395/message80916/ http://forum.esetnod32.ru/messages/forum6/topic11395/message80916/ Fri, 28 Nov 2014 21:29:03 +0300 Обнаружение вредоносного кода и ложные срабатывания Patched.IG троянская программа Patched.IG троянская программа в форуме Обнаружение вредоносного кода и ложные срабатывания.
Кажется в скрипте строчка сместилась. Ну да ладно, не суть.
28.11.2014 21:25:28, Артем Чиркун.]]> http://forum.esetnod32.ru/messages/forum6/topic11395/message80915/ http://forum.esetnod32.ru/messages/forum6/topic11395/message80915/ Fri, 28 Nov 2014 21:25:28 +0300 Обнаружение вредоносного кода и ложные срабатывания Patched.IG троянская программа Patched.IG троянская программа в форуме Обнаружение вредоносного кода и ложные срабатывания.
да, теперь userinit.exe чистый
C:\WINDOWS\SYSTEM32\USERINIT.EXE
Действительна, подписано Microsoft Windows

так и было задумано,
переименовать зараженный, и скопировать на его место чистый. по другому никак не исправить эту проблему из активной системы
28.11.2014 21:24:22, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic11395/message80914/ http://forum.esetnod32.ru/messages/forum6/topic11395/message80914/ Fri, 28 Nov 2014 21:24:22 +0300 Обнаружение вредоносного кода и ложные срабатывания Patched.IG троянская программа Patched.IG троянская программа в форуме Обнаружение вредоносного кода и ложные срабатывания.
Выполнил все. После перезагрузки новый userinit нормальный, вирус остался в старом, который теперь в old-файле.
P.S. Судя по созданному почти одновременно со мной топику с той же проблемой, после обновления eset начал находить троян, ну или завелось место его распространения.
TARAKANIO_2014-11-28_21-09-39.rar
28.11.2014 21:18:32, Артем Чиркун.]]> http://forum.esetnod32.ru/messages/forum6/topic11395/message80913/ http://forum.esetnod32.ru/messages/forum6/topic11395/message80913/ Fri, 28 Nov 2014 21:18:32 +0300 Обнаружение вредоносного кода и ложные срабатывания Patched.IG троянская программа Patched.IG троянская программа в форуме Обнаружение вредоносного кода и ложные срабатывания.
2.
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да";uVS v3.85.2 [http://dsrt.dyndns.org]
====code==== 
;Target OS: NTv6.1
OFFSGNSAVE
zoo %Sys32%\userinit.exe
EXEC cmd /c "rename %sys32%\userinit.exe userinit.exe.old"
EXEC cmd /c "rename %sys32%\dllcache\userinit.exe userinit.exe.old"
EXEC cmd /c "copy userinit.exe %sys32%\userinit.exe"
EXEC cmd /c "copy userinit.exe %sys32%\dllcache\userinit.exe" 
czoo
restart
============= перезагрузка, пишем о старых и новых проблемах.
------------
добавьте новый образ автозапуска для контроля.
28.11.2014 20:55:49, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic11395/message80906/ http://forum.esetnod32.ru/messages/forum6/topic11395/message80906/ Fri, 28 Nov 2014 20:55:49 +0300 Обнаружение вредоносного кода и ложные срабатывания Patched.IG троянская программа Patched.IG троянская программа в форуме Обнаружение вредоносного кода и ложные срабатывания.
Сделано.
28.11.2014 20:51:28, Артем Чиркун.]]> http://forum.esetnod32.ru/messages/forum6/topic11395/message80905/ http://forum.esetnod32.ru/messages/forum6/topic11395/message80905/ Fri, 28 Nov 2014 20:51:28 +0300 Обнаружение вредоносного кода и ложные срабатывания Patched.IG троянская программа Patched.IG троянская программа в форуме Обнаружение вредоносного кода и ложные срабатывания.
1. скачайте чистый файл userinit.exe для вашей системы

====quote====
Windows 7 Ultimate x86 (NT v6.1) build 7601 Service Pack 1 [C:\WINDOWS]
=============
отсюда
http://rghost.ru/59316753
и положите его в папку откуда запускаете uVS на вашем зараженном компьютере,
напишите когда это будет сделано
28.11.2014 20:49:37, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic11395/message80904/ http://forum.esetnod32.ru/messages/forum6/topic11395/message80904/ Fri, 28 Nov 2014 20:49:37 +0300 Обнаружение вредоносного кода и ложные срабатывания Patched.IG троянская программа Patched.IG троянская программа в форуме Обнаружение вредоносного кода и ложные срабатывания.
да, userinit.exe заражен.

====quote====
C:\WINDOWS\SYSTEM32\USERINIT.EXE
Win32/Patched.IG
=============
сейчас напишем скрипт замены его на чистый файл
28.11.2014 20:46:02, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic11395/message80903/ http://forum.esetnod32.ru/messages/forum6/topic11395/message80903/ Fri, 28 Nov 2014 20:46:02 +0300 Обнаружение вредоносного кода и ложные срабатывания Patched.IG троянская программа Patched.IG троянская программа в форуме Обнаружение вредоносного кода и ложные срабатывания.
ESET выдал предупреждение о трояне Patched.IG при попытке explorer.exe обратится к userinit.exe. Попытка удалить системный файл естественно была неудачной. При записи логов автозапуска также пару раз поругался на этот же троян в папке с uvs, возможно он(троян), если он существует, дает ложные сведения антивируснику. Собственно, кроме окна предупреждения ESET'а ничего не происходит, поэтому понятия не имею, что это может быть. Обращаюсь, пока не случилось чего.
TARAKANIO_2014-11-28_20-15-13.rar
28.11.2014 20:35:37, Артем Чиркун.]]> http://forum.esetnod32.ru/messages/forum6/topic11395/message80901/ http://forum.esetnod32.ru/messages/forum6/topic11395/message80901/ Fri, 28 Nov 2014 20:35:37 +0300 Обнаружение вредоносного кода и ложные срабатывания