Вирус в system32\userinit.exe

[koks1]

Во время загрузки браузера касперский сообщил о

21.08.2008 13:19:12 Вредоносный HTTP-объект <http://dk.an-dk.ru/partners/admin/1/...id=15070&spl=2>: обнаружено: троянская программа 'Trojan.Win32.Buzus.sjs'.
21.08.2008 13:19:12 Вредоносный HTTP-объект <http://dk.an-dk.ru/partners/admin/1/...id=15070&spl=2>: доступ заблокирован.
21.08.2008 13:19:19 Файл C:\WINDOWS\file.bat, обнаружено: троянская программа 'Trojan-Proxy.Win32.Small.mu'.
21.08.2008 13:19:19 Обнаружены вредоносные объекты. Рекомендуется обезвредить их немедленно.
21.08.2008 13:19:35 Файл C:\WINDOWS\file.bat, обнаружено: троянская программа 'Trojan-Proxy.Win32.Small.mu'.
21.08.2008 13:19:38 Файл C:\WINDOWS\file.bat удален.
21.08.2008 13:19:38 Файл C:\WINDOWS\file.bat не может быть удален.
21.08.2008 13:19:57 Попытка процесса с PID 2228 получения доступа к процессу Kaspersky Internet Security с PID 700 заблокирована. Это результат срабатывания механизма самозащиты.
21.08.2008 13:19:57 Попытка процесса с PID 2228 получения доступа к процессу Kaspersky Internet Security с PID 1752 заблокирована. Это результат срабатывания механизма самозащиты.

Потом поставил на проверку windows\system32
В ней был найден вирус в файле userinit

21.08.2008 13:44:00 Файл C:\WINDOWS\system32\userinit.exe, обнаружено: троянская программа 'Trojan-Downloader.Win32.Agent.abti'.
21.08.2008 13:44:00 Обнаружены вредоносные объекты. Рекомендуется обезвредить их немедленно.
21.08.2008 13:44:00 Файл C:\WINDOWS\system32\userinit.exe не вылечен: обработка отложена пользователем.
21.08.2008 13:44:05 Файл C:\windows\system32\userinit.exe, обнаружено: троянская программа 'Trojan-Downloader.Win32.Agent.abti'. Пользователь: WORKGROUP\KOSTYA$, компьютер:localhost.
21.08.2008 13:45:16 Файл C:\windows\system32\userinit.exe не вылечен: выбрано действие "Пропустить".
21.08.2008 13:46:36 Защита вашего компьютера не работает. Рекомендуется возобновить защиту.
21.08.2008 14:12:02 Обнаружены вредоносные объекты. Рекомендуется обезвредить их немедленно.

При этом появилось сообщение что какие-то файлы windows были изменены и рекомендуется
вернутся к прошлым версиям.
Имеется в виду наверное файл userinit
Отсортировал по дате System32 - userinit был изменен сегодня

Надо ли мне сейчас переписать с установочного диска windows файл userinit поверх того что сейчас в папке.

А то недавно на другом компьютере после лечения касперским аналогичного случая перестала загружаться система

[kps]

Выполните скрипт в AVZ:

Код:

begin
ClearQuarantine;
 QuarantineFile('C:\!BEST PROGRAMS\DAEMON Tools\DAEMON TOOLS PRO 4.11.0219 BASIC\AdVantage.rar','');
 QuarantineFile('C:\SCAD Soft\SCAD Office 11\ViewProf.exe','');
 QuarantineFile('C:\WINDOWS\services.exe','');
 QuarantineFile('c:\windows\system32\userinit.exe','');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys','');
 DeleteFile('C:\WINDOWS\services.exe');
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(1);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин согласно приложению №3 правил (загружать здесь: http://virusinfo.info/upload_virus.php?tid=28649 ).

Вы правильно сделали, что не удалили userinit.exe
В случае подмены системного файла лучше доверять своим рукам, а не программе.
Замените userinit.exe на чистый из дистрибутива или с другой чистой системы (замену лучше проводить из Консоли Восстановления).

Очистите временные папки и кеш браузера.
Сделайте новые логи.

[koks1]

Сначала выполнить скрипт, а потом заменить userinit или как
Если я сначала выполню скрипт то не будет ли проблем после перезагрузки, так как userinit останется вирусный

[Rene-gad]

Сначала скрипт. Будем надеяться, что главный зловред будет удален. Перед выполнением скрипта вставьте дистрибутив или Live CD, с которым будете работать дальше, и грузитесь сразу с него.

[koks1]

Выполнил скрипт
Перезагрузил и сразу загрузился с LiveCD
Заменил userinit файлом с диска windows (userinit.ex_ - изменив на exe) (хотел взять с другого комьютера, но там SP3 и я не знал можно ли им заменить файл от SP2)

Перезагрузил - не загрузилось
Загрузились обои рабочего стола и все - иконки не отображаются

Перезагрузил
Через LiveCD вернул старый userinit (предположительно зараженный)
Все загрузилось

1) Высылаю новые логи, проверьте пожалуйста. Также отослал карантин
2) Как узнать все ли нормально с userinit
3) Подскажите из-за чего у меня все началось
В моем первом посте лог касперского из которого видно - вредоносный http объект и ссылка.
У меня при загрузке браузера (maxton) автоматом загружается десяток сайтов, может проблема быть в одном из этих сайтов.
Или из-за чего-то другого.

[Rene-gad]

В логах чисто.
Очистите темп-папки, кэш проводников и корзину.

[koks1]

Ответьте пожалуйста на 2 вопроса

1) Можно ли заменять файлы SP2 на файлы с SP3 (например userinit, winlogon)
2) Из-за чего это все могло начаться

[Rene-gad]

1) Можно ли заменять файлы SP2 на файлы с SP3 (например userinit, winlogon)

нет. Лучше всего заменять системные файлы из папки ..\windows\ServicePackFiles\i386\ или, если Сервис Пак уже был в дистрибутиве - ..\i386\

2) Из-за чего это все могло начаться

почитайте : http://security-advisory.virusinfo.info/ - узнаете

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 14
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\!best programs\\daemon tools\\daemon tools pro 4.11.0219 basic\\advantage.rar - not-a-virus:WebToolbar.Win32.WhenU.s (DrWEB: archive: Adware.Whenu.6)
  2. c:\\windows\\services.exe - Trojan.Win32.KillAV.aho (DrWEB: Trojan.Packed.573)