Вирус winlogon.exe

[Bear-hit]

Авира ругается на этот файл, мол он TR/Spy.509440.12.
Сам файл в папке windows\system32, если дать антивирусу возможность лечить его, то вылетают еще файлы до этого им не замеченные, а после перезагрузки ОС падает - выскакивает мертвый экран.
Утилита др. веба ничего не видит, авз вроде тоже, а авира ругается постоянно.

[Aleksandra]

1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile(GetAVZDirectory+'log\virusinfo_cure.zip');
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
 QuarantineFile('C:\WINDOWS\system32\tlzvxi.dll','');
 QuarantineFile('c:\windows\system32\winlogon.exe','');
 DeleteFile('C:\WINDOWS\system32\tlzvxi.dll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\xxkot\Parameters','ServiceDll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

3. Выполните скрипт в AVZ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Загрузите файл quarantine.zip, используя ссылку http://virusinfo.info/upload_virus.php?tid=91338

4. Пофиксите в HijackThis:

F2 - REG:system.ini: UserInit=userinit.exe,autorun.bat

5. Повторите логи.

[Bear-hit]

Все сделал, ругается также сильно
логи:

[Aleksandra]

C:\WINDOWS\System32\winlogon.exe - замените на чистый из дистрибутива.

[Bear-hit]

заменил, выскочил зараженный файл temp.tmp из той же папки, отправил в карантин, система упала. С помощью загрузочного диска выяснил, что в C:\WINDOWS\System32 файл winlogon есть, и в то же время его нет (в поисковике отображается, но не появляется он). Тогда запихнул туда еще один, запустилось только вот ругаться стал больше и уже на temp.tmp ругается, а я его боюсь трогать)) так как нету его, не находит его поиск
Теперь добавилась проблема периодического зависания системы, секунд на 10.

[Aleksandra]

Замену файла проводили в Safe Mode?

[Bear-hit]

Псоле долгих и мучительных попыток, заменить winlogon.exe на чистый пришел к выводу, что это ложное срабатывание авиры на данный файл, так как только когда я его помещаю в папку систем 32 и он начинает работать, авира начинает ругаться благим матом. Написал письмо в поддержку авиры и буду ждать ответа.

[Aleksandra]

это ложное срабатывание авиры на данный файл

Нет, это не ложное срабатывание. Файл необходимо заменить на чистый.

[Bear-hit]

В безопасном режиме делал, только он не менялся, писал что закройте все проги, которые использует данный файл, тогда я грязный переименовал и сунул чистый, а грязный перекинул на раб. стол, правда удалить его не получилось.

Раз такое дело, то опишу, когда появилась эта проблема. Вчера пришел с работы и заметил, что пока меня не было, авира написала про этот файл и одновременно с этим, в области уведомлений от авиры, текст такого содержания: latest version of Avira is now available NOTE: Your current version will be supported until 30-6-2011 с ссылкой на апдейт. Ссылка на сайт cnet.com. Это уведомление теперь всегда всплывает после перезагрузки. Авира продолжает бороться с винлогоном и система конкретно виснет, но только если я данный файл отправляю в карантин либо пытаюсь удалить.
При последнем сканировании авирой появился файл в той же системной папке под именем OLD1A.tmp. Вроде все описал, что видел, может чем-то поможет.

Добавлено через 2 часа 13 минут

Замучился, но заменил на 150%) Вроде бы не ругается, провел сканирование, все чисто. Спасибо, огромное человеческое спасибо

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 1
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\windows\\system32\\winlogon.exe - Trojan.Win32.Patched.kl ( DrWEB: Win32.Dat.13, BitDefender: Win32.Loader.S, NOD32: Win32/Bamital.EQ trojan, AVAST4: Win32:Bamital-AQ )