Заражение и последствия apppatch\pbereil.dat

[FONT=Times New Roman][SIZE=3]Здравствуйте, уважаемые Хелперы! Недавно подхватил троянца, естественно в Интернете.[/SIZE][/FONT]
[FONT=Times New Roman][SIZE=3]Симптомы: не открывались многие сайты, в частности ваш, сайты антивирусов и др. Самопроизвольно закрывался Internet Explorer.[/SIZE][/FONT]
[FONT=Times New Roman][SIZE=3]Сначала думал просто глючит, потом решил обновить до IE8 – не помогло. Понял, что дело нечисто, решил обновить Винду – [B]на удивление помогло[/B]. Но ещё до этого заметил появившийся процесс userinit.exe, которого раньше не было со странной ссылкой на C:\Windows[B]\[/B][B]apppatch\pbereil.dat [/B]– стало ясно вот он засланец. Просто так удалять не стал, мало ли что. Прогнал Avira AntiVir и Dr.Web CureIt! по полной, но они на эту штуку не реагировали. Попробовал AVZ, он указал на[B] pbereil.dat[/B], не стал удалять, так как я раньше с этой программой не работал. Через несколько дней обновил антивирусы и CureIt! наконец-то его удалил.[/SIZE][/FONT]
[FONT=Times New Roman][SIZE=3]Сейчас видимых проблем нет. Но AVZ выдаёт подмены адресов и др. Кроме того, в реестре в разделе HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon до сих пор торчит параметр 5464d5a3 со значением C:\Windows\apppatch\[B]pbereil.dat[/B]. И ещё в брандмауэре, в исключениях, появилась программа [B]ENABELE[/B] ссылается на C:\Windows\System32\winlogon.exe. Не знаю, связано ли это с предыдущим или это что-то ещё.[/SIZE][/FONT]
[SIZE=3][FONT=Times New Roman]Прошу помощи устранить последствия заражения и проверить, нет ли ещё чего-нибудь. Хотелось бы знать, что делает этот зловред, может надо пароли менять? Спасибо![/FONT][/SIZE]

Уважаемый(ая) [B]Chubus[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/donate/"]поддержите проект[/URL].

Пофиксите в HiJack
[code]F2 - REG:system.ini: Shell=C:\windows\explorer.exe
F2 - REG:system.ini: UserInit=C:\Windows\system32\userinit.exe[/code]

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\recinfo\recinfo.exe','');
DeleteFile('c:\recinfo\recinfo.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','recinfo');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(16);
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи

Всё сделал. Карантин закачал. Новые логи тоже. Но сразу могу сказать что recinfo.exe - это фирменое сообщение Fujitsu о возможности создания резервной копии ОС - каждый раз появляется при загрузке. После удаления, естественно, не появилось. Но проверьте конечно.

[QUOTE='Info_bot;789894']Кроме того, в реестре в разделе HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon до сих пор торчит параметр 5464d5a3 со значением C:\Windows\apppatch\pbereil.dat.[/QUOTE]Удалите параметр вручную. Подобные параметры не видит ни одна утилита разных авторов

Добрый день! Параметр удалил, но логи от этого чище не стали (прилагаю). :( Чё делать будем? Кстати можно восстановить recinfo.exe и профиксиные строки?

AVZ - Файл - Просмотр карантина - Восстановить

Проблема осталась. Что ещё можно сделать?

Маскировки на Vista - привычное дело

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]