Мусорный процесс WinMail.exe забивает Физическую память.

[FONT=Calibri][SIZE=3]В Windows Vista 64 bit после выбора аккаунта и входа появляется фоновое изображение Рабочего стола, и система висит в таком виде с работающим HDD. Сначала не понял, в чём дело, потом запустил Диспетчер задач (ДЗ), в котором оказалось больше 3200 процессов WinMail.exe размерами от 152 КБ до 1500 КБ. При этом ДЗ показывает загрузку Физической памяти (ФП) на уровне 90-93%%. Соответственно, все остальные процессы тормозят, и панель управления Рабочего стола не загружается. Решил убить несколько процессов WinMail.exe – убились, к тому же остальные процессы WinMail.exe начали убиваться самостоятельно, очищая ФП. Процесс очистки ускоряется, когда вручную помогаешь удалением процессов. Затем загрузился Рабочий стол, и начали выводиться сообщения об ошибках:[/SIZE][/FONT]
[IMG]http://virusinfo.info/attachment.php?attachmentid=52557&stc=1&d=1212824910[/IMG]
[FONT=Calibri][SIZE=3][IMG]http://virusinfo.info/attachment.php?attachmentid=52558&stc=1&d=1212824910[/IMG][/SIZE][/FONT]
[FONT=Calibri][SIZE=3]Плюс ещё была ошибка о “Неверно загруженном аккаунте пользователя”.[/SIZE][/FONT]
Точнее, профиль пользователя временный загрузился из-за ошибки:
[IMG]http://virusinfo.info/attachment.php?attachmentid=52568&d=1212827639[/IMG]
[FONT=Calibri][SIZE=3]При этом процессы WinMail.exe выгрузились полностью и исчезли из ДЗ.[/SIZE][/FONT]
[FONT=Calibri][SIZE=3]Перезагрузился, из другой системы удалил папку Windows Mail, загрузил Vista 64 - процессы на месте. Решил начать убивать процессы WinMail, не дожидаясь, когда процессы забьют всю ФП – убивались, но потом снова появлялись, но для других процессов хватало ресурсов работать. При убийстве процессов WinMail.exe ФП освобождалась, а Загрузка процессора возрастала, при клонировании процессов WinMail.exe - наоборот.[/SIZE][/FONT]

[FONT=Calibri][SIZE=3]Запустил AVZ, из стандартных скриптов заработал только №2, при запуске №1 и №3 AVZ вылетала.
[IMG]http://virusinfo.info/attachment.php?attachmentid=52567&d=1212827639[/IMG]
На большинство процессов в ДЗ (если не все) AVZ вывел следующее:[/SIZE][/FONT]
[SIZE=3][FONT=Calibri]“Опасно! Обнаружена маскировка процессов”[/FONT][/SIZE]

[FONT=Calibri][SIZE=3]Из замеченных дополнительных симптомов:[/SIZE][/FONT]
[FONT=Calibri][SIZE=3]Не загружается IE (не найден файл), пропала Языковая панель, иконки программ на Рабочем столе изменились на одну “стандартную”.[/SIZE][/FONT]

Ещё пара картинок в дополнение.

1. Запускать AVZ следует правой кнопкой мыши, выбирая "Запуск от имени Администратора".

2. Выполните скрипт в AVZ:
[code]begin
QuarantineFile('%ProgramFiles(x86)%\Windows Mail\WinMail.exe','');
DeleteFile('%ProgramFiles(x86)%\Windows Mail\WinMail.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.

3. Откройте в AVZ Менеджер Active Setup и удалите там строчку с упоминанием этого WinMail.exe.

4. Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=24179[/url]).

5. Сделайте новые логи, также запуская AVZ от имени Администратора.

1.
выполняется постоянно.

Пункты 2 и 3.
А) Запустил скрипт из-под Vista 64, после перезагрузки файл из папки не удалился, процессы на месте, как и полагается, грузят систему. Соответственно, скрипты 1 и 3 не работают, только второй снова сделал (лог прикреплён к посту).
Из Менеджера Active Setup указанная строка не удаляется, в карантин ничего не помещается: при попытке удаления AVZ пишет следующее:
“Ошибка карантина файла, попытка прямого чтения (%ProgramFiles(x86)%\Windows Mail\WinMail.exe)
Карантин с использованием прямого чтения – ошибка”
Б) Запустил скрипт из-под рабочей Vista 32, в карантин поместились два файла WinMail.exe.
В Менеджере Active Setup строка %ProgramFiles(x86)%\Windows Mail\WinMail.exe отсутствует.
Кроме этого в карантине оказался файл PhysX.cpl (к сожалению, не засёк, при запуске скрипта из-под какой Vista).
После всего в Vista 64 процессы WinMail.exe так и остались на месте.
4. Отправлен.

Winmail.exe на самом деле в карантин не попал.
Выполните такой скрипт:
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files (x86)\Windows Mail\WinMail.exe','');
DeleteFile('C:\Program Files (x86)\Windows Mail\WinMail.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки снова попробуйте удалить строчку в Active Setup
и папку C:\Program Files (x86)\Windows Mail.
Карантин пришлите, если будет не пуст.

[FONT=Calibri][SIZE=3]Под зараженной Vista 64 скрипт вызывает вылет AVZ:[/SIZE][/FONT]
[URL]http://virusinfo.info/attachment.php?attachmentid=52699&stc=1&d=1212904528[/URL]
[FONT=Calibri][SIZE=3]Соответственно, до перезагрузки из AVZ дело не дошло.[/SIZE][/FONT]
[FONT=Calibri][SIZE=3]При нажатии правой кнопкой мыши на один из процессов WinMail.exe в ДЗ -> Свойства:[/SIZE][/FONT]
[URL]http://virusinfo.info/attachment.php?attachmentid=52700&stc=1&d=1212904528[/URL]
[FONT=Calibri][SIZE=3]Раньше, если мне память не изменяет, здесь была буква “D:”, потому и удалил в первую очередь эту папку (D:\Program Files\Windows Mail\WinMail.exe). Теперь, как видим, буква поменялась.[/SIZE][/FONT]
[FONT=Calibri][SIZE=3]Вообще, у меня на диске “C:” стоит Vista 32, а на “D:” – Vista 64. При загрузке и той и другой буквы не меняются.[/SIZE][/FONT]

[SIZE=3][FONT=Calibri]Под Vista 32 в карантин снова летят, как я понял, два пустых WinMail.exe[/FONT][/SIZE]

На данный момент на диске “D:” с Vista 64 отсутствуют папки “\Program Files\Windows Mail\” и “\Program Files (x86)\Windows Mail\” – убиты из-под Vista 32 вручную. Под Vista 64 процессы WinMail.exe на месте, вешают систему.

Из Vista 32 переименовал папку "C:\Program Files\Windows Mail\", в Vista 64 процессы WinMail.exe перестали загружаться. Все остальные проблемы остались. AVZ также вылетает при выполнении скриптов.

Может, это конфликт версий Vista? Например, Vista 64 пытается загрузить файлы с диска "C:", где установлена Vista 32. Могу удалить Vista 64 без проблем, если дальше смысл искать вирусы отсутствует. На всякий случай прикрепил лог второго скрипта AVZ после переименования папки с WinMail.exe.

К сожалению, AVZ не вполне корректно работает в 64-битной ОС.

Кроме WinMail.exe ничего подозрительного у вас не видно, так что если с ним удалось справиться,то проблему можно считать решенной.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]