Вирус в system32\userinit.exe

Во время загрузки браузера касперский сообщил о

21.08.2008 13:19:12 Вредоносный HTTP-объект <[URL]http://dk.an-dk.ru/partners/admin/1/load.php?id=15070&spl=2[/URL]>: обнаружено: троянская программа 'Trojan.Win32.Buzus.sjs'.
21.08.2008 13:19:12 Вредоносный HTTP-объект <[URL]http://dk.an-dk.ru/partners/admin/1/load.php?id=15070&spl=2[/URL]>: доступ заблокирован.
21.08.2008 13:19:19 Файл C:\WINDOWS\file.bat, обнаружено: троянская программа 'Trojan-Proxy.Win32.Small.mu'.
21.08.2008 13:19:19 Обнаружены вредоносные объекты. Рекомендуется обезвредить их немедленно.
21.08.2008 13:19:35 Файл C:\WINDOWS\file.bat, обнаружено: троянская программа 'Trojan-Proxy.Win32.Small.mu'.
21.08.2008 13:19:38 Файл C:\WINDOWS\file.bat удален.
21.08.2008 13:19:38 Файл C:\WINDOWS\file.bat не может быть удален.
21.08.2008 13:19:57 Попытка процесса с PID 2228 получения доступа к процессу Kaspersky Internet Security с PID 700 заблокирована. Это результат срабатывания механизма самозащиты.
21.08.2008 13:19:57 Попытка процесса с PID 2228 получения доступа к процессу Kaspersky Internet Security с PID 1752 заблокирована. Это результат срабатывания механизма самозащиты.

Потом поставил на проверку windows\system32
В ней был найден вирус в файле userinit

21.08.2008 13:44:00 Файл C:\WINDOWS\system32\userinit.exe, обнаружено: троянская программа 'Trojan-Downloader.Win32.Agent.abti'.
21.08.2008 13:44:00 Обнаружены вредоносные объекты. Рекомендуется обезвредить их немедленно.
21.08.2008 13:44:00 Файл C:\WINDOWS\system32\userinit.exe не вылечен: обработка отложена пользователем.
21.08.2008 13:44:05 Файл C:\windows\system32\userinit.exe, обнаружено: троянская программа 'Trojan-Downloader.Win32.Agent.abti'. Пользователь: WORKGROUP\KOSTYA$, компьютер:localhost.
21.08.2008 13:45:16 Файл C:\windows\system32\userinit.exe не вылечен: выбрано действие "Пропустить".
21.08.2008 13:46:36 Защита вашего компьютера не работает. Рекомендуется возобновить защиту.
21.08.2008 14:12:02 Обнаружены вредоносные объекты. Рекомендуется обезвредить их немедленно.

При этом появилось сообщение что какие-то файлы windows были изменены и рекомендуется
вернутся к прошлым версиям.
Имеется в виду наверное файл userinit
Отсортировал по дате System32 - userinit был изменен сегодня

Надо ли мне сейчас переписать с установочного диска windows файл userinit поверх того что сейчас в папке.

А то недавно на другом компьютере после лечения касперским аналогичного случая перестала загружаться система

[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в AVZ[/url]:
[code]begin
ClearQuarantine;
QuarantineFile('C:\!BEST PROGRAMS\DAEMON Tools\DAEMON TOOLS PRO 4.11.0219 BASIC\AdVantage.rar','');
QuarantineFile('C:\SCAD Soft\SCAD Office 11\ViewProf.exe','');
QuarantineFile('C:\WINDOWS\services.exe','');
QuarantineFile('c:\windows\system32\userinit.exe','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys','');
DeleteFile('C:\WINDOWS\services.exe');
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(1);
BC_Activate;
RebootWindows(true);
end.[/code]

Компьютер перезагрузится.
Пришлите карантин согласно приложению №3 [url=http://virusinfo.info/showthread.php?t=1235]правил[/url] (загружать здесь: [url]http://virusinfo.info/upload_virus.php?tid=28649[/url] ).

Вы правильно сделали, что не удалили userinit.exe
В случае подмены системного файла лучше доверять своим рукам, а не программе.
Замените userinit.exe на чистый из дистрибутива или с другой чистой системы (замену лучше проводить из Консоли Восстановления).

Очистите временные папки и кеш браузера.
Сделайте новые логи.

Сначала выполнить скрипт, а потом заменить userinit или как
Если я сначала выполню скрипт то не будет ли проблем после перезагрузки, так как userinit останется вирусный

Сначала скрипт. Будем надеяться, что главный зловред будет удален. Перед выполнением скрипта вставьте дистрибутив или Live CD, с которым будете работать дальше, и грузитесь сразу с него.

Выполнил скрипт
Перезагрузил и сразу загрузился с LiveCD
Заменил userinit файлом с диска windows (userinit.ex_ - изменив на exe) (хотел взять с другого комьютера, но там SP3 и я не знал можно ли им заменить файл от SP2)

Перезагрузил - не загрузилось
Загрузились обои рабочего стола и все - иконки не отображаются

Перезагрузил
Через LiveCD вернул старый userinit (предположительно зараженный)
Все загрузилось

1) Высылаю новые логи, проверьте пожалуйста. Также отослал карантин
2) Как узнать все ли нормально с userinit
3) Подскажите из-за чего у меня все началось
В моем первом посте лог касперского из которого видно - вредоносный http объект и ссылка.
У меня при загрузке браузера (maxton) автоматом загружается десяток сайтов, может проблема быть в одном из этих сайтов.
Или из-за чего-то другого.

В логах чисто.
[url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.

Ответьте пожалуйста на 2 вопроса

1) Можно ли заменять файлы SP2 на файлы с SP3 (например userinit, winlogon)
2) Из-за чего это все могло начаться

[QUOTE=koks1;271917]
1) Можно ли заменять файлы SP2 на файлы с SP3 (например userinit, winlogon)[/QUOTE]нет. Лучше всего заменять системные файлы из папки ..\windows\ServicePackFiles\i386\ или, если Сервис Пак уже был в дистрибутиве - ..\i386\
[QUOTE=koks1;271917]2) Из-за чего это все могло начаться[/QUOTE]почитайте : [url]http://security-advisory.virusinfo.info/[/url] - узнаете ;)

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]14[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\!best programs\\daemon tools\\daemon tools pro 4.11.0219 basic\\advantage.rar - [B]not-a-virus:WebToolbar.Win32.WhenU.s[/B] (DrWEB: archive: Adware.Whenu.6)[*] c:\\windows\\services.exe - [B]Trojan.Win32.KillAV.aho[/B] (DrWEB: Trojan.Packed.573)[/LIST][/LIST]