В system32 появился userini.exe

[Parashutik]

Проблема началась с того, что DrWeb при включении находит постоянно троянов:
trojan.Spambot.7173
trojan.WinSpy.711
trojan.Proxy.12212
Он их благополучно убивает, но в процессах появляются:
2345.exe
4567.exe
при каждой загрузке цифры в названии разные, а так же появляется userini.exe и
explorer.exe:userini.exe:$DATA
И SpIDer Mail начинает активно работать, как будто получается или отправляется почта, анимация значка. Естественно комп и инет тормозит по черному.
Если убить все эти процессы через диспетчер рассылка спама прекращается.
При просмотре автозагрузки видно , что запуск userini прописан в реестре. При попытке удалить эти записи, они тут же востанавливаются. Но если вышеперечисленные процессы убить, то все получается, но при перезагрузке все востанавливается. Файл userini находится в sistem 32. Удалить тоже нельзя, восстанавливается. Поискал по форуму, форумам нашел похожее, проблема к сожалению не решается. Я понял , что происходит подмена файла userinit.exe. И запускаются эти самые трояны, но справиться не смог. Помогите пожалуйста. Комп бухгалтера, сносить систему последнее дело. Всё согласно правилам сделаю и логи AVZ выложу.
Да еще, сегодня заметил , что служба брандмауэра отключена, хотя в пятницу я его точно включал

[polword]

Внимательно прочитайте и аккуратно выполните

[Parashutik]

Спасибо, именно это я сейчас и делаю.

[polword]

ждем

[Parashutik]

Вчера не смог до конца довести дело, не дали. Прошу прощения. Оставил комп бухгалтера на ночь включенным. DrWeb у нас сетевой, по расписанию он в 19.00 проверил его на вирусы. Нашел 25 обьектов , они в его карантине. Хотя когда проверял обычным сканером , то ни чего не нашел. Только Спайдер перехватывал в момент загрузки. Ни файлов с цифровым названием, ни userini.exe, explorer.exe:userini.exe:$DATA в процессах нет. Службу брандмауэра я включил, но сам брандмауэр не могу(окно не активно). На всякий случай все сделал по правилам , файлы прикрепляю. Как брандмауэр включить.

[thyrex]

Пофиксите в HiJack

Код:

F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,\\?\globalroot\systemroot\system32\ezfn6rs.exe,

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\userini.exe','');
 QuarantineFile('C:\DOCUME~1\8A0A~1\LOCALS~1\Temp\dedzwopnleanopt.sys','');
 QuarantineFile('C:\WINDOWS\explorer.exe:userini.exe','');
 DeleteFile('C:\WINDOWS\explorer.exe:userini.exe');
 DeleteFile('C:\DOCUME~1\8A0A~1\LOCALS~1\Temp\dedzwopnleanopt.sys');
 DeleteFile('C:\WINDOWS\system32\userini.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini');
DeleteService('keiiivauirop');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи

[Parashutik]

Всё сделал. Файлы прикрепляю, карантин отправил

[polword]

В логах чисто.Что с проблемой?

обновите систему
- SP2 обновите до Service Pack 3(может потребоваться активация)
* Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
- Поставте все последние обновления системы Windows - тут

[Parashutik]

Всё, спасибо большое!