winlagon.exe userini.exe и прочие гадости

[Sia]

Сначала гадостей было больше, пролечил CureIt. Но кое-что осталось, прошу помочь Столкнулся с сильным ростом трафика, с трудом сюда зашел.

[Bratez]

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('c:\windows\explorer.exe:userini.exe','');
 QuarantineFile('c:\windows\explorer.exe:userini.exe:$DATA','');
 QuarantineFile('C:\WINDOWS\system32\winlagon.exe','');
 QuarantineFile('C:\WINDOWS\system32\userini.exe','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\NDIS.sys','');
 QuarantineFile('C:\Program Files\Opera\rasadhlp.dll','');
 DeleteFile('C:\Program Files\Opera\rasadhlp.dll');
 DeleteFile('C:\WINDOWS\system32\userini.exe');
 DeleteFile('C:\WINDOWS\system32\winlagon.exe');
 DeleteFile('c:\windows\explorer.exe:userini.exe:$DATA');
 DeleteFile('c:\windows\explorer.exe:userini.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=89169).
Сделайте новые логи.

[Sia]

Обратил внимание на появление процессов IEXPLORE и SkypeNames2, хотя ни один из них не инициировал. Опять странности с исходящим трафиком - virus.zip весил примерно 700 Кб, а с ним куда-то ушло ещё 2 Мб. Explorer.exe:userini.exe и winlagon.exe из процессов исчезли.

[Bratez]

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('c:\windows\explorer.exe:userini.exe:$DATA');
 DeleteFile('c:\windows\explorer.exe:userini.exe');
 DeleteFile('C:\Program Files\Internet Explorer\rasadhlp.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Повторите лог virusinfo_syscure.

[Sia]

После выполнения скрипта возникла ошибка services.exe и принудительная перезагрузка через 1 минуту. Правда, это дело пару раз и ранее было. Может это быть связано с Trojan.Dos.TimeDead? Он детектировался недавно.

[Bratez]

В логах больше ничего плохого.
Рекомендуется установить SP3 и последующие обновления.

[Sia]

Добрый день, мой товарищ Sia временно отбыл, но оставил на этом компьютере добрую память о себе Перечитал тему - решил обновить до СП3, однако тут оказалось, что блокированы regedit и tskmgr, более того, при запуске одного приложения появляется сообщение: Microsoft Visual C+ + Runtime Library | R6002 -floating point support not loaded с путем на экзешник. Вроде бы iexplore.exe несанкционировано запускается. Да ещё и services.exe выдает ошибку, и в случае закрывания этого окна перезагружает компьютер через минуту. Можно ли прямо с такими ошибками обновлять до СП3? Отправляю логи, на выходных система очень нужна, поэтому надеюсь на вашу помощь. С уважением, Дмитрий.

[thyrex]

У Вас с товарищем Sia активный файловый вирус Sality.

Лечитесь http://virusinfo.info/showthread.php?t=15927 (вариант с Live CD предпочтительнее)

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 18
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\program files\\opera\\rasadhlp.dll - Backdoor.Win32.Delf.woe ( DrWEB: Trojan.PWS.Stealer.333, BitDefender: Trojan.Generic.4827210, NOD32: Win32/Delf.NWS trojan, AVAST4: Win32:Spyware-gen [Spy] )
  2. c:\\windows\\explorer.exe:userini.exe - Email-Worm.Win32.Joleee.fgi ( DrWEB: Trojan.Packed.21552, BitDefender: Gen:Variant.Kazy.574, AVAST4: Win32:MalOb-CS [Cryp] )
  3. c:\\windows\\explorer.exe:userini.exe:$data - Email-Worm.Win32.Joleee.fgi ( DrWEB: Trojan.Packed.21552, BitDefender: Gen:Variant.Kazy.574, AVAST4: Win32:MalOb-CS [Cryp] )
  4. c:\\windows\\system32\\drivers\\ndis.sys - Virus.Win32.Protector.f ( DrWEB: BackDoor.Bulknet.417, BitDefender: Rootkit.Kobcka.Patched.Gen, NOD32: Win32/Protector.K virus, AVAST4: Win32:Cutwail-AP [Rtk] )
  5. c:\\windows\\system32\\userini.exe - Email-Worm.Win32.Joleee.fgi ( DrWEB: Trojan.Packed.21552, BitDefender: Gen:Variant.Kazy.574, AVAST4: Win32:MalOb-CS [Cryp] )
  6. c:\\windows\\system32\\winlagon.exe - Trojan-Downloader.Win32.Small.blbl ( DrWEB: Trojan.Packed.21552, BitDefender: Gen:Variant.Kazy.508, AVAST4: Win32:MalOb-CS [Cryp] )