-
Junior Member
- Вес репутации
- 50
Вирус winlogon.exe
Авира ругается на этот файл, мол он TR/Spy.509440.12.
Сам файл в папке windows\system32, если дать антивирусу возможность лечить его, то вылетают еще файлы до этого им не замеченные, а после перезагрузки ОС падает - выскакивает мертвый экран.
Утилита др. веба ничего не видит, авз вроде тоже, а авира ругается постоянно.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile(GetAVZDirectory+'log\virusinfo_cure.zip');
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
QuarantineFile('C:\WINDOWS\system32\tlzvxi.dll','');
QuarantineFile('c:\windows\system32\winlogon.exe','');
DeleteFile('C:\WINDOWS\system32\tlzvxi.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\xxkot\Parameters','ServiceDll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!
3. Выполните скрипт в AVZ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Загрузите файл quarantine.zip, используя ссылку http://virusinfo.info/upload_virus.php?tid=91338
4. Пофиксите в HijackThis:
F2 - REG:system.ini: UserInit=userinit.exe,autorun.bat
5. Повторите логи.
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 50
Все сделал, ругается также сильно
логи:
-
C:\WINDOWS\System32\winlogon.exe - замените на чистый из дистрибутива.
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 50
заменил, выскочил зараженный файл temp.tmp из той же папки, отправил в карантин, система упала. С помощью загрузочного диска выяснил, что в C:\WINDOWS\System32 файл winlogon есть, и в то же время его нет (в поисковике отображается, но не появляется он). Тогда запихнул туда еще один, запустилось только вот ругаться стал больше и уже на temp.tmp ругается, а я его боюсь трогать)) так как нету его, не находит его поиск
Теперь добавилась проблема периодического зависания системы, секунд на 10.
Последний раз редактировалось Bear-hit; 09.11.2010 в 04:04.
-
Замену файла проводили в Safe Mode?
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 50
Псоле долгих и мучительных попыток, заменить winlogon.exe на чистый пришел к выводу, что это ложное срабатывание авиры на данный файл, так как только когда я его помещаю в папку систем 32 и он начинает работать, авира начинает ругаться благим матом. Написал письмо в поддержку авиры и буду ждать ответа.
-
Сообщение от
Bear-hit
это ложное срабатывание авиры на данный файл
Нет, это не ложное срабатывание. Файл необходимо заменить на чистый.
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 50
В безопасном режиме делал, только он не менялся, писал что закройте все проги, которые использует данный файл, тогда я грязный переименовал и сунул чистый, а грязный перекинул на раб. стол, правда удалить его не получилось.
Раз такое дело, то опишу, когда появилась эта проблема. Вчера пришел с работы и заметил, что пока меня не было, авира написала про этот файл и одновременно с этим, в области уведомлений от авиры, текст такого содержания: latest version of Avira is now available NOTE: Your current version will be supported until 30-6-2011 с ссылкой на апдейт. Ссылка на сайт cnet.com. Это уведомление теперь всегда всплывает после перезагрузки. Авира продолжает бороться с винлогоном и система конкретно виснет, но только если я данный файл отправляю в карантин либо пытаюсь удалить.
При последнем сканировании авирой появился файл в той же системной папке под именем OLD1A.tmp. Вроде все описал, что видел, может чем-то поможет.
Добавлено через 2 часа 13 минут
Замучился, но заменил на 150%) Вроде бы не ругается, провел сканирование, все чисто. Спасибо, огромное человеческое спасибо
Последний раз редактировалось Bear-hit; 09.11.2010 в 23:49.
Причина: Добавлено
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\winlogon.exe - Trojan.Win32.Patched.kl ( DrWEB: Win32.Dat.13, BitDefender: Win32.Loader.S, NOD32: Win32/Bamital.EQ trojan, AVAST4: Win32:Bamital-AQ )
-