Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 27.

Winlogos.exe, помогите! (заявка № 112878)

  1. #1
    Junior Member Репутация
    Регистрация
    07.11.2009
    Сообщений
    26
    Вес репутации
    53

    Thumbs up Winlogos.exe, помогите!

    Добрый день!
    В процессах висят два файла winlogos.exe и еще экзешник с произвольным цифровым именем.
    Один из винлогосов жрет проц на 99 процентов. Второй следит чтобы первый был запущен. Убиваем второй, затем первый, затем цифровой.

    Компьютер отпускает и все работает неплохо. Гмером, АВЗ, и ХайДжеком вроде вычищаю все, нахожу файлы физически, удаляю. Все чисто, но!
    1. Когда втыкаешь флэшку, все папки делаются скрытыми и создаются ярлыки к ним, а так же папка ресайклер с вирусом внутри.
    2. После перезагрузки через время та же картина - винлогосы и иже с ними.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) Krat0S, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для ARMA9000
    Регистрация
    16.09.2009
    Сообщений
    1,987
    Вес репутации
    116
    Выполните скрипт:
    Код:
    begin
    SearchRootkit(true, true);
     QuarantineFile('C:\1','');
     QuarantineFile('C:\Program Files\StRec\StRec.exe','');
     QuarantineFile('G:\autorun.inf','');
     QuarantineFile('C:\Program Files\1cv82\common\1cestart.exe','');
     QuarantineFile('C:\Np2009w\npw.exe','');
     QuarantineFile('C:\Documents and Settings\Krat0S\Application Data\Baxwxx.exe','');
     QuarantineFile('C:\DOCUME~1\Krat0S\LOCALS~1\Temp\pxtorpod.sys','');
    BC_ImportAll;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Выполните скрипт:
    Код:
    begin 
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы.

  5. #4
    Junior Member Репутация
    Регистрация
    07.11.2009
    Сообщений
    26
    Вес репутации
    53
    Выполнил скрипт, перезагрузился. Полчаса боролся за право распоряжаться ресурсами и загрузкой процесора. Отвоевал.
    Взял на себя смелось добавить в Ваш скрипт карантина пути к вновь объявившимся файлам:

    Код:
     QuarantineFile('c:\Documents and Settings\Krat0S\Application Data\12.exe','');
     QuarantineFile('c:\Documents and Settings\Krat0S\Application Data\13.exe','');
     QuarantineFile('c:\Documents and Settings\Krat0S\Application Data\14.exe','');
     QuarantineFile('c:\Documents and Settings\Krat0S\Application Data\16.exe','');
     QuarantineFile('c:\Documents and Settings\Krat0S\Start Menu\Programs\Startup\taskmgr.exe','');
     QuarantineFile('c:\Documents and Settings\Krat0S\Start Menu\Programs\Startup\stepx2.exe','');
    Сегодня winlogos стал выглядеть как taskmgr, поведение то же самое - висит два штуки, один жрет 100% проца, второй запускает первый если его убьют.
    Карантин высылаю.
    Последний раз редактировалось Krat0S; 25.11.2011 в 09:04.

  6. #5
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Установите все новые обновления для Windows
    Установите Internet Explorer 8 (даже если им не пользуетесь)

    Сделайте лог полного сканирования МВАМ
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  7. #6
    Junior Member Репутация
    Регистрация
    07.11.2009
    Сообщений
    26
    Вес репутации
    53
    Вам легко говорить "установите все новые обновления"
    С нашим деревенским интернетом - только вчера закончил закачку их
    Установил, лог МБАМ прилагаю.

    P.S. Может кому пригодится - способ не допускать загрузки двух винлогосов, которые вешают систему:
    Они самосоздаются после каждой перезагрузки в папке "C:\Documents and Settings\%userprofile%\Start Menu\Programs\Startup\"
    На уровне NTFS запретил доступ вообще всем к этой папке.
    После перезагрузки самосоздать они смогли там, а вот запуститься... Система запрашивает с чьими правами выполнить их запуск )))))
    Жму "Отмена" и радуюсь, хотя бы винлогосы не запускаются и комп не виснет
    Вложения Вложения
    Последний раз редактировалось Krat0S; 30.11.2011 в 08:30.

  8. #7
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Лог плохого не показал
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  9. #8
    Junior Member Репутация
    Регистрация
    07.11.2009
    Сообщений
    26
    Вес репутации
    53
    Что же мне делать?(
    Будем считать что с винлогосами справились, но какая сволочь все же трогает флэшку?(делает все папки скрытыми и создает к ним ярлыки)

  10. #9

  11. #10
    Junior Member Репутация
    Регистрация
    07.11.2009
    Сообщений
    26
    Вес репутации
    53
    МБАМ ничего не нашел
    Простите мою самодеятельность, но я закарантинил самосоздающиеся файлы с флэшки и прикладываю их к теме(как положено через ссылку вверху "Прислать карантин")
    Вложения Вложения

  12. #11
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Сделайте лог ComboFix
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  13. #12
    Junior Member Репутация
    Регистрация
    07.11.2009
    Сообщений
    26
    Вес репутации
    53
    Вот!
    Вложения Вложения

  14. #13
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Ошибочно удаленные утилитой файлы и записи от 1С восстановите вот так
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  15. #14
    Junior Member Репутация
    Регистрация
    07.11.2009
    Сообщений
    26
    Вес репутации
    53
    Да черт с ним с 1с, подскажите что с вирусом делать?(
    Установил Касперского 2012, пробную версию он на оба вируса внимания не обращает - что на тот который проц грузит и в автозагрузку лезет, что на тот что папки на флэшке прячет... Ключ к Касперскому есть в принципе, но не хочу активировать - смысла не вижу...

  16. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,965
    Вес репутации
    406
    Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
    Код:
    KillAll::
    
    File::
    c:\windows\Setup1.exe
    c:\documents and settings\Krat0S\Application Data\Baxwxx.exe 
    
    Driver::
    jvcpgu
    
    NetSvc::
    jvcpgu
    
    Folder::
    
    Registry::
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
    "Baxwxx"=-
    
    FileLook::
    
    DirLook::
    Reboot::
    После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

    Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

    Повторите логи АВЗ и hijackthis.

  17. #16
    Junior Member Репутация
    Регистрация
    07.11.2009
    Сообщений
    26
    Вес репутации
    53
    Кажется помогло!

    Файлы прикладываю, а пока потестирую.
    Вложения Вложения

  18. #17
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,965
    Вес репутации
    406
    - - Удалите ComboFix

    - Выполните в AVZ скрипт из файла ScanVuln.txt
    - Откройте файл avz_log.txt из под-папки LOG.
    - Пройдитесь по ссылкам из файла avz_log.txt и установите важные обновления.
    - Перезагрузите компьютер.
    - Повторите выполнение скрипта, чтобы убедиться, что уязвимости устранены.

    - Обновите базы АВЗ (АВЗ -> меню "Файл" -> "Обновление баз" -> "Пуск") и Повторите лог virusinfo_syscheck.zip‎.

  19. #18
    Junior Member Репутация
    Регистрация
    07.11.2009
    Сообщений
    26
    Вес репутации
    53
    Уязвимостей практически не было, только Яву обновить пришлось.

    В остальном - все точно получилось! Спасибо огромное, да здравствует чистая флэшка

    Подскажите - во всем виновато было:

    Код:
    File::
    c:\windows\Setup1.exe
    c:\documents and settings\Krat0S\Application Data\Baxwxx.exe 
    
    Driver::
    jvcpgu
    
    NetSvc::
    jvcpgu
    ?
    Вложения Вложения

  20. #19
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,965
    Вес репутации
    406
    Чисто.

    Код:
    C:\Documents and Settings\Krat0S\Application Data\Baxwxx.exe	- Trojan.Win32.Inject.bwjl	
    c:\Documents and Settings\Krat0S\Application Data\12.exe - Trojan.Win32.Inject.bwhr
    c:\Documents and Settings\Krat0S\Application Data\13.exe	- Trojan.BAT.Miner.i
    c:\Documents and Settings\Krat0S\Application Data\14.exe	- Trojan.Win32.Menti.jbms
    c:\Documents and Settings\Krat0S\Application Data\16.exe	- Trojan.Win32.FakeAv.iqsh
    c:\Documents and Settings\Krat0S\Start Menu\Programs\Startup\stepx2.exe	- Trojan.BAT.Miner.i	
    c:\Documents and Settings\Krat0S\Start Menu\Programs\Startup\taskmgr.exe - Trojan.Win32.Inject.bwhr

  21. #20
    Junior Member Репутация
    Регистрация
    07.11.2009
    Сообщений
    26
    Вес репутации
    53
    Эти файлы я убивал регулярно, но они снова появлялись(
    И флэшку при этом вирусовало все равно...
    Вы не можете ткнуть пальцем - какой именно процесс ответственен за их создание?
    Последний раз редактировалось Krat0S; 09.12.2011 в 09:21. Причина: Добавлено

  • Уважаемый(ая) Krat0S, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. WINLOGOS.exe
      От tsubera-v в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 13.11.2011, 22:12
    2. Грузит систему WINLOGOS.EXE и x3018.exe
      От alibom в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 10.11.2011, 18:59
    3. Ответов: 1
      Последнее сообщение: 03.08.2011, 06:00

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01050 seconds with 20 queries