ѕоказано с 1 по 19 из 19.

зараза в winlogon.exe (за€вка є 13317)

  1. #1
    Junior Member –епутаци€
    –егистраци€
    18.10.2007
    —ообщений
    10
    ¬ес репутации
    34

    Exclamation зараза в winlogon.exe

    «дравствуйте!
    ¬от столкнулс€ с такой др€нью... в сейф моде вычистить с помощью AVZ не удаетс€ прикрепл€ю логи
    если потребуетс€ могу и вирусы
    ¬ложени€ ¬ложени€

  2. –еклама
     

  3. #2
    Global Moderator –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€
    –егистраци€
    26.12.2006
    јдрес
    Vladivostok
    —ообщений
    23,300
    ¬ес репутации
    1551
    1. ¬ыполните скрипт в AVZ:
     од:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Windows\System32\Drivers\Xbq26.sys','');
     DeleteFile('C:\Windows\System32\Drivers\Xbq26.sys');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    2. —делайте дополнительный лог в безопасном режиме:
    http://virusinfo.info/showthread.php?t=10387
    и лог HijackThis.
    I am not young enough to know everything...

  4. #3
    Junior Member –епутаци€
    –егистраци€
    18.10.2007
    —ообщений
    10
    ¬ес репутации
    34
    сделал все как просили
    1. AVZ/‘айл/—тандартные скрипты - отметить #1 - ¬ыполнить результат тут avz_log.txt
    2. ‘айл/»сследование системы - переключить "“олько активные службы и драйверы" на "¬се службы и драйверы" -ѕуск/—охранить протокол результат тут avz_sysinfo.zip
    ну и хайджкек
    ¬ложени€ ¬ложени€

  5. #4
    Junior Member –епутаци€
    –егистраци€
    18.10.2007
    —ообщений
    10
    ¬ес репутации
    34
    заметил такую тонкость грузитс€ только в safe mode с сетевыми драйверами
    при этом в момент загрузки пишет нажмите ESC чтоб не загружать драйвер UP55bus.sys, если отказатьс€(тоесть не грузить драйвер этот) то система перед окном входа уходит в ребут

    ƒобавлено через 8 минут

    и еще пробовал восстановить систему с помощью sfc /scannow в логах пишет что нашел испоренные файлы без цифровой подписи

    “ип событи€: ”ведомление
    »сточник событи€: Windows File Protection
     атегори€ событи€: ќтсутствует
     од событи€: 64020
    ƒата: 17.10.2007
    ¬рем€: 1:13:11
    ѕользователь: Ќ/ƒ
     омпьютер: ћј—»ћ ј
    ќписание:
    «ащита файлов Windows при сканировании обнаружила, что системный файл c:\windows\system32\photowiz.dll имеет неправильную подпись. Ётот файл восстановлен до исходной версии дл€ обеспечени€ стабильности системы. ¬ерси€ системного файла 5.1.2600.2180.
    “ип событи€: ”ведомление
    »сточник событи€: Windows File Protection
     атегори€ событи€: ќтсутствует
     од событи€: 64004
    ƒата: 17.10.2007
    ¬рем€: 1:01:25
    ѕользователь: Ќ/ƒ
     омпьютер: ћј—»ћ ј
    ќписание:
    Ќе удалось восстановить исходную, правильную версию защищенного системного файла c:\windows\system32\winlogon.exe. Ќомер версии неправильного файла 5.1.2600.2180  онкретный код ошибки: 0x800b0100 [¬ этом объекте нет подписи.
    ].
    “ип событи€: ”ведомление
    »сточник событи€: Windows File Protection
     атегори€ событи€: ќтсутствует
     од событи€: 64020
    ƒата: 17.10.2007
    ¬рем€: 1:01:24
    ѕользователь: Ќ/ƒ
     омпьютер: ћј—»ћ ј
    ќписание:
    «ащита файлов Windows при сканировании обнаружила, что системный файл c:\windows\system32\winlogon.exe имеет неправильную подпись. Ётот файл восстановлен до исходной версии дл€ обеспечени€ стабильности системы. ¬ерси€ системного файла 5.1.2600.2180.
    “ип событи€: ”ведомление
    »сточник событи€: Windows File Protection
     атегори€ событи€: ќтсутствует
     од событи€: 64004
    ƒата: 17.10.2007
    ¬рем€: 1:12:32
    ѕользователь: Ќ/ƒ
     омпьютер: ћј—»ћ ј
    ќписание:
    Ќе удалось восстановить исходную, правильную версию защищенного системного файла c:\windows\system32\ntsd.exe. Ќомер версии неправильного файла 5.1.2600.0  онкретный код ошибки: 0x800b0100 [¬ этом объекте нет подписи.
    ].
    ƒобавлено через 4 минуты

    кстате очень похожий случай
    http://virusinfo.info/showthread.php?t=13321
    в этой теме токо дублер winlogon.exe в папке пользовател€ TEMP € прибил
    ѕоследний раз редактировалось Alexey_K1; 18.10.2007 в 13:20. ѕричина: ƒобавлено

  6. #5
    Senior Helper –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€
    –егистраци€
    10.01.2007
    —ообщений
    22,817
    ¬ес репутации
    1497
    пофиксите ...
     од:
    O20 - Winlogon Notify: ИР - ИР (file missing)
    O20 - Winlogon Notify: ј– - ј– (file missing)
    O20 - Winlogon Notify:  »Ў -  »Ў (file missing)
    O20 - Winlogon Notify: (–а - (–а (file missing)
    O20 - Winlogon Notify: @иш - @иш (file missing)
    O20 - Winlogon Notify: instcat - C:\WINDOWS\SYSTEM32\instcat.dll
    O20 - Winlogon Notify: instcat- - C:\WINDOWS\SYSTEM32\instcat.dll
    O20 - Winlogon Notify: Pш - Pш (file missing)
    O20 - Winlogon Notify: X - X (file missing)
    O20 - Winlogon Notify: ` - ` (file missing)
    O20 - Winlogon Notify: * ( - * ( (file missing)
    O20 - Winlogon Notify: р˜® - р˜® (file missing)
    O20 - Winlogon Notify: ш*∞ - ш*∞ (file missing)
    выполните скрипт....
     од:
    begin
    SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('instcat.dll','');
      QuarantineFile('System32\DRIVERS\smtpdrv.sys','');
     QuarantineFile('\??\C:\WINDOWS\system32\poof','');
     QuarantineFile('\??\C:\WINDOWS\system32\kprof','');
     DeleteFile('\??\C:\WINDOWS\system32\kprof');
     DeleteFile('\??\C:\WINDOWS\system32\poof');
     DeleteFile('System32\DRIVERS\smtpdrv.sys');
     DeleteFile('C:\Windows\System32\Drivers\Xbq26.sys');
     DeleteFile('Xbq26.sys');
     DeleteFile('instcat.dll');
     BC_ImportDeletedList;
     BC_DeleteSvc('kprof');
     BC_DeleteSvc('poof');
     BC_DeleteSvc('smtpdr');
      BC_DeleteSvc('Xbq26');
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    повторите логи...
    ѕоследний раз редактировалось V_Bond; 18.10.2007 в 16:20.

  7. #6
    Global Moderator –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€
    –егистраци€
    26.12.2006
    јдрес
    Vladivostok
    —ообщений
    23,300
    ¬ес репутации
    1551
    ¬ыполните скрипт:
     од:
    begin
    BC_QrFile('C:\WINDOWS\system32\Drivers\ippflt.sys');
    BC_QrFile('C:\WINDOWS\system32\Drivers\System.sys');
    BC_QrFile('C:\WINDOWS\system32\System.sys');
    BC_QrFile('C:\WINDOWS\System.sys');
    BC_QrFile('System.sys');
    BC_DeleteSvc('kprof');
    BC_DeleteSvc('poof');
    BC_DeleteSvc('smtpdrv');
    BC_DeleteSvc('Xbq26');
    BC_Activate;
    RebootWindows(true);
    end.
    ѕришлите карантин по правилам.
    I am not young enough to know everything...

  8. #7
    Junior Member –епутаци€
    –егистраци€
    18.10.2007
    —ообщений
    10
    ¬ес репутации
    34
    проделал и скрипт и вот новые логи
    и карантин послал
    ¬ложени€ ¬ложени€

  9. #8
    Global Moderator –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€
    –егистраци€
    26.12.2006
    јдрес
    Vladivostok
    —ообщений
    23,300
    ¬ес репутации
    1551
    ¬ыполните скрипт в AVZ:
     од:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    DeleteFile('C:\WINDOWS\system32\AppCert\wsil32.dll');
    DeleteFile('C:\WINDOWS\system32\AppCert\wnl32.dll');
    DeleteFile('C:\WINDOWS\system32\Drivers\ippflt.sys');
    DeleteFile('C:\WINDOWS\system32\instcat.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    ѕофиксите в HijackThis:
     од:
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://evmhedf.footchild.cn/?262495014733
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://evmhedf.footchild.cn/?262495014733
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://evmhedf.footchild.cn/?262495014733
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://evmhedf.footchild.cn/?262495014733
    R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll (file missing)
    O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll (file missing)
    O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\2.bin\MWSBAR.DLL (file missing)
    O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll (file missing)
    O3 - Toolbar: My Web Search - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\2.bin\MWSBAR.DLL (file missing)
    O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZN
    O20 - Winlogon Notify: 8ар - 8ар (file missing)
    O20 - Winlogon Notify: instcat - C:\WINDOWS\SYSTEM32\instcat.dll
    O20 - Winlogon Notify: рШ® - рШ® (file missing)
    —делайте новые логи по правилам + дополнительный в безопасном режиме.

    ƒобавлено через 10 минут

    Xbq26.sys - Rootkit.Win32.Agent.it
    instcat.dll - Email-Worm.Win32.Locksky.bh
    wnl32.dll - Trojan-Downloader.Win32.Agent.dng
    + еще пара свежаков, потом напишу названи€...

    Ќеуловимый system.sys осталс€.  огда будете делать доп. лог, после запуска стандартного скрипта #1 (антируткит) попробуйте поискать system.sys через —ервис - ѕоиск файлов на диске. ≈сли найдетс€ - поместите в карантин и пришлите по правилам.
    ѕоследний раз редактировалось Bratez; 18.10.2007 в 15:09. ѕричина: ƒобавлено
    I am not young enough to know everything...

  10. #9
    Junior Member –епутаци€
    –егистраци€
    18.10.2007
    —ообщений
    10
    ¬ес репутации
    34
    —делал в Ѕезопасном режиме доп логи.
    «џ не удал€ютс€ эти файлы, по последнему скрипту, € его повторил после перезагрузки, он оп€ть написал, что они есть что удал€ть.. загружаюсь только в безопасном режиме с сетевыми драйверами (в просто Ѕезопасный режим не грузитс€) при загрузке каждый раз спрашивает загрузить драйвер Up55Bus.sys если отказать то тоже не грузитс€ винды
    ¬ложени€ ¬ложени€

  11. #10
    Global Moderator –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€
    –егистраци€
    26.12.2006
    јдрес
    Vladivostok
    —ообщений
    23,300
    ¬ес репутации
    1551
    —уд€ по этим логам, скрипт отработал успешно.
    ∆дем логи AVZ в нормальном режиме (п.8-10 правил).
    „то с поиском system.sys?
    I am not young enough to know everything...

  12. #11
    Junior Member –епутаци€
    –егистраци€
    18.10.2007
    —ообщений
    10
    ¬ес репутации
    34
    system.sys не нашел не в безопасном не в нормальном режиме после запуска 1 скрипта(о\логи отработки первых скриптов прилагаю)

    ∆дем логи AVZ в нормальном режиме прилагаю также отправл€ю вам вирусы которые сам с архивировал по правилам
    ¬ложени€ ¬ложени€

  13. #12
    Global Moderator –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€
    –егистраци€
    26.12.2006
    јдрес
    Vladivostok
    —ообщений
    23,300
    ¬ес репутации
    1551
    1. UP55 это не вирус, это драйвер от какого-то виртуальника (DT, Alcohol и т.п.).
    2. ѕравила вы похоже читали по диагонали, перечитайте упом€нутые п.8-10 (самый первый лог таки правильно был сделан!).
    3. ¬ыполните скрипт в AVZ:
     од:
    begin
    ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\system32\DRIVERS\nwrdr.sys','');
    BC_ImportQuarantineList;
    BC_Activate;
    RebootWindows(true);
    end.
     омпьютер перезагрузитс€.
    ≈сли что-то попадет в карантин - пришлите.
    I am not young enough to know everything...

  14. #13
    Junior Member –епутаци€
    –егистраци€
    18.10.2007
    —ообщений
    10
    ¬ес репутации
    34
    прошу простить за неправильные логи...
    вот вроде по скрипту сделал и карантин прицепил
    ¬ложени€ ¬ложени€
    ѕоследний раз редактировалось Alexey_K1; 19.10.2007 в 11:25.

  15. #14
    Senior Helper –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€
    –егистраци€
    10.01.2007
    —ообщений
    22,817
    ¬ес репутации
    1497
    уберите карантин из темы ...
    C:\WINDOWS\system32\drivers\symavc32.sys Rootkit.Win32.Agent.it
    отключите восстановление системы....
    очистите корзину ....
     од:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFile('C:\WINDOWS\system32\drivers\symavc32.sys ');
     BC_ImportDeletedList;
     BC_DeleteSvc('symavc32');
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    C:\WINDOWS\system32\DRIVERS\nwrdr.sys поищите через AVZ-сервис поиск файлов на диске ...
    если найдетс€ пришлите по правилам...
    повторите логи...

  16. #15
    Junior Member –епутаци€
    –егистраци€
    18.10.2007
    —ообщений
    10
    ¬ес репутации
    34
    странно восстановление отключал сразу как оно включилось не пон€тно
    корзину очистил
    скрипт выполнил
    C:\WINDOWS\system32\DRIVERS\nwrdr.sys поищите через AVZ-сервис поиск файлов на диске ...
    файл нашелс€ в 2х папках еще в DllCache
    делаю добавить к карантину... не добавл€ет карантин пуст... хот€ файл в папке —:\WINDOWS\system32\DRIVERS\ вижу и могу его с архивировать

    логи ща будут

  17. #16
    Junior Member –епутаци€
    –егистраци€
    18.10.2007
    —ообщений
    10
    ¬ес репутации
    34
    логи
    также сделал еще в безопасном режиме иследование сисетмы
    ¬ложени€ ¬ложени€
    ѕоследний раз редактировалось Shu_b; 19.10.2007 в 16:12.

  18. #17
    Senior Helper –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€
    –егистраци€
    10.01.2007
    —ообщений
    22,817
    ¬ес репутации
    1497
    C:\WINDOWS\system32\DRIVERS\nwrdr.sys - попробуйте переименовать заархивировать с паролем и прислать по правилам ....

  19. #18
    Junior Member –епутаци€
    –егистраци€
    18.10.2007
    —ообщений
    10
    ¬ес репутации
    34
    ÷итата —ообщение от V_Bond ѕосмотреть сообщение
    C:\WINDOWS\system32\DRIVERS\nwrdr.sys - попробуйте переименовать заархивировать с паролем и прислать по правилам ....
    а переименовывать дл€ чего?

    ƒобавлено через 40 минут

    прикрепил
    ѕоследний раз редактировалось Alexey_K1; 19.10.2007 в 14:50. ѕричина: ƒобавлено

  20. #19
    Cybernetic Helper –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€ –епутаци€
    –егистраци€
    29.12.2008
    —ообщений
    47,555
    ¬ес репутации
    942

    »тог лечени€

    —татистика проведенного лечени€:
    • ѕолучено карантинов: 5
    • ќбработано файлов: 30
    • ¬ ходе лечени€ обнаружены вредоносные программы:
      1. c:\\recycler\\s-1-5-21-57989841-1343024091-839522115-1003\\dc16.exe - Trojan-Dropper.Win32.Agent.bzd (DrWEB: BackDoor.Bulknet.71)
      2. c:\\system volume information\\_restore{9c27793b-3be3-4e5b-9711-8044f6af738d}\\rp1\\a0006266.sys - Rootkit.Win32.Agent.it (DrWEB: Trojan.NtRootKit.371)
      3. c:\\windows\\system32\\appcert\\wnl32.dll - Trojan-Downloader.Win32.Agent.dng (DrWEB: Trojan.DownLoader.3585
      4. c:\\windows\\system32\\drivers\\symavc32.sys - Rootkit.Win32.Agent.it (DrWEB: Trojan.NtRootKit.371)
      5. c:\\windows\\system32\\drivers\\xbq26.sys - Rootkit.Win32.Agent.it (DrWEB: Trojan.NtRootKit.371)
      6. c:\\windows\\system32\\instcat.dll - Email-Worm.Win32.Locksky.bh (DrWEB: Trojan.Proxy.1870)


  • ”важаемый(а€) Alexey_K1, наши специалисты оказали ¬ам всю возможную помощь по вашему обращению.

    ¬ цел€х поддержани€ безопасности вашего компьютера насто€тельно рекомендуем:


    Ќадеемс€ больше никогда не увидеть ваш компьютер зараженным!

    ≈сли ¬ас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • ѕрисоедин€йтесь к нам в соцсет€х!

    ћы делаем все возможное, чтобы помогать люд€м в защите и лечении компьютеров.

    ѕохожие темы

    1. «араза
      ќт Vortex1337 в разделе ѕомогите!
      ќтветов: 4
      ѕоследнее сообщение: 25.04.2009, 18:07
    2. «араза
      ќт joniscoolkz в разделе ѕомогите!
      ќтветов: 9
      ѕоследнее сообщение: 22.02.2009, 02:16
    3. «араза
      ќт kservice в разделе ѕомогите!
      ќтветов: 36
      ѕоследнее сообщение: 22.02.2009, 01:40
    4. ќтветов: 21
      ѕоследнее сообщение: 06.02.2009, 16:02
    5. «араза
      ќт billyg в разделе ѕомогите!
      ќтветов: 1
      ѕоследнее сообщение: 02.09.2007, 21:54

    —вернуть/–азвернуть ¬аши права в разделе

    • ¬ы не можете создавать новые темы
    • ¬ы не можете отвечать в темах
    • ¬ы не можете прикрепл€ть вложени€
    • ¬ы не можете редактировать свои сообщени€
    •  
    Page generated in 0.00427 seconds with 22 queries