Показано с 1 по 19 из 19.

зараза в winlogon.exe (заявка № 13317)

  1. #1
    Junior Member Репутация
    Регистрация
    18.10.2007
    Сообщений
    10
    Вес репутации
    61

    Exclamation зараза в winlogon.exe

    Здравствуйте!
    Вот столкнулся с такой дрянью... в сейф моде вычистить с помощью AVZ не удается прикрепляю логи
    если потребуется могу и вирусы
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    1. Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Windows\System32\Drivers\Xbq26.sys','');
     DeleteFile('C:\Windows\System32\Drivers\Xbq26.sys');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    2. Сделайте дополнительный лог в безопасном режиме:
    http://virusinfo.info/showthread.php?t=10387
    и лог HijackThis.
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    18.10.2007
    Сообщений
    10
    Вес репутации
    61
    сделал все как просили
    1. AVZ/Файл/Стандартные скрипты - отметить #1 - Выполнить результат тут avz_log.txt
    2. Файл/Исследование системы - переключить "Только активные службы и драйверы" на "Все службы и драйверы" -Пуск/Сохранить протокол результат тут avz_sysinfo.zip
    ну и хайджкек
    Вложения Вложения

  5. #4
    Junior Member Репутация
    Регистрация
    18.10.2007
    Сообщений
    10
    Вес репутации
    61
    заметил такую тонкость грузится только в safe mode с сетевыми драйверами
    при этом в момент загрузки пишет нажмите ESC чтоб не загружать драйвер UP55bus.sys, если отказаться(тоесть не грузить драйвер этот) то система перед окном входа уходит в ребут

    Добавлено через 8 минут

    и еще пробовал восстановить систему с помощью sfc /scannow в логах пишет что нашел испоренные файлы без цифровой подписи

    Тип события: Уведомление
    Источник события: Windows File Protection
    Категория события: Отсутствует
    Код события: 64020
    Дата: 17.10.2007
    Время: 1:13:11
    Пользователь: Н/Д
    Компьютер: МАСИМКА
    Описание:
    Защита файлов Windows при сканировании обнаружила, что системный файл c:\windows\system32\photowiz.dll имеет неправильную подпись. Этот файл восстановлен до исходной версии для обеспечения стабильности системы. Версия системного файла 5.1.2600.2180.
    Тип события: Уведомление
    Источник события: Windows File Protection
    Категория события: Отсутствует
    Код события: 64004
    Дата: 17.10.2007
    Время: 1:01:25
    Пользователь: Н/Д
    Компьютер: МАСИМКА
    Описание:
    Не удалось восстановить исходную, правильную версию защищенного системного файла c:\windows\system32\winlogon.exe. Номер версии неправильного файла 5.1.2600.2180 Конкретный код ошибки: 0x800b0100 [В этом объекте нет подписи.
    ].
    Тип события: Уведомление
    Источник события: Windows File Protection
    Категория события: Отсутствует
    Код события: 64020
    Дата: 17.10.2007
    Время: 1:01:24
    Пользователь: Н/Д
    Компьютер: МАСИМКА
    Описание:
    Защита файлов Windows при сканировании обнаружила, что системный файл c:\windows\system32\winlogon.exe имеет неправильную подпись. Этот файл восстановлен до исходной версии для обеспечения стабильности системы. Версия системного файла 5.1.2600.2180.
    Тип события: Уведомление
    Источник события: Windows File Protection
    Категория события: Отсутствует
    Код события: 64004
    Дата: 17.10.2007
    Время: 1:12:32
    Пользователь: Н/Д
    Компьютер: МАСИМКА
    Описание:
    Не удалось восстановить исходную, правильную версию защищенного системного файла c:\windows\system32\ntsd.exe. Номер версии неправильного файла 5.1.2600.0 Конкретный код ошибки: 0x800b0100 [В этом объекте нет подписи.
    ].
    Добавлено через 4 минуты

    кстате очень похожий случай
    http://virusinfo.info/showthread.php?t=13321
    в этой теме токо дублер winlogon.exe в папке пользователя TEMP я прибил
    Последний раз редактировалось Alexey_K1; 18.10.2007 в 13:20. Причина: Добавлено

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    пофиксите ...
    Код:
    O20 - Winlogon Notify: €ђ - €ђ (file missing)
    O20 - Winlogon Notify: АР - АР (file missing)
    O20 - Winlogon Notify:  ИШ -  ИШ (file missing)
    O20 - Winlogon Notify: (Ра - (Ра (file missing)
    O20 - Winlogon Notify: @иш - @иш (file missing)
    O20 - Winlogon Notify: instcat - C:\WINDOWS\SYSTEM32\instcat.dll
    O20 - Winlogon Notify: instcat- - C:\WINDOWS\SYSTEM32\instcat.dll
    O20 - Winlogon Notify: Pш - Pш (file missing)
    O20 - Winlogon Notify: X - X (file missing)
    O20 - Winlogon Notify: ` - ` (file missing)
    O20 - Winlogon Notify: * ( - * ( (file missing)
    O20 - Winlogon Notify: р˜Ё - р˜Ё (file missing)
    O20 - Winlogon Notify: ш*° - ш*° (file missing)
    выполните скрипт....
    Код:
    begin
    SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('instcat.dll','');
      QuarantineFile('System32\DRIVERS\smtpdrv.sys','');
     QuarantineFile('\??\C:\WINDOWS\system32\poof','');
     QuarantineFile('\??\C:\WINDOWS\system32\kprof','');
     DeleteFile('\??\C:\WINDOWS\system32\kprof');
     DeleteFile('\??\C:\WINDOWS\system32\poof');
     DeleteFile('System32\DRIVERS\smtpdrv.sys');
     DeleteFile('C:\Windows\System32\Drivers\Xbq26.sys');
     DeleteFile('Xbq26.sys');
     DeleteFile('instcat.dll');
     BC_ImportDeletedList;
     BC_DeleteSvc('kprof');
     BC_DeleteSvc('poof');
     BC_DeleteSvc('smtpdr');
      BC_DeleteSvc('Xbq26');
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    повторите логи...
    Последний раз редактировалось V_Bond; 18.10.2007 в 16:20.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Выполните скрипт:
    Код:
    begin
    BC_QrFile('C:\WINDOWS\system32\Drivers\ippflt.sys');
    BC_QrFile('C:\WINDOWS\system32\Drivers\System.sys');
    BC_QrFile('C:\WINDOWS\system32\System.sys');
    BC_QrFile('C:\WINDOWS\System.sys');
    BC_QrFile('System.sys');
    BC_DeleteSvc('kprof');
    BC_DeleteSvc('poof');
    BC_DeleteSvc('smtpdrv');
    BC_DeleteSvc('Xbq26');
    BC_Activate;
    RebootWindows(true);
    end.
    Пришлите карантин по правилам.
    I am not young enough to know everything...

  8. #7
    Junior Member Репутация
    Регистрация
    18.10.2007
    Сообщений
    10
    Вес репутации
    61
    проделал и скрипт и вот новые логи
    и карантин послал
    Вложения Вложения

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    DeleteFile('C:\WINDOWS\system32\AppCert\wsil32.dll');
    DeleteFile('C:\WINDOWS\system32\AppCert\wnl32.dll');
    DeleteFile('C:\WINDOWS\system32\Drivers\ippflt.sys');
    DeleteFile('C:\WINDOWS\system32\instcat.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Пофиксите в HijackThis:
    Код:
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://evmhedf.footchild.cn/?262495014733
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://evmhedf.footchild.cn/?262495014733
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://evmhedf.footchild.cn/?262495014733
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://evmhedf.footchild.cn/?262495014733
    R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll (file missing)
    O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll (file missing)
    O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\2.bin\MWSBAR.DLL (file missing)
    O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll (file missing)
    O3 - Toolbar: My Web Search - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\2.bin\MWSBAR.DLL (file missing)
    O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZN
    O20 - Winlogon Notify: 8ар - 8ар (file missing)
    O20 - Winlogon Notify: instcat - C:\WINDOWS\SYSTEM32\instcat.dll
    O20 - Winlogon Notify: рЁ - рЁ (file missing)
    Сделайте новые логи по правилам + дополнительный в безопасном режиме.

    Добавлено через 10 минут

    Xbq26.sys - Rootkit.Win32.Agent.it
    instcat.dll - Email-Worm.Win32.Locksky.bh
    wnl32.dll - Trojan-Downloader.Win32.Agent.dng
    + еще пара свежаков, потом напишу названия...

    Неуловимый system.sys остался. Когда будете делать доп. лог, после запуска стандартного скрипта #1 (антируткит) попробуйте поискать system.sys через Сервис - Поиск файлов на диске. Если найдется - поместите в карантин и пришлите по правилам.
    Последний раз редактировалось Bratez; 18.10.2007 в 15:09. Причина: Добавлено
    I am not young enough to know everything...

  10. #9
    Junior Member Репутация
    Регистрация
    18.10.2007
    Сообщений
    10
    Вес репутации
    61
    Сделал в Безопасном режиме доп логи.
    ЗЫ не удаляются эти файлы, по последнему скрипту, я его повторил после перезагрузки, он опять написал, что они есть что удалять.. загружаюсь только в безопасном режиме с сетевыми драйверами (в просто Безопасный режим не грузится) при загрузке каждый раз спрашивает загрузить драйвер Up55Bus.sys если отказать то тоже не грузится винды
    Вложения Вложения

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Судя по этим логам, скрипт отработал успешно.
    Ждем логи AVZ в нормальном режиме (п.8-10 правил).
    Что с поиском system.sys?
    I am not young enough to know everything...

  12. #11
    Junior Member Репутация
    Регистрация
    18.10.2007
    Сообщений
    10
    Вес репутации
    61
    system.sys не нашел не в безопасном не в нормальном режиме после запуска 1 скрипта(о\логи отработки первых скриптов прилагаю)

    Ждем логи AVZ в нормальном режиме прилагаю также отправляю вам вирусы которые сам с архивировал по правилам
    Вложения Вложения

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    1. UP55 это не вирус, это драйвер от какого-то виртуальника (DT, Alcohol и т.п.).
    2. Правила вы похоже читали по диагонали, перечитайте упомянутые п.8-10 (самый первый лог таки правильно был сделан!).
    3. Выполните скрипт в AVZ:
    Код:
    begin
    ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\system32\DRIVERS\nwrdr.sys','');
    BC_ImportQuarantineList;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Если что-то попадет в карантин - пришлите.
    I am not young enough to know everything...

  14. #13
    Junior Member Репутация
    Регистрация
    18.10.2007
    Сообщений
    10
    Вес репутации
    61
    прошу простить за неправильные логи...
    вот вроде по скрипту сделал и карантин прицепил
    Вложения Вложения
    Последний раз редактировалось Alexey_K1; 19.10.2007 в 11:25.

  15. #14
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    уберите карантин из темы ...
    C:\WINDOWS\system32\drivers\symavc32.sys Rootkit.Win32.Agent.it
    отключите восстановление системы....
    очистите корзину ....
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFile('C:\WINDOWS\system32\drivers\symavc32.sys ');
     BC_ImportDeletedList;
     BC_DeleteSvc('symavc32');
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    C:\WINDOWS\system32\DRIVERS\nwrdr.sys поищите через AVZ-сервис поиск файлов на диске ...
    если найдется пришлите по правилам...
    повторите логи...

  16. #15
    Junior Member Репутация
    Регистрация
    18.10.2007
    Сообщений
    10
    Вес репутации
    61
    странно восстановление отключал сразу как оно включилось не понятно
    корзину очистил
    скрипт выполнил
    C:\WINDOWS\system32\DRIVERS\nwrdr.sys поищите через AVZ-сервис поиск файлов на диске ...
    файл нашелся в 2х папках еще в DllCache
    делаю добавить к карантину... не добавляет карантин пуст... хотя файл в папке С:\WINDOWS\system32\DRIVERS\ вижу и могу его с архивировать

    логи ща будут

  17. #16
    Junior Member Репутация
    Регистрация
    18.10.2007
    Сообщений
    10
    Вес репутации
    61
    логи
    также сделал еще в безопасном режиме иследование сисетмы
    Вложения Вложения
    Последний раз редактировалось Shu_b; 19.10.2007 в 16:12.

  18. #17
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    C:\WINDOWS\system32\DRIVERS\nwrdr.sys - попробуйте переименовать заархивировать с паролем и прислать по правилам ....

  19. #18
    Junior Member Репутация
    Регистрация
    18.10.2007
    Сообщений
    10
    Вес репутации
    61
    Цитата Сообщение от V_Bond Посмотреть сообщение
    C:\WINDOWS\system32\DRIVERS\nwrdr.sys - попробуйте переименовать заархивировать с паролем и прислать по правилам ....
    а переименовывать для чего?

    Добавлено через 40 минут

    прикрепил
    Последний раз редактировалось Alexey_K1; 19.10.2007 в 14:50. Причина: Добавлено

  20. #19
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 5
    • Обработано файлов: 30
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\recycler\\s-1-5-21-57989841-1343024091-839522115-1003\\dc16.exe - Trojan-Dropper.Win32.Agent.bzd (DrWEB: BackDoor.Bulknet.71)
      2. c:\\system volume information\\_restore{9c27793b-3be3-4e5b-9711-8044f6af738d}\\rp1\\a0006266.sys - Rootkit.Win32.Agent.it (DrWEB: Trojan.NtRootKit.371)
      3. c:\\windows\\system32\\appcert\\wnl32.dll - Trojan-Downloader.Win32.Agent.dng (DrWEB: Trojan.DownLoader.3585
      4. c:\\windows\\system32\\drivers\\symavc32.sys - Rootkit.Win32.Agent.it (DrWEB: Trojan.NtRootKit.371)
      5. c:\\windows\\system32\\drivers\\xbq26.sys - Rootkit.Win32.Agent.it (DrWEB: Trojan.NtRootKit.371)
      6. c:\\windows\\system32\\instcat.dll - Email-Worm.Win32.Locksky.bh (DrWEB: Trojan.Proxy.1870)


  • Уважаемый(ая) Alexey_K1, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Зараза
      От Vortex1337 в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 25.04.2009, 18:07
    2. Зараза
      От joniscoolkz в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 22.02.2009, 02:16
    3. Зараза
      От kservice в разделе Помогите!
      Ответов: 36
      Последнее сообщение: 22.02.2009, 01:40
    4. Ответов: 21
      Последнее сообщение: 06.02.2009, 16:02
    5. Зараза
      От billyg в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 02.09.2007, 21:54

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01518 seconds with 20 queries