Показано с 1 по 13 из 13.

winlogon запросил выход в сеть (заявка № 14837)

  1. #1
    Junior Member Репутация
    Регистрация
    03.12.2007
    Сообщений
    7
    Вес репутации
    33

    Thumbs up winlogon запросил выход в сеть

    Началось с того что winlogon полез в инет. C помощью OutPost присек его поползновения, т.к. раньше winlogon в нет не лазил. После решил узнать кто такой этот winlogon и что он забыл в сети. Выяснилось, что это проделки вируса. Засканил копм NODом. NOD говорит что типо троян (имя не помню) и надо его удалять. Удалил. Перезагрузка. Снова троян там же и тотже, плюс startdrv.exe ломится в нет стал за что и получил OutPostом. Почитал форум. Слазил в реестр и удалил startdrv.exe из автозагрузки. Сам файл удалить не удалось т.к. типо занят какой-то программой. Reset. Ищу startdrv, а его типа нету. Снова сканю NODом, блин оказывается startdrv жив по тому же адресу, но для меня уже не видим. Следующий прикол после всех этих манипуляций: запущено ДВА winlogon'а один system другой от моего имени. Тут я уже сдался и решил просить помощи, но перед этим засканил все WEBом и он пришиб еще какого-то трояна. Winlogon теперь один.
    AVZ говорит о руткитах и трояне в родном софте от мышки.

    Дяденьки, помогите понять были-ли пойманы все засланцы или нет. Логи прикладываю.

    Заранее спасибо.
    С уважением, Lechanet
    Вложения Вложения

  2. Реклама
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muzzle
    Регистрация
    07.02.2007
    Адрес
    Владивосток
    Сообщений
    1,068
    Вес репутации
    62
    1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     BC_QrSvc('VHXDNC');
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=14837

    Что из этого вам нужно?остальное пофиксим
    Поиск потенциальных уязвимостей
    >> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
    > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    >> Безопасность: Разрешена отправка приглашений удаленному помошнику
    CureIt похоже справился со своей задачей очень хорошо,авз показывает перехваты от фаервола.

  4. #3
    Junior Member Репутация
    Регистрация
    03.12.2007
    Сообщений
    7
    Вес репутации
    33
    Вот млин, пишется всё одним абзацем, sorry поправить че-то не получается. Карантин выслал. По поводу перехвата клавиатуры- родной софт от логитех отображает нажатие клавишь caps lock и т.п. на экране надписями. Может это как-то облегчит задачу исследования карантина.Хочу спросить1. пофиксить=отключить, если да, то сам поотключаю ненужные службы в диспетчере.2. что перехватывает OutPost или как это узнать?3. по поводу безопасности - у меня через вай-вай КПК к ПК подключается и как раз в гостевом режиме и это не good, сам понимаю, но как сделать good не знаю (случайно не подскажите или дайте ссылочку что можно почитать по этому поводу)4. почитав форум решил сменить IE на Opera (говорят дыр меньше для всяких нехорошестей). Пришел на форум при авторизации мне написали:In order to accept POST request originating from this domain, the admin must add this domain to the whitelist. Где искать этот whitelist? Так что из IE пишу.5 разачарован в NODe- со свежими базами проглядел вирусы, которые сам же и обнаружил при сканировании (чем был занят монитор-модуль не понятно). Понимаю,что панацеи от вирусов нет, и, антивирусы на шаг позади вирусов, но все-таки подскажите достойный антиврь. Раньше AVK использовал, но после появления Noda стал юзать его (типа быстрее, ресурсов меньше ест, но разницы я не заметил). Может зря?Заранее спасибо.С уважением, Lechanet
    Последний раз редактировалось Lechanet; 05.12.2007 в 00:02.

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    1 нет ... службы можно отключить... пуск - панель управления - администрирование службы ..
    2 видно ...
    3 мастер беспроводной сети ...
    4 не понял на какой форум ...
    5 имхо зря http://virusinfo.info/showthread.php?t=14459

  6. #5
    Junior Member Репутация
    Регистрация
    03.12.2007
    Сообщений
    7
    Вес репутации
    33
    Цитата Сообщение от V_Bond Посмотреть сообщение
    1 нет ... службы можно отключить... пуск - панель управления - администрирование службы ..
    2 видно ...
    3 мастер беспроводной сети ...
    4 не понял на какой форум ...
    5 имхо зря http://virusinfo.info/showthread.php?t=14459
    1 что лучше пофиксить или в ручную отключить?
    2 видно где?
    3 будем изучать
    4 Virusinfo/Помогите
    5 понял исправлюсь
    6 Млин, второй ответ одним абзацем,что за фигня? Пришлось буковки р с галочками ручками писать.

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    1 решите что вам нужно напишем скрип ... так быстрее
    2 по драйверам осуществляющим перехваты
    4 странно .... измените настройки узла в опера ...

  8. #7
    Junior Member Репутация
    Регистрация
    03.12.2007
    Сообщений
    7
    Вес репутации
    33
    Скрипт не нужен, отключил в ручную.
    По поводу карантина- вирус или не вирус? AVK ругается- keyloger говорит. Может только удалить.

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    LGMOUSHK.dll -это чистый ...
    VHXDNC.exe -поищите на диске .. еслинайдется пришлите согласно приложения 3 правил ...

  10. #9
    Junior Member Репутация
    Регистрация
    03.12.2007
    Сообщений
    7
    Вес репутации
    33
    Обнаружил службу с именем VHXDNC (локальная, запуск вручную), ссылающуюся на VHXDNC.exe. Самого файла нет.

  11. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    Пуск > Выполнить; вписать sc delete VHXDNC нажать ОК
    лог hijackthis сделайте ....

  12. #11
    Junior Member Репутация
    Регистрация
    03.12.2007
    Сообщений
    7
    Вес репутации
    33
    Вот лог
    Вложения Вложения

  13. #12
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    больше ничего подозрительного не вижу ...

  14. #13
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,557
    Вес репутации
    942

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 2
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) Lechanet, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Ответов: 5
      Последнее сообщение: 31.01.2011, 17:27
    2. Ответов: 5
      Последнее сообщение: 21.10.2009, 16:39
    3. Ответов: 4
      Последнее сообщение: 28.06.2008, 23:18
    4. Winlogon лезет в сеть
      От AleXPander в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 26.06.2008, 04:55
    5. Winlogon лезет в сеть
      От gxoct в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 18.06.2008, 17:39

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01517 seconds with 22 queries