Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 31.

AVZ убила мой виндоус (заявка № 25273)

  1. #1
    Junior Member Репутация
    Регистрация
    23.10.2007
    Адрес
    Солнцево
    Сообщений
    73
    Вес репутации
    34

    Thumbs up AVZ убила мой виндоус

    Люди! Срочно! Что делать? Запустил AVZ на полную проверку, в журнале обнаружил 2 подозрительных файла, один из которых точно не относится к вредоносному ПО, а второй вызвал у меня подозрение и я его удалил, после чего мой комп не грузится (появляется BSOD и ошибка STOP: c000021a). В папке BackUp находится файлик tsw.zbk, дата создания которого совпадает с датой удаления файла, из чего я делаю вывод, что из него можно как-то восстановить этот удалённый файл. Но как это сделать?
    Очень прошу помочь! Заранее благодарен!!!

  2. Реклама
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1276
    какое имя у файла, который Вы удалили, случайно не такого примерно вида base...32.dll ?
    Последний раз редактировалось kps; 24.06.2008 в 18:07.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  4. #3
    Junior Member Репутация
    Регистрация
    23.10.2007
    Адрес
    Солнцево
    Сообщений
    73
    Вес репутации
    34
    Точного имени я не помню, это был exe файл, имя начиналось с w...

    Добавлено через 40 секунд

    он лежал в system32

    Добавлено через 4 минуты

    ещё вспомнил: он про этот файл написал что-то типа подозрение Опасно - обработчик процесса winlogon.exe (но имя файла другое)
    Последний раз редактировалось graf_feoktistov; 24.06.2008 в 17:53. Причина: Добавлено

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1276
    Попробуйте так:
    Загрузитесь с загрузочного CD, например BartPE, там
    1. Запустите regedit и выделите раздел HKEY_USERS.
    2. Выберите в меню программы File - Load Hive (Файл - Загрузить куст) и перейдите к папке, где находится реестр вашей Windows (обычно C:\Windows\System32\Config).
    3. Выделите файл SOFTWARE без расширения и нажмите Open (Открыть).
    4. Введите имя для раздела, который вы загрузили, например, MyHive.
    Теперь, если к примеру вам нужен параметр
    HKLM\SoftWare\Microsoft\Windows NT\Winlogon\Userinit -
    это будет:
    HKEY_USERS\MyHive\Microsoft\Windows NT\Winlogon\Userinit

    Вам нужно найти ключ HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\winlogon.exe и удалить ключ winlogon.exe

    Важный момент: закончив редактирование, раздел обязательно нужно выгрузить. Для этого выделите ветку MyHive и выберите в меню программы File - Unload Hive (Файл - Выгрузить куст).
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  6. #5
    Junior Member Репутация
    Регистрация
    23.10.2007
    Адрес
    Солнцево
    Сообщений
    73
    Вес репутации
    34
    Проделал 4 пункта. Результат - указанных в Вашем сообщении ключей реестра нет. winlogon.exe встречается только в следующих:
    1. HKEY_USERS\MyHive\ControlSet001\Control\Nls\MUILan guages\RCV2\winlogon.exe
    2. HKEY_USERS\MyHive\ControlSet001\Control\Terminal Server\SysProcs
    3. HKEY_USERS\MyHive\ControlSet001\Services\Eventlog\ Application\Autochk\Winlogon
    4. HKEY_USERS\MyHive\ControlSet002\Control\Nls\MUILan guages\RCV2\winlogon.exe
    5. HKEY_USERS\MyHive\ControlSet002\Control\Terminal Server\SysProcs
    6. HKEY_USERS\MyHive\ControlSet002\Services\Eventlog\ Application\Autochk\Winlogon

    Добавлено через 8 минут

    Сорри! Я от волнения вместо Software подгрузил system!!! Продолжаю работать!
    А там я вижу имя файла, который я удалил!!! Это wlinject.exe !!!
    Последний раз редактировалось graf_feoktistov; 24.06.2008 в 18:37. Причина: Добавлено

  7. #6
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,179
    Вес репутации
    3380
    Цитата Сообщение от graf_feoktistov Посмотреть сообщение
    Сорри! Я от волнения вместо Software подгрузил system!!! Продолжаю работать!
    А там я вижу имя файла, который я удалил!!! Это wlinject.exe !!!
    Вывод - никогда не нужно вручную удалять файлы, назначение которых непонятно. Это даже в логе AVZ прописано, как вердикт ...
    Теперь по сути:
    1. tsw.zbk - это откат для системы устранения проблем, удаленные файлы с его помощью не восстановить
    2. Проводилась ли эвристическая чистка при удалении файла ? (AVZ ее запрашивает)
    3. Удалялось ли что-то еще кроме этого файла ?
    4. Cистема грузится в защищенном режиме или указанная ошибка повторяется ?
    5. Найденные следы стертого файла в реестре - что за ключи, где он прописан и т.п. ?

  8. #7
    Junior Member Репутация
    Регистрация
    23.10.2007
    Адрес
    Солнцево
    Сообщений
    73
    Вес репутации
    34
    С выводом полностью согласен... Ну ламер я, что уж поделать...
    1. Понял, плохо...
    2. Эвристическая чистка проводилась.
    3. Нет. С помощью AVZ ничего больше не удалялось, а вообще за 10 минут до этого я удалил Symantec Antivirus.
    4. Безопасный режим не грузится. Ошибка та же.
    5. Имя этого файла я нашёл в ключе HKEY_USERS\MyHive\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\winlogon.exe

    Добавлено через 2 минуты

    Да, забыл сказать. Гуглением я выяснил, что этот файл относится к ViPNet... Короче, какой-то фаеравольной программулине, которая нужна для работы банк-клиента. Собственно поэтому мне теперь нужно восстановить этот файл... Блин, во попал...
    Последний раз редактировалось graf_feoktistov; 24.06.2008 в 18:59. Причина: Добавлено

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1276
    Ну Вы мои инструкции выполнили, удалили указанный ключ winlogon.exe? Теперь система грузится?
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  10. #9
    Junior Member Репутация
    Регистрация
    23.10.2007
    Адрес
    Солнцево
    Сообщений
    73
    Вес репутации
    34
    Нет, до конца Ваши инструкции не выполнил, т.к. эта запись в реестре должна быть, оставалось только вернуть файлик на место...

    НО Вам ОГРОМНОЕ человеческое спасибо за помощь, так как я даже сомневался с чего мне начать решать эту проблему. Файлик восстановил с помощью GetDataBack, воткнул его на место и теперь всё работает!!!

    Ещё раз СПАСИБО!!! Чтобы я без Вас делал...

    Добавлено через 6 минут

    А Олегу тоже громаднейшее спасибо за утилиту AVZ и просьба: внесите плиз этот долбаный файлик wlinject.exe в список "доброкачественных", чтобы AVZшка на него больше не ругалась...
    Последний раз редактировалось graf_feoktistov; 24.06.2008 в 20:45. Причина: Добавлено

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1276
    Если файл полезный, то запись должна быть. Если файл зловред (обычно, у winlogon.exe нет отладчиков), то записи быть не должно.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  12. #11
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,179
    Вес репутации
    3380
    Цитата Сообщение от graf_feoktistov Посмотреть сообщение
    Нет, до конца Ваши инструкции не выполнил, т.к. эта запись в реестре должна быть, оставалось только вернуть файлик на место...

    НО Вам ОГРОМНОЕ человеческое спасибо за помощь, так как я даже сомневался с чего мне начать решать эту проблему. Файлик восстановил с помощью GetDataBack, воткнул его на место и теперь всё работает!!!

    Ещё раз СПАСИБО!!! Чтобы я без Вас делал...

    Добавлено через 6 минут

    А Олегу тоже громаднейшее спасибо за утилиту AVZ и просьба: внесите плиз этот долбаный файлик wlinject.exe в список "доброкачественных", чтобы AVZшка на него больше не ругалась...
    Хорошо то, что хорошо кончается ... Файл можно внести в базу чистых, но для этого нужен см файл + логи по правилам раздела "Помогите" с того ПК, где установлена эта программа - чтобы посмотреть, как он там подозревается и где.

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1276
    Цитата Сообщение от Зайцев Олег Посмотреть сообщение
    Хорошо то, что хорошо кончается ... Файл можно внести в базу чистых, но для этого нужен см файл + логи по правилам раздела "Помогите" с того ПК, где установлена эта программа - чтобы посмотреть, как он там подозревается и где.
    Судя по посту номер 3, файл подозревался при эвристической проверке системы с формулировкой "отладчик процесса winlogon.exe".
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  14. #13
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1781
    Угу,такой лог могу предоставить,надо только к Маме на работу добраться

  15. #14
    Junior Member Репутация
    Регистрация
    23.10.2007
    Адрес
    Солнцево
    Сообщений
    73
    Вес репутации
    34
    Цитата Сообщение от Зайцев Олег Посмотреть сообщение
    Хорошо то, что хорошо кончается ... Файл можно внести в базу чистых, но для этого нужен см файл + логи по правилам раздела "Помогите" с того ПК, где установлена эта программа - чтобы посмотреть, как он там подозревается и где.
    Если Гриша не успеет до пятницы выложить логи, то я постараюсь это сделать.

  16. #15
    Junior Member Репутация
    Регистрация
    23.10.2007
    Адрес
    Солнцево
    Сообщений
    73
    Вес репутации
    34
    Выкладываю логи и сам файл.
    Я не ожидал, что AVZ так ругается на бухгалтерский софт! И 1С ей не нравится, и банк-клиент, и софт от ИБП... Кошмар...
    Последний раз редактировалось graf_feoktistov; 25.01.2010 в 21:29.

  17. #16
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Выполнить скрипт:

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('xosqzkn.exe','');
     QuarantineFile('autorun.bat','');
    BC_ImportAll;
    BC_Activate;
    end.
    Загрузить карантин.

    Что-то у Вас маскируется Надо установить AVZPM, перезагрузиться и сделать новые логи.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  18. #17
    Junior Member Репутация
    Регистрация
    23.10.2007
    Адрес
    Солнцево
    Сообщений
    73
    Вес репутации
    34
    Павел, простите, а Вы читали предыдущие посты? Проблема-то была не в вирусах, а в том, что AVZ удалила файлик, который нужен для работы ViPNet клиента, и теперь я выложил этот файлик и логи, чтобы Олег внёс его в список исключений.
    Кстати, карантин после выполнения скрипта сбора неопознанных и подозрительных файлов весит в архиве 35 Мб. Как же я его сюда выложу?
    Кстати, может ViPNet клиент как раз и маскируется? Или софтинка от ключа 1С...

  19. #18
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1276
    Ну проверить-то файлы все-равно можно, если Вы хотите. Особенно xosqzkn.exe - Вам известно, что это?
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  20. #19
    Junior Member Репутация
    Регистрация
    23.10.2007
    Адрес
    Солнцево
    Сообщений
    73
    Вес репутации
    34
    Ну по поводу проверки - я конечно только ЗА, только реально как мне 35 Мб сюда прогрузить? Может на sendspace, а сюда ссылочку?
    По поводу xosqzkn.exe - пока неизвестно, посмотрю во вторник...

  21. #20
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1276
    Зачем Вам столько нам присылать. Нас интересуют файлы xosqzkn.exe и autorun.bat. Поищите их в AVZ - Сервис - Поиск файлов на диске, если найдете, скопируйте их в карантин и пришлите только их согласно приложению 3 правил сюда:
    http://virusinfo.info/upload_virus.php?tid=25273
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  • Уважаемый(ая) graf_feoktistov, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Похожие темы

    1. Порнобанер в виндоус
      От welcom в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 07.02.2010, 22:27
    2. Перезагрузка Виндоус
      От UniT.w в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 30.01.2010, 00:44
    3. Виндоус заблокирован!
      От sivcev в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 22.04.2009, 15:24
    4. Виндоус
      От kriket в разделе Microsoft Windows
      Ответов: 2
      Последнее сообщение: 20.08.2007, 16:50
    5. Виндоус
      От kriket в разделе Помогите!
      Ответов: 0
      Последнее сообщение: 20.08.2007, 14:58

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00012 seconds with 22 queries