-
Junior Member
- Вес репутации
- 61
AVZ убила мой виндоус
Люди! Срочно! Что делать? Запустил AVZ на полную проверку, в журнале обнаружил 2 подозрительных файла, один из которых точно не относится к вредоносному ПО, а второй вызвал у меня подозрение и я его удалил, после чего мой комп не грузится (появляется BSOD и ошибка STOP: c000021a). В папке BackUp находится файлик tsw.zbk, дата создания которого совпадает с датой удаления файла, из чего я делаю вывод, что из него можно как-то восстановить этот удалённый файл. Но как это сделать?
Очень прошу помочь! Заранее благодарен!!!
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
какое имя у файла, который Вы удалили, случайно не такого примерно вида base...32.dll ?
Последний раз редактировалось kps; 24.06.2008 в 18:07.
-
-
Junior Member
- Вес репутации
- 61
Точного имени я не помню, это был exe файл, имя начиналось с w...
Добавлено через 40 секунд
он лежал в system32
Добавлено через 4 минуты
ещё вспомнил: он про этот файл написал что-то типа подозрение Опасно - обработчик процесса winlogon.exe (но имя файла другое)
Последний раз редактировалось graf_feoktistov; 24.06.2008 в 17:53.
Причина: Добавлено
-
Попробуйте так:
Загрузитесь с загрузочного CD, например BartPE, там
1. Запустите regedit и выделите раздел HKEY_USERS.
2. Выберите в меню программы File - Load Hive (Файл - Загрузить куст) и перейдите к папке, где находится реестр вашей Windows (обычно C:\Windows\System32\Config).
3. Выделите файл SOFTWARE без расширения и нажмите Open (Открыть).
4. Введите имя для раздела, который вы загрузили, например, MyHive.
Теперь, если к примеру вам нужен параметр
HKLM\SoftWare\Microsoft\Windows NT\Winlogon\Userinit -
это будет:
HKEY_USERS\MyHive\Microsoft\Windows NT\Winlogon\Userinit
Вам нужно найти ключ HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\winlogon.exe и удалить ключ winlogon.exe
Важный момент: закончив редактирование, раздел обязательно нужно выгрузить. Для этого выделите ветку MyHive и выберите в меню программы File - Unload Hive (Файл - Выгрузить куст).
-
-
Junior Member
- Вес репутации
- 61
Проделал 4 пункта. Результат - указанных в Вашем сообщении ключей реестра нет. winlogon.exe встречается только в следующих:
1. HKEY_USERS\MyHive\ControlSet001\Control\Nls\MUILan guages\RCV2\winlogon.exe
2. HKEY_USERS\MyHive\ControlSet001\Control\Terminal Server\SysProcs
3. HKEY_USERS\MyHive\ControlSet001\Services\Eventlog\ Application\Autochk\Winlogon
4. HKEY_USERS\MyHive\ControlSet002\Control\Nls\MUILan guages\RCV2\winlogon.exe
5. HKEY_USERS\MyHive\ControlSet002\Control\Terminal Server\SysProcs
6. HKEY_USERS\MyHive\ControlSet002\Services\Eventlog\ Application\Autochk\Winlogon
Добавлено через 8 минут
Сорри! Я от волнения вместо Software подгрузил system!!! Продолжаю работать!
А там я вижу имя файла, который я удалил!!! Это wlinject.exe !!!
Последний раз редактировалось graf_feoktistov; 24.06.2008 в 18:37.
Причина: Добавлено
-
Сообщение от
graf_feoktistov
Сорри! Я от волнения вместо Software подгрузил system!!! Продолжаю работать!
А там я вижу имя файла, который я удалил!!! Это wlinject.exe !!!
Вывод - никогда не нужно вручную удалять файлы, назначение которых непонятно. Это даже в логе AVZ прописано, как вердикт ...
Теперь по сути:
1. tsw.zbk - это откат для системы устранения проблем, удаленные файлы с его помощью не восстановить
2. Проводилась ли эвристическая чистка при удалении файла ? (AVZ ее запрашивает)
3. Удалялось ли что-то еще кроме этого файла ?
4. Cистема грузится в защищенном режиме или указанная ошибка повторяется ?
5. Найденные следы стертого файла в реестре - что за ключи, где он прописан и т.п. ?
-
-
Junior Member
- Вес репутации
- 61
С выводом полностью согласен... Ну ламер я, что уж поделать...
1. Понял, плохо...
2. Эвристическая чистка проводилась.
3. Нет. С помощью AVZ ничего больше не удалялось, а вообще за 10 минут до этого я удалил Symantec Antivirus.
4. Безопасный режим не грузится. Ошибка та же.
5. Имя этого файла я нашёл в ключе HKEY_USERS\MyHive\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\winlogon.exe
Добавлено через 2 минуты
Да, забыл сказать. Гуглением я выяснил, что этот файл относится к ViPNet... Короче, какой-то фаеравольной программулине, которая нужна для работы банк-клиента. Собственно поэтому мне теперь нужно восстановить этот файл... Блин, во попал...
Последний раз редактировалось graf_feoktistov; 24.06.2008 в 18:59.
Причина: Добавлено
-
Ну Вы мои инструкции выполнили, удалили указанный ключ winlogon.exe? Теперь система грузится?
-
-
Junior Member
- Вес репутации
- 61
Нет, до конца Ваши инструкции не выполнил, т.к. эта запись в реестре должна быть, оставалось только вернуть файлик на место...
НО Вам ОГРОМНОЕ человеческое спасибо за помощь, так как я даже сомневался с чего мне начать решать эту проблему. Файлик восстановил с помощью GetDataBack, воткнул его на место и теперь всё работает!!!
Ещё раз СПАСИБО!!! Чтобы я без Вас делал...
Добавлено через 6 минут
А Олегу тоже громаднейшее спасибо за утилиту AVZ и просьба: внесите плиз этот долбаный файлик wlinject.exe в список "доброкачественных", чтобы AVZшка на него больше не ругалась...
Последний раз редактировалось graf_feoktistov; 24.06.2008 в 20:45.
Причина: Добавлено
-
Если файл полезный, то запись должна быть. Если файл зловред (обычно, у winlogon.exe нет отладчиков), то записи быть не должно.
-
-
Сообщение от
graf_feoktistov
Нет, до конца Ваши инструкции не выполнил, т.к. эта запись в реестре должна быть, оставалось только вернуть файлик на место...
НО Вам ОГРОМНОЕ человеческое спасибо за помощь, так как я даже сомневался с чего мне начать решать эту проблему. Файлик восстановил с помощью GetDataBack, воткнул его на место и теперь всё работает!!!
Ещё раз СПАСИБО!!! Чтобы я без Вас делал...
Добавлено через 6 минут
А Олегу тоже громаднейшее спасибо за утилиту AVZ и просьба: внесите плиз этот долбаный файлик wlinject.exe в список "доброкачественных", чтобы AVZшка на него больше не ругалась...
Хорошо то, что хорошо кончается ... Файл можно внести в базу чистых, но для этого нужен см файл + логи по правилам раздела "Помогите" с того ПК, где установлена эта программа - чтобы посмотреть, как он там подозревается и где.
-
-
Сообщение от
Зайцев Олег
Хорошо то, что хорошо кончается ... Файл можно внести в базу чистых, но для этого нужен см файл + логи по правилам раздела "Помогите" с того ПК, где установлена эта программа - чтобы посмотреть, как он там подозревается и где.
Судя по посту номер 3, файл подозревался при эвристической проверке системы с формулировкой "отладчик процесса winlogon.exe".
-
-
Угу,такой лог могу предоставить,надо только к Маме на работу добраться
-
-
Junior Member
- Вес репутации
- 61
Сообщение от
Зайцев Олег
Хорошо то, что хорошо кончается ... Файл можно внести в базу чистых, но для этого нужен см файл + логи по правилам раздела "Помогите" с того ПК, где установлена эта программа - чтобы посмотреть, как он там подозревается и где.
Если Гриша не успеет до пятницы выложить логи, то я постараюсь это сделать.
-
Junior Member
- Вес репутации
- 61
Выкладываю логи и сам файл.
Я не ожидал, что AVZ так ругается на бухгалтерский софт! И 1С ей не нравится, и банк-клиент, и софт от ИБП... Кошмар...
Последний раз редактировалось graf_feoktistov; 25.01.2010 в 21:29.
-
Выполнить скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('xosqzkn.exe','');
QuarantineFile('autorun.bat','');
BC_ImportAll;
BC_Activate;
end.
Загрузить карантин.
Что-то у Вас маскируется Надо установить AVZPM, перезагрузиться и сделать новые логи.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 61
Павел, простите, а Вы читали предыдущие посты? Проблема-то была не в вирусах, а в том, что AVZ удалила файлик, который нужен для работы ViPNet клиента, и теперь я выложил этот файлик и логи, чтобы Олег внёс его в список исключений.
Кстати, карантин после выполнения скрипта сбора неопознанных и подозрительных файлов весит в архиве 35 Мб. Как же я его сюда выложу?
Кстати, может ViPNet клиент как раз и маскируется? Или софтинка от ключа 1С...
-
Ну проверить-то файлы все-равно можно, если Вы хотите. Особенно xosqzkn.exe - Вам известно, что это?
-
-
Junior Member
- Вес репутации
- 61
Ну по поводу проверки - я конечно только ЗА, только реально как мне 35 Мб сюда прогрузить? Может на sendspace, а сюда ссылочку?
По поводу xosqzkn.exe - пока неизвестно, посмотрю во вторник...
-
Зачем Вам столько нам присылать. Нас интересуют файлы xosqzkn.exe и autorun.bat. Поищите их в AVZ - Сервис - Поиск файлов на диске, если найдете, скопируйте их в карантин и пришлите только их согласно приложению 3 правил сюда:
http://virusinfo.info/upload_virus.php?tid=25273
-