-
Junior Member
- Вес репутации
- 53
Вирус, перезагружающий Windows
Здравствуйте, поймал вирус, который при входе в систему на сером фоне выдает сообщение с требованием активизировать некий Get-Accelerator с помощью отправки СМС-сообщения на номер 44** (сообщение занимает примерно 70% площади экрана). Одновременно включается таймер обратного отсчета, и через 3 минуты происходит принудительная перезагрузка компьютера или появляется синий экран с критической ошибкой системы.
В течение 3-х минут работают все службы системы, кроме доступа в сеть.
Запустил диспетчер задач, проверил на какой процесс ссылается вредоносная программа. Это winlogon.exe. Судя по всему родной, так как поиск находит этот файл только в папке system32 и нигде больше.
Если кто-то сталкивался с подобным вирусом и нашел способ его лечения, помогите, пож-та.
К сожалению, запустить программу, аналогичную AVZ4 и сделать лог не могу, так как нет доступа в инет и времени на сканирование не хватает.
Спасибо.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Обратитесь в раздел "Помогите", перед этим выполнив правила.
Если не можете сделать логи в обычном режиме, то сделайте в безопасном.
-
-
Выполнение через "Пуск"-"выполнить" или в консоли не останавливает обратный отсчет перезагрузки?
The worst foe lies within the self...
-
-
Junior Member
- Вес репутации
- 53
Сообщение от
light59
Обратитесь в раздел
"Помогите", перед этим выполнив
правила.
Если не можете сделать логи в обычном режиме, то сделайте в безопасном.
к сожалению, из безопасного режима этот вирус меня тоже достает
Добавлено через 33 секунды
Сообщение от
Kuzz
Выполнение
через "Пуск"-"выполнить" или в консоли не останавливает обратный отсчет перезагрузки?
спасибо за совет, завтра на работе попробую
Последний раз редактировалось Valdering; 15.10.2009 в 01:14.
Причина: Добавлено
-
Junior Member
- Вес репутации
- 53
Та же проблема.
нет перезагрузку не останавливает.
говорит "что процесс выключения не инициализирован" отменить не возможно
Последний раз редактировалось kuskov; 15.10.2009 в 06:34.
-
Junior Member
- Вес репутации
- 53
и у меня 2 компа подцепили эту гадость. Загрузился с LiveUSB. DrWeb с вчерашними базами его не видит
Эта кака появилась у пользователя без админских прав. А переключиться на админа не даёт - перезагружает сразу.
Щас пробывал тупо подменить winlogon.exe с рабочего компа - безрезультатно.
Ещё интересный факт - в конторе ещё 20 компов, а эта гадость только на тех, где винда английская русифицированная и вроде без второго сервиспака
Последний раз редактировалось 124816; 15.10.2009 в 07:52.
Причина: Добавлено
-
Junior Member
- Вес репутации
- 53
под консолью восстановления
извлек файл winlogon.exe из дистрибутива и заменил файлы в папках system32 и system32\dllcache\
помогло
Добавлено через 19 минут
абалдеть
анализ файла на вирустотале
http://www.virustotal.com/ru/analisi...aca-1255580156
ноль из 40
Последний раз редактировалось kuskov; 15.10.2009 в 08:18.
Причина: Добавлено
-
Junior Member
- Вес репутации
- 53
мда...про dllcache то я и позабыл
заработало всё
обнаружил что winlogon.exe бывают разного размера и это не влияет
-
А патченым винлогоном поделиться сюда?
The worst foe lies within the self...
-
-
Junior Member
- Вес репутации
- 53
пожалуйста
Файл сохранён как 091015_101644_winlogon_4ad6be4cbc6b2.zip
Размер файла 291361
MD5 80e370b23bcc21a3512349c746429d86
-
Сообщение от
kuskov
пожалуйста
Файл сохранён как 091015_101644_winlogon_4ad6be4cbc6b2.zip
Размер файла 291361
MD5 80e370b23bcc21a3512349c746429d86
Файл чистый...
-
-
Junior Member
- Вес репутации
- 53
не могу нечего сказать по этому поводу
вы его сравнивали с рабочим winlogon Home SP1 или проверили антивирусом?
я его копировал с зараженной машины из папки C:\windows\system32\
возможно правильнее было скопировать C:\windows\system32\dllcache\
но тот я увы затер
-
-
-
Junior Member
- Вес репутации
- 53
У меня сложилось впечатление, что зараза считает (пере)загрузки, и по достижения некоторого значения перестает себя проявлять. У меня было, антивирусы его не находят, теперь пропал. Но зараза есть: в system32 есть файл вида "{....UUID....}.dll.
-
Junior Member
- Вес репутации
- 53
У меня такая же проблема а что если этот фаел просто удалить в ручную ? Он будет заново поевляться или это и есть исходник вируса
Добавлено через 1 час 21 минуту
Вобщем удали winlogon,потом заменил его,удалил файл dll ,перезагрузился,опять выходит это окно.Помогите решить проблему,где то находится источник этой проги который запускается автоматом...
Последний раз редактировалось ksserver; 15.10.2009 в 13:54.
Причина: Добавлено
-
The worst foe lies within the self...
-
-
Junior Member
- Вес репутации
- 53
Есть какой-нибудь прогресс? с 10 утра борюсь с этой проблемой, ничего не помогает. В ресстре также ничего подозрительного не обнаружил.
-
Nikash,
Сообщение от
kuskov
под консолью восстановления
извлек файл winlogon.exe из дистрибутива и заменил файлы в папках system32 и system32\dllcache\
помогло
The worst foe lies within the self...
-
-
Junior Member
- Вес репутации
- 53
А если проблема осложняется тем, что комп - ноутбук и родного дистрибутива винды нет?
-
Попробовать сначала взять ф-л из dllcache и положить его в system32
А если не поможет, найти дистрибутив (или чистую систему) с той же версией сервис-пака
The worst foe lies within the self...
-