Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 27.

winlogon (заявка № 60696)

  1. #1
    Junior Member Репутация
    Регистрация
    19.11.2009
    Сообщений
    15
    Вес репутации
    26

    Exclamation winlogon

    winlogon.exe грузит проц по полной, иногда вместо него так же начинает userinit.exe грузить.
    Еще KVRT нашел трояна в фаилах mssfc.dll, sfcfiles.dll, sfcfiles.dat, вылечить не смог, удалять я не рискнул
    Последний раз редактировалось AzraelXI; 21.11.2009 в 15:51.

  2. Реклама
     

  3. #2
    Junior Member Репутация
    Регистрация
    19.11.2009
    Сообщений
    15
    Вес репутации
    26
    Че риал никто помочь не может?

  4. #3
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,466
    Вес репутации
    729
    Поищите файлы с помощью AVZ bntr и norton2009Reset и пришлите их по правилам, упаковав в архив с паролем virus и закачав по красной ссылке вверху темы. Далее:

    Закройте/выгрузите все программы кроме AVZ и Internet Explorer.

    - Отключите ПК от интернета/локалки
    - Отключите Антивирус и Файрвол.
    - Отключите Системное восстановление.

    В HiJackThis пофиксите:

    Код:
    F2 - REG:system.ini: Shell=
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
    O4 - S-1-5-18 Startup: is-FN8UA.lnk = ? (User 'SYSTEM')
    O4 - .DEFAULT Startup: is-FN8UA.lnk = ? (User 'Default user')

    В AVZ выполните скрипт:

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Program Files\Norton2009Reset.exe','');
     QuarantineFile('C:\Program Files\AskBarDis\bar\bin\askBar.dll','');
     QuarantineFile('.bntr','');
     QuarantineFile('.norton2009Reset','');
     QuarantineFile('C:\Program Files\Stardock\Object Desktop\WindowBlinds\wblind.dll','');
     DeleteService('.bntr');
     DeleteService('.norton2009Reset');
     DelBHO('{201f27d4-3704-41d6-89c1-aa35e39143ed}');
     DelBHO('{3041d03e-fd4b-44e0-b742-2d9b88305f98}');
     DeleteFile('C:\Program Files\Norton2009Reset.exe');
     DeleteFile('C:\Program Files\AskBarDis\bar\bin\askBar.dll');
     DeleteFile('.bntr');
     DeleteFile('.norton2009Reset');
    BC_ImportAll;
    ExecuteSysClean;
     BC_DeleteSvc('.norton2009Reset');
     BC_DeleteSvc('.bntr');
    BC_Activate;
    ExecuteRepair(16);
    ExecuteWizard('TSW',3,3,true);
    SetAVZPMStatus(True);
    RebootWindows(true);
    end.
    После перезагрузки

    Код:
    begin 
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.

    Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы
    Сделайте новые логи.

  5. #4
    Junior Member Репутация
    Регистрация
    19.11.2009
    Сообщений
    15
    Вес репутации
    26
    Спасибо, похоже проблема решилась
    Последний раз редактировалось AzraelXI; 21.11.2009 в 15:51.

  6. #5
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,466
    Вес репутации
    729
    В AVZ выполните скрипт:

    Код:
    begin
    ExecuteWizard('TSW',3,3,true);
     RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
    RebootWindows(true);
    end.
    Карантин хотелось бы от вас получить.

  7. #6
    Junior Member Репутация
    Регистрация
    19.11.2009
    Сообщений
    15
    Вес репутации
    26
    отправил

    Добавлено через 10 минут

    Рано радовался, после скрипта комп перезагрузился и winlogon.exe опять продолжает в том же духе
    Последний раз редактировалось AzraelXI; 20.11.2009 в 02:56. Причина: Добавлено

  8. #7
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Значит, надо заново логи делать. Вполне возможно, что опять заразились.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  9. #8
    Junior Member Репутация
    Регистрация
    19.11.2009
    Сообщений
    15
    Вес репутации
    26
    Раньше незамечал, открыто 6 процесов svchost.exe ссылающихся поочередно
    svchost.exe -> services.exe -> winlogon.exe -> smss.exe

    вот новые логи
    Последний раз редактировалось AzraelXI; 21.11.2009 в 15:51.

  10. #9
    Junior Member Репутация
    Регистрация
    19.11.2009
    Сообщений
    15
    Вес репутации
    26
    Ауууу? Ктонибудь? help!

  11. #10
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,466
    Вес репутации
    729
    В AVZ выполните скрипт:

    Код:
    begin
    SetAVZGuardStatus(True);
    DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
     QuarantineFile('C:\Program Files\CyberMama\compadvctrl.exe','');
    BC_ImportQuarantineList;
    BC_Activate;
    ExecuteWizard('TSW',3,3,true);
    RebootWindows(true);
    end.
    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
    Сделайте лог Gmer и прикрепите его к сообщению.

  12. #11
    Junior Member Репутация
    Регистрация
    19.11.2009
    Сообщений
    15
    Вес репутации
    26
    Тут еще после выполнения предыдущего скрипта появилось какое то "неизвестное устройство". Все что я нашел о нем
    Код экземпляра устроиства - ROOT\LEGACY_UZM3MTQ4\0000
    флаги Devnode -
    DN_ROOT_ENUMERATED
    DN_HAS_PROBLEM
    DN_DISABLEABLE
    DN_NT_ENUMERATOR
    DN_NT_DRIVER
    Вложения Вложения
    • Тип файла: log gmer.log (2.1 Кб, 4 просмотров)

  13. #12
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,466
    Вес репутации
    729
    Неизвестное устройство удалите. В gmer полное сканирование сделали? Лог какой то "куцый".

  14. #13
    Junior Member Репутация
    Регистрация
    19.11.2009
    Сообщений
    15
    Вес репутации
    26
    Цитата Сообщение от миднайт Посмотреть сообщение
    Неизвестное устройство удалите. В gmer полное сканирование сделали? Лог какой то "куцый".
    По ссылке было написано оставить галочку только на system. а как надо?

    Trojan Remover теперь подозревает этот процес
    C:\WINDOWS\system32\Drivers\utm3mtq4.sys
    HKLM\SYSTEM\CurrentControlSet\Services\utm3mtq4

  15. #14
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Никита Соловьев
    Регистрация
    15.02.2009
    Сообщений
    12,443
    Вес репутации
    905
    По ссылке было написано оставить галочку только на system. а как надо?
    После быстрой проверки нажать кнопку Scan

    Trojan Remover теперь подозревает этот процес
    C:\WINDOWS\system32\Drivers\utm3mtq4.sys
    HKLM\SYSTEM\CurrentControlSet\Services\utm3mtq4
    Это от AVZ. В правилах написано, что перед лечением необходимо отключить все защитное ПО!

  16. #15
    Junior Member Репутация
    Регистрация
    19.11.2009
    Сообщений
    15
    Вес репутации
    26
    Цитата Сообщение от Venus Doom Посмотреть сообщение
    Это от AVZ. В правилах написано, что перед лечением необходимо отключить все защитное ПО!
    Так оно отключено, просто сканирует систему после перезагрузки Fast scan и отключается

  17. #16
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Никита Соловьев
    Регистрация
    15.02.2009
    Сообщений
    12,443
    Вес репутации
    905
    Хорошо. Готовьте лог

  18. #17
    Junior Member Репутация
    Регистрация
    19.11.2009
    Сообщений
    15
    Вес репутации
    26
    вот
    Вложения Вложения
    • Тип файла: log gmer.log (277.0 Кб, 6 просмотров)

  19. #18
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.05.2009
    Сообщений
    3,677
    Вес репутации
    195
    В логе чисто.

  20. #19
    Junior Member Репутация
    Регистрация
    19.11.2009
    Сообщений
    15
    Вес репутации
    26
    Чтож этот winlogon никак не успокоится Больше нет вариантов?

  21. #20
    Junior Member Репутация
    Регистрация
    19.11.2009
    Сообщений
    15
    Вес репутации
    26
    Проверил Process Monitor'ом, вот логи может глянете?
    Вложения Вложения
    • Тип файла: zip log.zip (630.3 Кб, 4 просмотров)

  • Уважаемый(ая) AzraelXI, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Похожие темы

    1. winlogon.exe
      От Grime в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 20.11.2010, 20:37
    2. winlogon.exe и BN2.tmp
      От lore в разделе Помогите!
      Ответов: 22
      Последнее сообщение: 22.02.2009, 05:52
    3. WINLOGON, rar.exe и все, все, все
      От FireBall в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 22.02.2009, 01:46
    4. Ответов: 21
      Последнее сообщение: 06.02.2009, 16:02
    5. winlogon.exe
      От Webnek в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 13.06.2008, 12:43

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00980 seconds with 23 queries