Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 27.

winlogon (заявка № 60696)

  1. #1
    Junior Member Репутация
    Регистрация
    19.11.2009
    Сообщений
    15
    Вес репутации
    53

    Exclamation winlogon

    winlogon.exe грузит проц по полной, иногда вместо него так же начинает userinit.exe грузить.
    Еще KVRT нашел трояна в фаилах mssfc.dll, sfcfiles.dll, sfcfiles.dat, вылечить не смог, удалять я не рискнул
    Последний раз редактировалось AzraelXI; 21.11.2009 в 15:51.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Junior Member Репутация
    Регистрация
    19.11.2009
    Сообщений
    15
    Вес репутации
    53
    Че риал никто помочь не может?

  4. #3
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,618
    Вес репутации
    764
    Поищите файлы с помощью AVZ bntr и norton2009Reset и пришлите их по правилам, упаковав в архив с паролем virus и закачав по красной ссылке вверху темы. Далее:

    Закройте/выгрузите все программы кроме AVZ и Internet Explorer.

    - Отключите ПК от интернета/локалки
    - Отключите Антивирус и Файрвол.
    - Отключите Системное восстановление.

    В HiJackThis пофиксите:

    Код:
    F2 - REG:system.ini: Shell=
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
    O4 - S-1-5-18 Startup: is-FN8UA.lnk = ? (User 'SYSTEM')
    O4 - .DEFAULT Startup: is-FN8UA.lnk = ? (User 'Default user')

    В AVZ выполните скрипт:

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Program Files\Norton2009Reset.exe','');
     QuarantineFile('C:\Program Files\AskBarDis\bar\bin\askBar.dll','');
     QuarantineFile('.bntr','');
     QuarantineFile('.norton2009Reset','');
     QuarantineFile('C:\Program Files\Stardock\Object Desktop\WindowBlinds\wblind.dll','');
     DeleteService('.bntr');
     DeleteService('.norton2009Reset');
     DelBHO('{201f27d4-3704-41d6-89c1-aa35e39143ed}');
     DelBHO('{3041d03e-fd4b-44e0-b742-2d9b88305f98}');
     DeleteFile('C:\Program Files\Norton2009Reset.exe');
     DeleteFile('C:\Program Files\AskBarDis\bar\bin\askBar.dll');
     DeleteFile('.bntr');
     DeleteFile('.norton2009Reset');
    BC_ImportAll;
    ExecuteSysClean;
     BC_DeleteSvc('.norton2009Reset');
     BC_DeleteSvc('.bntr');
    BC_Activate;
    ExecuteRepair(16);
    ExecuteWizard('TSW',3,3,true);
    SetAVZPMStatus(True);
    RebootWindows(true);
    end.
    После перезагрузки

    Код:
    begin 
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.

    Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы
    Сделайте новые логи.

  5. #4
    Junior Member Репутация
    Регистрация
    19.11.2009
    Сообщений
    15
    Вес репутации
    53
    Спасибо, похоже проблема решилась
    Последний раз редактировалось AzraelXI; 21.11.2009 в 15:51.

  6. #5
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,618
    Вес репутации
    764
    В AVZ выполните скрипт:

    Код:
    begin
    ExecuteWizard('TSW',3,3,true);
     RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
    RebootWindows(true);
    end.
    Карантин хотелось бы от вас получить.

  7. #6
    Junior Member Репутация
    Регистрация
    19.11.2009
    Сообщений
    15
    Вес репутации
    53
    отправил

    Добавлено через 10 минут

    Рано радовался, после скрипта комп перезагрузился и winlogon.exe опять продолжает в том же духе
    Последний раз редактировалось AzraelXI; 20.11.2009 в 02:56. Причина: Добавлено

  8. #7
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Значит, надо заново логи делать. Вполне возможно, что опять заразились.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  9. #8
    Junior Member Репутация
    Регистрация
    19.11.2009
    Сообщений
    15
    Вес репутации
    53
    Раньше незамечал, открыто 6 процесов svchost.exe ссылающихся поочередно
    svchost.exe -> services.exe -> winlogon.exe -> smss.exe

    вот новые логи
    Последний раз редактировалось AzraelXI; 21.11.2009 в 15:51.

  10. #9
    Junior Member Репутация
    Регистрация
    19.11.2009
    Сообщений
    15
    Вес репутации
    53
    Ауууу? Ктонибудь? help!

  11. #10
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,618
    Вес репутации
    764
    В AVZ выполните скрипт:

    Код:
    begin
    SetAVZGuardStatus(True);
    DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
     QuarantineFile('C:\Program Files\CyberMama\compadvctrl.exe','');
    BC_ImportQuarantineList;
    BC_Activate;
    ExecuteWizard('TSW',3,3,true);
    RebootWindows(true);
    end.
    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
    Сделайте лог Gmer и прикрепите его к сообщению.

  12. #11
    Junior Member Репутация
    Регистрация
    19.11.2009
    Сообщений
    15
    Вес репутации
    53
    Тут еще после выполнения предыдущего скрипта появилось какое то "неизвестное устройство". Все что я нашел о нем
    Код экземпляра устроиства - ROOT\LEGACY_UZM3MTQ4\0000
    флаги Devnode -
    DN_ROOT_ENUMERATED
    DN_HAS_PROBLEM
    DN_DISABLEABLE
    DN_NT_ENUMERATOR
    DN_NT_DRIVER

  13. #12
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,618
    Вес репутации
    764
    Неизвестное устройство удалите. В gmer полное сканирование сделали? Лог какой то "куцый".

  14. #13
    Junior Member Репутация
    Регистрация
    19.11.2009
    Сообщений
    15
    Вес репутации
    53
    Цитата Сообщение от миднайт Посмотреть сообщение
    Неизвестное устройство удалите. В gmer полное сканирование сделали? Лог какой то "куцый".
    По ссылке было написано оставить галочку только на system. а как надо?

    Trojan Remover теперь подозревает этот процес
    C:\WINDOWS\system32\Drivers\utm3mtq4.sys
    HKLM\SYSTEM\CurrentControlSet\Services\utm3mtq4

  15. #14
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.02.2009
    Сообщений
    13,205
    Вес репутации
    955
    По ссылке было написано оставить галочку только на system. а как надо?
    После быстрой проверки нажать кнопку Scan

    Trojan Remover теперь подозревает этот процес
    C:\WINDOWS\system32\Drivers\utm3mtq4.sys
    HKLM\SYSTEM\CurrentControlSet\Services\utm3mtq4
    Это от AVZ. В правилах написано, что перед лечением необходимо отключить все защитное ПО!

  16. #15
    Junior Member Репутация
    Регистрация
    19.11.2009
    Сообщений
    15
    Вес репутации
    53
    Цитата Сообщение от Venus Doom Посмотреть сообщение
    Это от AVZ. В правилах написано, что перед лечением необходимо отключить все защитное ПО!
    Так оно отключено, просто сканирует систему после перезагрузки Fast scan и отключается

  17. #16
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.02.2009
    Сообщений
    13,205
    Вес репутации
    955
    Хорошо. Готовьте лог

  18. #17
    Junior Member Репутация
    Регистрация
    19.11.2009
    Сообщений
    15
    Вес репутации
    53
    вот
    Вложения Вложения
    • Тип файла: log gmer.log (277.0 Кб, 6 просмотров)

  19. #18
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.05.2009
    Сообщений
    3,677
    Вес репутации
    222
    В логе чисто.

  20. #19
    Junior Member Репутация
    Регистрация
    19.11.2009
    Сообщений
    15
    Вес репутации
    53
    Чтож этот winlogon никак не успокоится Больше нет вариантов?

  21. #20
    Junior Member Репутация
    Регистрация
    19.11.2009
    Сообщений
    15
    Вес репутации
    53
    Проверил Process Monitor'ом, вот логи может глянете?

  • Уважаемый(ая) AzraelXI, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. winlogon.exe
      От Grime в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 20.11.2010, 20:37
    2. winlogon.exe и BN2.tmp
      От lore в разделе Помогите!
      Ответов: 22
      Последнее сообщение: 22.02.2009, 05:52
    3. WINLOGON, rar.exe и все, все, все
      От FireBall в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 22.02.2009, 01:46
    4. Ответов: 21
      Последнее сообщение: 06.02.2009, 16:02
    5. winlogon.exe
      От Webnek в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 13.06.2008, 12:43

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01506 seconds with 20 queries