процесс winlogon грузит систему на 50 %, при сканировании системы dr.web на 80 % ловит трояна и при попытке лечения уходит на перезагрузку
процесс winlogon грузит систему на 50 %, при сканировании системы dr.web на 80 % ловит трояна и при попытке лечения уходит на перезагрузку
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.
В HiJackThis пофиксите:
Код:R3 - URLSearchHook: (no name) - - (no file) R3 - URLSearchHook: (no name) - {95289393-33EA-4F8D-B952-483415B9C955} - (no file) F2 - REG:system.ini: Shell=Explorer.exe "C:\WINDOWS\system32\msmgr.exe" O2 - BHO: (no name) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - (no file) O4 - HKLM\..\Run: [explore] "C:\WINDOWS\system32\msmgr.exe" O4 - HKLM\..\Run: [plugin] "C:\Program Files\plugin.exe" O4 - HKLM\..\Run: [Generic Host for Win32 Services] $‘|ЂА—|ъ‘|$O O23 - Service: Рабочая станция lanmanworkstationRemoteAccess (lanmanworkstationRemoteAccess) - Unknown owner - C:\WINDOWS\system32\2052n.exe (file missing) O23 - Service: Рабочая станция lanmanworkstationRSVP (lanmanworkstationRSVP) - Unknown owner - C:\WINDOWS\system32\accesst.exe O23 - Service: Диспетчер очереди печати Spoolerdrwagntd (Spoolerdrwagntd) - Unknown owner - C:\WINDOWS\system32\3076w.exe (file missing) O23 - Service: Инструментарий управления Windows winmgmtCiSvc (winmgmtCiSvc) - Unknown owner - C:\WINDOWS\system32\Ac3audioc.exe (file missing)
В AVZ выполните скрипт:
После перезагрузкиКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); TerminateProcessByName('c:\windows\system32\msmgr.exe'); QuarantineFile('C:\WINDOWS\System32\Drivers\SPTD8381.SYS',''); QuarantineFile('C:\Program Files\Microsoft Common\svchost.exe',''); QuarantineFile('C:\WINDOWS\services.exe',''); QuarantineFile('C:\WINDOWS\system32\MCScripX.dll',''); QuarantineFile('C:\WINDOWS\1TVNEW~1.SCR',''); QuarantineFile('C:\Program Files\plugin.exe',''); DeleteService('winmgmtCiSvc'); QuarantineFile('C:\WINDOWS\system32\Ac3audioc.exe',''); DeleteService('lanmanworkstationRemoteAccess'); QuarantineFile('C:\WINDOWS\system32\2052n.exe',''); DeleteService('lanmanworkstationRSVP'); QuarantineFile('C:\WINDOWS\system32\accesst.exe',''); DeleteService('Spoolerdrwagntd'); QuarantineFile('C:\WINDOWS\system32\3076w.exe',''); QuarantineFile('C:\WINDOWS\system32\msvcrt57.dll',''); QuarantineFile('c:\windows\system32\msmgr.exe',''); DeleteFile('c:\windows\system32\msmgr.exe'); DeleteFile('C:\WINDOWS\system32\msvcrt57.dll'); DeleteFile('C:\WINDOWS\system32\3076w.exe'); DeleteFile('C:\WINDOWS\system32\accesst.exe'); DeleteFile('C:\WINDOWS\system32\2052n.exe'); DeleteFile('C:\WINDOWS\system32\Ac3audioc.exe'); DelCLSID('{E6FB5E20-DE35-11CF-9C87-00AA005127ED}'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Generic Host for Win32 Services'); DeleteFile('C:\Program Files\plugin.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','plugin'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','explore'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad','WebCheck'); DeleteFile('C:\WINDOWS\services.exe'); DeleteFile('C:\Program Files\Microsoft Common\svchost.exe'); DeleteFileMask('%Tmp%', '*.*', true); BC_ImportAll; ExecuteSysClean; BC_DeleteSvc('winmgmtCiSvc'); BC_DeleteSvc('lanmanworkstationRemoteAccess'); BC_DeleteSvc('lanmanworkstationRSVP'); BC_DeleteSvc('Spoolerdrwagntd'); BC_Activate; ExecuteRepair(9); ExecuteRepair(8); ExecuteRepair(16); ExecuteRepair(5); ExecuteWizard('TSW',3,3,true); SetAVZPMStatus(True); RebootWindows(true); end.
Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Сделайте новые логи.
Последний раз редактировалось миднайт; 25.12.2009 в 15:11.
Все сделал как вы написали, проблема осталась!
Пофиксить в HijackThis
ПК перезагрузите.Код:F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Program Files\Internet Explorer\svcnost.exe
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
После выполнения скрипта компьютер перезагрузится.Код:begin DeleteFile('C:\Program Files\Internet Explorer\svcnost.exe'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Сделаете лог HijackThis.
все равно загрузка winlogon 50 %
C:\WINDOWS\system32\userinit.exe пришлите согласно Приложения 2 правил
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 31
- В ходе лечения обнаружены вредоносные программы:
- c:\program files\microsoft common\svchost.exe - Packed.Win32.Krap.w ( NOD32: Win32/AutoRun.FakeAlert.DO worm, AVAST4: Win32:Agent-AINR [Trj] )
- c:\windows\services.exe - Trojan.Win32.Siscos.jg ( BitDefender: Trojan.Generic.2901696, AVAST4: Win32:Malware-gen )
- c:\windows\system32\accesst.exe - Trojan-Spy.Win32.Zbot.adll ( BitDefender: Backdoor.IRC.ZGQ, AVAST4: Win32:Malware-gen )
- c:\windows\system32\msmgr.exe - Backdoor.Win32.Knokk.cq ( BitDefender: Backdoor.Generic.244217, AVAST4: Win32:Malware-gen )
- c:\windows\system32\msvcrt57.dll - Trojan-PSW.Win32.WebMoner.nc ( AVAST4: Win32:Malware-gen )
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
Уважаемый(ая) Dambler, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.