-
Junior Member
- Вес репутации
- 51
winlogon.exe грузит систему на 50%
Доброе время суток.
Все началось с того, что я сделал быструю проверку касперским и удалил пару вирусов. При следующем запуске системы возникла проблема, описанная в заголовке. Максимальная проверка касперским обнаружила несколько вирусов, которые я впоследствии удалил. но проблема осталась. Логи прилагаются.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Junior Member
- Вес репутации
- 51
Кстати, увидел только что одну новую тему, там у человека svchost грузит систему на 50 %, так вот у меня тоже был процесс monoca32 в автозагрузке, его то я и удалил во время быстрой проверки.
-
Закройте все программы. Запустите AVZ. Выполните скрипт через меню Файл:
Код:
begin
SetAVZGuardStatus(True);
ExecuteWizard('TSW', 2, 2, true);
QuarantineFile('C:\WINDOWS\system32\netprotocol.dll','');
QuarantineFile('C:\WINDOWS\system32\netprotdrvss','');
QuarantineFile('C:\WINDOWS\system32\sidebar32.exe','');
QuarantineFile('C:\Program Files\plugin.exe','');
DeleteService('zoynu');
DeleteService('xnhjks');
DeleteService('vgfxgcwij');
DeleteService('kmzhwo');
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\lqczxzzv');
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\lqczxzzv\Parameters');
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\lqczxzzv\enum');
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\gybawz');
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\gybawz\Parameters');
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\gybawz\enum');
QuarantineFile('C:\WINDOWS\system32\04.tmp','');
QuarantineFile('C:\WINDOWS\system32\02.tmp','');
DeleteService('dgwoziuv');
DeleteFile('C:\WINDOWS\system32\02.tmp');
DeleteFile('C:\WINDOWS\system32\04.tmp');
DeleteFile('C:\Program Files\plugin.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','plugin');
DeleteFile('C:\WINDOWS\system32\sidebar32.exe');
DeleteFile('C:\WINDOWS\system32\netprotocol.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку Прислать запрошенный карантин, вверху этой темы.
Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.
-
-
Junior Member
- Вес репутации
- 51
Скрипт выполнил, но компьютер сам не перезагрузился, перезагрузил через альт-ф4. winlogon продолжает грузить систему на 50 %.
-
Закройте все программы. Запустите AVZ. Выполните скрипт через меню Файл:
Код:
begin
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
QuarantineFile('C:\WINDOWS\system32\gitntiep.dll','');
QuarantineFile('C:\WINDOWS\TEMP\tempo-17457890.tmp','');
DeleteFile('C:\WINDOWS\TEMP\tempo-17457890.tmp');
BC_DeleteReg('HKLM\SYSTEM\CurrentControlSet\Services\lqczxzzv');
BC_DeleteReg('HKLM\SYSTEM\CurrentControlSet\Services\gybawz');
DeleteFile('C:\WINDOWS\Tasks\{5B57CF47-0BFA-43c6-ACF9-3B3653DCADBA}.job');
DeleteFile('C:\WINDOWS\system32\gitntiep.dll');
DeleteFile('C:\WINDOWS\system32\netprotdrvss');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Выполните в AVZ скрипт из файла ScanVuln.txt и приложите к этой теме файл avz_log.txt из под-папки log.
Пройдитесь по ссылкам из файла avz_log.txt и установите обновления.
Перезагрузите компьютер.
Повторите выполнение скрипта, чтобы убедится, что уязвимости устранены.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку Прислать запрошенный карантин, вверху этой темы.
Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.
-
-
Junior Member
- Вес репутации
- 51
Всё сделал, но в карантине файлов нет.
-
Junior Member
- Вес репутации
- 51
и winlogon все еще грузит на 50% кстати
-
Не видно ничего подозрительного.
Выполните процедуру, описанную в первом сообщении: http://virusinfo.info/showthread.php?t=3519
-
-
Junior Member
- Вес репутации
- 51
по результату обработки вирусов нету в подозрительных файлах. Ребутнулся - winlogon продолжает грузить... Может еще раз выполнить стандартные скрипты?
Добавлено через 2 часа 4 минуты
я могу рассчитывать на дальнейшую помощь или мне дальше своими силами?
Последний раз редактировалось KirKILL; 31.07.2010 в 18:57.
Причина: Добавлено
-
Лично я не знаю, что вам ещё сказать.
-
-
Junior Member
- Вес репутации
- 51
и на том спасибо, похоже придётся сносить систему
-
Лог Гмером сделайте, проверим все ли скрипты удалили.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 51
-
В логе ничего плохого не видно.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 51
может новые логи сделать в AVZ и HiJackThis?
-
Просто лог Мбам сделайте, но ничего пока не удаляйте.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 51
-
Удалите в Мбам -
Код:
Зараженные ключи в реестре:
HKEY_CLASSES_ROOT\CLSID\{6d125299-c2a9-4dbc-bec3-6f7124e39a41} (Adware.FieryAds) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6d125299-c2a9-4dbc-bec3-6f7124e39a41} (Adware.FieryAds) -> No action taken.
Зараженные папки:
C:\Documents and Settings\User\Application Data\FieryAds (Adware.FieryAds) -> No action taken.
Зараженные файлы:
C:\Documents and Settings\User\Application Data\avdrn.dat (Malware.Trace) -> No action taken.
C:\Documents and Settings\User\Application Data\fieryads.dat (Adware.FieryAds) -> No action taken.
C:\WINDOWS\system32\config\systemprofile\Application Data\FieryAds.dat (Adware.FieryAds) -> No action taken.
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
If FileExists('C:\WINDOWS\System32\dllcache\sfcfiles.dll') then
begin
RenameFile('C:\WINDOWS\System32\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.bak');
CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll');
QuarantineFile('C:\WINDOWS\System32\sfcfiles.bak','');
DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
AddToLog('File was renamed and deleted');
end
else
AddToLog('dllcache\sfcfiles.dll does not exist');
SaveLog(GetAVZDirectory + 'avz.log');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
- Файл avz.log из папки с АВЗ, прикрепите к следующему сообщению.
- Повторите лог MBAM.
-
-
Junior Member
- Вес репутации
- 51
Карантин отослал, лог авз прикрепляю, мбам лог сделаю чуть позже
-
Junior Member
- Вес репутации
- 51
winlogon вроде ведет себя адекватно, систему не грузит