проблемы с загрузкой ХР

Printable View

21.10.2008, 14:25
cons

Вложений: 3

проблемы с загрузкой ХР

хр sp3 ( outpost2.7.484.5330 (412), symantec antivir 10.0.0.359- базы от 19/10/08)
вчера начал давать сбои - т.е. при загрузке, когда windows уже входит в учетную запись ( т.е. голубой экран и мышь есть), процесс останавливается на ~ 1 мин. и далее синий экран с ошибкой с000021 и абра-кадабра...
перезгрузился - откатился "до последней работающей конфигурации" - в безопасном режиме просканировал symantec`ом - он обнаружил трояна в файле winlogon.exe ( типа вылечил его ) и в файлах msauc.exe(c:\windows) и winctrl32.dll(c:\windows\system32) - и удали эти файлы. после перезагрузки система грузится начала, при startscan - symantec опять наткнулся на трояна в winlogon - и типа опять его вылечил - ( при этом почемуто winlogon.exe - стал рваться в интернет через к различным удаленным адресам - но outpost его заблокировал)...
видно зараза еще живет... - хочется излечится ...
помогите пожалуйста...
21.10.2008, 14:28
Гриша

Выполнять в обычном режиме!

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
[/URL]

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('Winjw22');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winjw22.sys','');
DeleteFile('C:\WINDOWS\System32\Drivers\Winjw22.sys');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('Winjw22');
BC_Activate;
RebootWindows(true);
end.[/CODE]

Пришлите карантин по правилам и повторите логи...
21.10.2008, 16:24
cons

Вложений: 3

загрузил и выполнил ваш скрипт - что -то ничего не поменялось в winlogon живет троян Trojan.Dropper ( ну так во всяком случае говорит symantec ).
21.10.2008, 16:33
Гриша

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]

[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\DOCUME~1\Yserver\LOCALS~1\Temp\winlogon.exe','');
DeleteFile('C:\DOCUME~1\Yserver\LOCALS~1\Temp\winlogon.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

Пришлите карантин по правилам и повторите логи...
21.10.2008, 19:05
cons

Вложений: 3

выполнил последний ваш скрипт.
логи после него - вложены.
кстати - на winlogon после вашего скрипта symantec не ругается.

п.с. наконец то разобрался как выслать архив карантина... уж извините что так долго соображал :)
21.10.2008, 20:30
Гриша

В логах чисто, какие проблемы?
21.10.2008, 21:10
cons

пока вроде нет....

СПАСИБО ОГРОМНОЕ!!!:)
22.02.2009, 08:47
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]6[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\docume~1\\yserver\\locals~1\\temp\\winlogon.exe - [B]Trojan.Win32.Agent.akpj[/B] (DrWEB: Trojan.MulDrop.23474)[/LIST][/LIST]