Printable View
Добрый день.
В C:\WINNT\system32 поселилась WinNt32.dll (и рядом с ней WLCtrl32.dll), удалить можно только с помощью IceSword но после перезагрузки они восстанавливаются. Кроме того процесс winlogon грузит процессор до 100%. Как бороться? Заранее благодарю.
[url]http://virusinfo.info/showthread.php?t=1235[/url]
Логи
выполните скрипт
[code]
begin
QuarantineFile('C:\WINNT\system32\Drivers\Vbf83.sys','');
end.
[/code]
пришлите карантин согласно приложения 3 правил
[size="1"][color="#666686"][B][I]Добавлено через 8 минут[/I][/B][/color][/size]
При выполнении этого скрипта в протоколе появляются сообщения :
Ошибка карантина файла, попытка прямого чтения (C:\WINNT\system32\Drivers\Vbf83.sys)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINNT\system32\Drivers\Vbf83.sys)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINNT\system32\Drivers\Vbf83.sys)
Карантин с использованием прямого чтения - ошибка
Выполнен карантин файла C:\WINNT\system32\Drivers\Vbf83.sys
И дальше меню - Файл - Просмотр карантина и там пусто :(
Скачать IceSword Найти:
'C:\WINNT\system32\Drivers\Vbf83.sys' Нажать Force Delete
Согласиться с перезагрузкой.
Выполнить скрипт:
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('Vbf83');
DeleteFile('C:\WINNT\system32\Drivers\Vbf83.sys');
DeleteFile('C:\WINNT\System32\Drivers\Vbf83.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Сделать новые логи.
Сделал. После удаления Vbf83 стало возможным уничтожить обычным способом WinNT32.dll и больше она не восстановилась. К сожалению winlogon продолжает грузить процессор (хотя особых тормозов системы при этом не наблюдается). Может ли это явление быть не связано с вирусами?
авз - мастер поиска и устранения проблем - выбрать все устранить ...
winlogon имеет 23 потока и занимает всё процессорное время когда система простаивает но если появляется другой процесс то винлогон отдаёт ему ресурсы и тормозов нет... но всё равно не очень хорошо это
[size="1"][color="#666686"][B][I]Добавлено через 7 минут[/I][/B][/color][/size]
хм... тот список проблем что мне мастер выдаёт не содержит ничего похожего... там заблокированные элементы меню Пуск и разрешённый автозапуск с CD и прочих носителей ну и ещё отключенные обновления винды
вот обновление вам включить обязательно нужно .... сп3 нужно устанавливать ...
Так: Аваст + Нод. Надо оставлять что-то одно, м.б. полегчает.
Понятно
Собственно я думаю тему можно закрыть так как сабж (проблема с WinNt32.dll) пофиксен. С винлогоном попытаюсь разобраться согласно советам уважаемых хелперов. Всем принявшим участие большое спасибо.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]