Winlogon.exe

Printable View

31.01.2010, 23:10
Снарк

Winlogon.exe

Здравствуйте!
Словил где-то вирус. Симптомы следующие:
Долго загружается windows после экрана приветствия. При этом висит окошко: "Установка личных параметров для: C:\windows\system32\Winlog\Winlogon.exe"
После загрузки появляется много процессов winlogon.exe и KWW.exe, съедают всю память.

Что это, и как с этим бороться?
Заранее спасибо!
01.02.2010, 10:28
PavelA

Выполнить скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelCLSID('464W6400-3H78-3WT6-8G32-K2011X8880UY');
DelCLSID('{88888888-8888-8888-8888-888888888888}');
DelCLSID('{E2F01944-DFCE-A341-0294-E93298416138}');
DelBHO('{88888888-8888-8888-8888-888888888888}');
DelBHO('{E2F01944-DFCE-A341-0294-E93298416138}');
QuarantineFile('C:\windows\system32\Winlog\Winlogon.exe','');
DeleteService('OXWXV');
DeleteService('L');
DeleteService('KCSNRQS');
QuarantineFile('C:\DOCUME~1\KLESTC~1.000\LOCALS~1\Temp\KCSNRQS.exe','');
DeleteFile('C:\DOCUME~1\KLESTC~1.000\LOCALS~1\Temp\KCSNRQS.exe');
DeleteFile('C:\DOCUME~1\KLESTC~1.000\LOCALS~1\Temp\L.exe');
DeleteFile('C:\DOCUME~1\3529~1.KLE\LOCALS~1\Temp\OXWXV.exe');
DeleteFile('C:\windows\system32\Winlog\Winlogon.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run-','HKLM');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','HKLM');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','HKCU');
BC_DeleteFile('C:\windows\system32\Winlog\Winlogon.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Policies');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Policies');
DeleteFile('C:\Documents and Settings\Клещ.KLESTCH\Application Data\axizxgIgcbt.dll');
BC_Importall;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Повторить логи после перезагрузки.
Прислать карантин по Правилам.
01.02.2010, 12:23
Снарк

Спасибо большое!
Помогло. Все заработало нормально.
01.02.2010, 12:29
PavelA

Я бы посоветовал еще сделать полную проверку или CureIT, или AVPTool
Что-то непонятного много у Вас на машине.
01.02.2010, 12:39
Снарк

Сейчас проверю AVPTool-ом.
02.02.2010, 12:39
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]6[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]