Собственно это уже делал - взял винлогон с другого компа(сохранив исходную копию на всякий случай), проблема осталась.
Сейчас планирую sfc /scanonce сделать...
Printable View
Собственно это уже делал - взял винлогон с другого компа(сохранив исходную копию на всякий случай), проблема осталась.
Сейчас планирую sfc /scanonce сделать...
Много чего сегодня перепробывал,в итоге после определеного количество перезагрузок программа исчезла,но все равно так и не понятно какая именно прога запускает этот процесс.Понятно одно что после какого количество перезагрузок прога вырубается.
Похожая тема уже со всеми лога ми развивается VirusInfo > Форум на русском языке > Помогите!
Get-Accelerator
в моем случае после замены winlogon дыру я закрыл с помощью утилиты
tdsskiller
причем запускал 2 раза
первый раз нашла файл - перезагрузка
второй раз два сервиса - перезагрузка
[size="1"][color="#666686"][B][I]Добавлено через 1 час 34 минуты[/I][/B][/color][/size]
за то вирус устроил следующую проблему:
ни Опера ни Эксплорер не открывают страницы в интернете.
При этом проходит пинг резолвит ДНС, работают аська и майл-агент.
Вот тут вроде появилось решение - [url]http://virusinfo.info/showthread.php?t=57371[/url]
От себя хочу добавить:
Как только появляется окошко - сворачиваем через диспетчер задач, запускаем Process Explorer, лезем в Properties процесса winlogon, там переходим на вкладку Threads, находим нить "991F0AD1-DA5D-4dc3-B0BA-F46BA0F1D3CB.dll + что-там", суспендим или сразу киляем. Дальше можно начинать лечение. Одну машину пролечил ComboFix[U][/U][URL="http://technet.microsoft.com/en-us/sysinternals/bb896653.aspx"][/URL] последней версии.
Лог ComboFix'а c вылеченной машины
c:\windows\system32\drivers\SKYNETpwswwbwu.sys - TDSS
+ куча следов флешечных вирусов + еще куча всего.
Вот такой краткий анализ лога.
[QUOTE=PavelA;487165]c:\windows\system32\drivers\SKYNETpwswwbwu.sys - TDSS
+ куча следов флешечных вирусов + еще куча всего.
Вот такой краткий анализ лога.[/QUOTE]
Там много чего побывало ) Но тем не менее комбо помог с этим акселератором, правда только на этой машине. На остальных зараженных - замена winlogon не помогает, комбо тоже не помогает, dll'ка вируса восстанавливается.
Антивирус KIS 2009 и DrWEBCureIt не детектят. Код разблокировки не подходит. Winlogon и Userinit - оригинальные в system32 появляется при загрузке файлик {UID}.dll Автозагрузка чистая. RECYCLER и System Volume Information, а также кеш, временная папка и др. места чистые абсолютно. Из инета качает еще несколько вирусов и заражает ими машину. После чего полностью блокирует сетевые подключения. Через диспетчер задач не сворачивается. Мне кажется он либо в бутовом секторе, либо самокомпилирующийся полиморф. Также возможно, что он грузится как драйвер и/или скрывает имя полностью из FAT.
доброго времени суток, у меня тоже эта зараза в компе сидит(((( при запуске комп просто перезагружается((( с безопасного режима тоже самое((((((((((((( у кого какие мысли на этот счет???
[URL="http://virusinfo.info/pravila.html"][IMG]http://virusinfo.info/attachment.php?attachmentid=48043&d=1210868962[/IMG][/URL]