winlogon

winlogon.exe грузит проц по полной, иногда вместо него так же начинает userinit.exe грузить.
Еще KVRT нашел трояна в фаилах mssfc.dll, sfcfiles.dll, sfcfiles.dat, вылечить не смог, удалять я не рискнул

Че риал никто помочь не может?

Поищите файлы с помощью AVZ [B]bntr[/B] и [B]norton2009Reset[/B] и пришлите их по правилам, упаковав в архив с паролем virus и закачав по красной ссылке вверху темы. Далее:

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.

- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.

В HiJackThis пофиксите:

[code]
F2 - REG:system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O4 - S-1-5-18 Startup: is-FN8UA.lnk = ? (User 'SYSTEM')
O4 - .DEFAULT Startup: is-FN8UA.lnk = ? (User 'Default user')
[/code]


В AVZ выполните скрипт:

[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Norton2009Reset.exe','');
QuarantineFile('C:\Program Files\AskBarDis\bar\bin\askBar.dll','');
QuarantineFile('.bntr','');
QuarantineFile('.norton2009Reset','');
QuarantineFile('C:\Program Files\Stardock\Object Desktop\WindowBlinds\wblind.dll','');
DeleteService('.bntr');
DeleteService('.norton2009Reset');
DelBHO('{201f27d4-3704-41d6-89c1-aa35e39143ed}');
DelBHO('{3041d03e-fd4b-44e0-b742-2d9b88305f98}');
DeleteFile('C:\Program Files\Norton2009Reset.exe');
DeleteFile('C:\Program Files\AskBarDis\bar\bin\askBar.dll');
DeleteFile('.bntr');
DeleteFile('.norton2009Reset');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('.norton2009Reset');
BC_DeleteSvc('.bntr');
BC_Activate;
ExecuteRepair(16);
ExecuteWizard('TSW',3,3,true);
SetAVZPMStatus(True);
RebootWindows(true);
end.
[/code]

После перезагрузки

[code]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/code]


Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи.

Спасибо, похоже проблема решилась

В AVZ выполните скрипт:

[code]
begin
ExecuteWizard('TSW',3,3,true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
RebootWindows(true);
end.
[/code]

Карантин хотелось бы от вас получить.

отправил

[size="1"][color="#666686"][B][I]Добавлено через 10 минут[/I][/B][/color][/size]

Рано радовался, после скрипта комп перезагрузился и winlogon.exe опять продолжает в том же духе :(

Значит, надо заново логи делать. Вполне возможно, что опять заразились.

Раньше незамечал, открыто 6 процесов svchost.exe ссылающихся поочередно
svchost.exe -> services.exe -> winlogon.exe -> smss.exe

вот новые логи

Ауууу? Ктонибудь? help!

В AVZ выполните скрипт:

[code]
begin
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
QuarantineFile('C:\Program Files\CyberMama\compadvctrl.exe','');
BC_ImportQuarantineList;
BC_Activate;
ExecuteWizard('TSW',3,3,true);
RebootWindows(true);
end.
[/code]

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте лог [url=http://virusinfo.info/showthread.php?t=40118]Gmer[/url] и прикрепите его к сообщению.

Тут еще после выполнения предыдущего скрипта появилось какое то "неизвестное устройство". Все что я нашел о нем
Код экземпляра устроиства - ROOT\LEGACY_UZM3MTQ4\0000
флаги Devnode -
DN_ROOT_ENUMERATED
DN_HAS_PROBLEM
DN_DISABLEABLE
DN_NT_ENUMERATOR
DN_NT_DRIVER

Неизвестное устройство удалите. В gmer полное сканирование сделали? Лог какой то "куцый".

[QUOTE=миднайт;513257]Неизвестное устройство удалите. В gmer полное сканирование сделали? Лог какой то "куцый".[/QUOTE]
По ссылке было написано оставить галочку только на system. а как надо?

Trojan Remover теперь подозревает этот процес
C:\WINDOWS\system32\Drivers\utm3mtq4.sys
HKLM\SYSTEM\CurrentControlSet\Services\utm3mtq4

[QUOTE]По ссылке было написано оставить галочку только на system. а как надо?[/QUOTE]После быстрой проверки нажать кнопку [B]Scan[/B]

[QUOTE]Trojan Remover теперь подозревает этот процес
C:\WINDOWS\system32\Drivers\utm3mtq4.sys
HKLM\SYSTEM\CurrentControlSet\Services\utm3mtq4[/QUOTE]Это от AVZ. В правилах написано, что перед лечением необходимо отключить [B]все[/B] защитное ПО!

[QUOTE=Venus Doom;513265]
Это от AVZ. В правилах написано, что перед лечением необходимо отключить [B]все[/B] защитное ПО![/QUOTE]
Так оно отключено, просто сканирует систему после перезагрузки Fast scan и отключается

Хорошо. Готовьте лог

вот

В логе чисто.

Чтож этот winlogon никак не успокоится :( Больше нет вариантов?

Проверил Process Monitor'ом, вот логи может глянете?

Ктонибудь!

Скачайте гмер снова, сделайте лог гмер из безопасного режима. (Всё защитное ПО отключить!)

Безопасный режим выдает синий экран, можно с LiveCD сделать?

[QUOTE='AzraelXI;513586']Безопасный режим выдает синий экран[/QUOTE]
В смысле компьютер не загружается вообще в безопасном режиме? Или же загружается, но синий экран появляется при работе гмера в безопасном? Поясните. Номер ошибки(с синего экрана) запишите и опубликуйте здесь.

Да вообще не грузится безопасный режим, сразу синий экран.

[size="1"][color="#666686"][B][I]Добавлено через 1 час 24 минуты[/I][/B][/color][/size]

После того как удалил неизвестное устройство, винда стала выдавать синий экран. Хорошо хоть восстановление системы было включено. Что это было?

Выполните скрипт в AVZ

[CODE]
begin
ExecuteRepair(10);
end.
[/CODE]

Что теперь с безопасным режимом?

[QUOTE='AzraelXI;513644']Хорошо хоть восстановление системы было включено[/QUOTE]
Его нужно отключать вообщето по правилам. Надеюсь вы никаких откатов не делали?

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]13[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]