При подключении к интернету, запускается winlogo.exe, который загружает систему на 100% + появляются дополнительные процессы iexplore.exe, 5.exe и т.п.
При подключении к интернету, запускается winlogo.exe, который загружает систему на 100% + появляются дополнительные процессы iexplore.exe, 5.exe и т.п.
Уважаемый(ая) Milini, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Скачайте AVZ 4.37, обновите его базы и переделайте логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Вот новые логи:
avz.exe запакуйте с паролем virus и пришлите по красной ссылке Прислать запрошенный карантин вверху темы
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\kv351095.dll',''); TerminateProcessByName('c:\docume~1\9335~1\locals~1\temp\winlogo.exe'); QuarantineFile('c:\docume~1\9335~1\locals~1\temp\winlogo.exe',''); TerminateProcessByName('c:\documents and settings\Администратор\application data\regsrv32.exe'); QuarantineFile('C:\WINDOWS\system32\vu351095.dll',''); QuarantineFile('C:\WINDOWS\system32\of151609.dll',''); QuarantineFile('C:\WINDOWS\system32\hu351095.dll',''); DeleteFile('C:\WINDOWS\system32\hu351095.dll'); DeleteFile('C:\WINDOWS\system32\of151609.dll'); DeleteFile('C:\WINDOWS\system32\vu351095.dll'); DeleteFile('C:\WINDOWS\system32\kv351095.dll'); QuarantineFile('c:\documents and settings\Администратор\application data\regsrv32.exe',''); DeleteFile('c:\documents and settings\Администратор\application data\regsrv32.exe'); DeleteFile('c:\docume~1\9335~1\locals~1\temp\winlogo.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft DLL Regis-taation'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи (внимание: вместо лога HiJack сделайте лог http://virusinfo.info/showthread.php?t=115256)
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Все выполнил, но winlogo.exe по прежнему запускается после подключения к интернету.
Новые логи
Сделайте лог полного сканирования МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Выполнил. Из наблюдений: вирус блокирует доступ к официальным сайтам антивирусов, если вовремя не "убить" процесс Winlogo.exe становится не возможным открыть любую программу (помогает перзагрузка системы). Переодически запускает установленный менеджер паролей Roboform.
В диспетчере задач находился левый процесс regsrv32.exe - удалил его. Размещался в C:\Documents and Settings\Администратор\Application Data, размер 64,5Кб и был создан 21.01.12. В этой же папке МВАМ нашел с десяток троянов.
Забыл главное..
Удалите в МВАМ только указанные ниже записиСделайте лог ComboFixКод:Обнаруженные процессы в памяти: 1 C:\Documents and Settings\Администратор\Application Data\regsrv32.exe (Trojan.Agent) -> 1568 -> Действие не было предпринято. Обнаруженные ключи в реестре: 2 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{0CB66BA8-5E1F-4963-93D1-E1D6B78FE9A2} (Trojan.BHO) -> Действие не было предпринято. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{0CB66BA8-5E1F-4963-93D1-E1D6B78FE9A2} (Trojan.BHO) -> Действие не было предпринято. Обнаруженные параметры в реестре: 1 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Microsoft DLL Registaation (Trojan.Agent) -> Параметры: C:\Documents and Settings\Администратор\Application Data\regsrv32.exe -> Действие не было предпринято. Объекты реестра обнаружены: 4 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowHelp (PUM.Hijack.StartMenu) -> Плохо: (0) Хорошо: (1) -> Действие не было предпринято. Обнаруженные файлы: 18 C:\Documents and Settings\Администратор\Application Data\regsrv32.exe (Trojan.Agent) -> Действие не было предпринято. c:\documents and settings\администратор\application data\hrfvfc.exe (Trojan.Agent) -> Действие не было предпринято. C:\Documents and Settings\Администратор\Рабочий стол\avz4\Infected\2012-01-21\avz00003.dta (Trojan.KillAV) -> Действие не было предпринято.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Удалил файлы в MBAM. Сделать лог в ComboFix не получается. Программа после запуска выдает предупреждение о том что найден запущенный антивирус AVG, хотя он уже давно удален. Удалил найденные ключи AVG в реестре - все равно не помогло. ComboFix выдает оповещение, что началось исследование системы, но потом ничего не происходит.
Периодически MBAM выдает оповещение о пойманной попытке подключения к вредоносному сайту. Также появились сообщения Windows, о том что файлы необходимые для ее стабильной работы были заменены.
Новые логи AVZ
http://support.kaspersky.ru/faq/?qid=208636073 - удаление следов AVG
Попробуйте сделать лог ComboFix в безопасном режиме
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Спасибо за оказанную помощь. Проблема была решена установкой Kaspersky Krystal. Полная проверка системы показала наличие более 1500 зловредов.
И за ссылочку спасибо - удалил следы. Проверку в ComboFix не выполнял, так как вроде бы в ней уже нет необходимости, и потому что она требует отключения антивируса - чего крайне не хочется делать.
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 18
- В ходе лечения обнаружены вредоносные программы:
- \\avz.exe - Virus.Win32.Sality.v ( DrWEB: Win32.Sector.4, BitDefender: Win32.Kashu.A, NOD32: Win32/Sality.NAS virus, AVAST4: Win32:Sality )
- c:\\documents and settings\\администратор\\application data\\regsrv32.exe - Trojan.Win32.Jorik.Lethic.dv ( DrWEB: Trojan.DownLoad2.43630, BitDefender: Trojan.Generic.KDV.525055, AVAST4: Win32:Malware-gen )
- c:\\docume~1\\9335~1\\locals~1\\temp\\winlogo.exe - not-a-virus:RiskTool.Win32.BitCoinMiner.bik ( DrWEB: Tool.BtcMine.21, BitDefender: Application.BitCoinMiner.K, AVAST4: Win32:Downloader-MMG [Trj] )
- c:\\windows\\system32\\hu351095.dll - Trojan.Win32.KillAV.ni ( DrWEB: Win32.Sector.4, BitDefender: Trojan.Crypt.HO, AVAST4: Win32:Sality-GR )
- c:\\windows\\system32\\kv351095.dll - Trojan.Win32.KillAV.ni ( DrWEB: Win32.Sector.4, BitDefender: Trojan.Crypt.HO, AVAST4: Win32:Sality-GR )
- c:\\windows\\system32\\of151609.dll - Trojan.Win32.KillAV.ni ( DrWEB: Win32.Sector.4, BitDefender: Trojan.Crypt.HO, AVAST4: Win32:Sality-GR )
Уважаемый(ая) Milini, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.