Показано с 1 по 15 из 15.

WINLOGON.exe что-то качает из сети (заявка № 20184)

  1. #1
    Junior Member Репутация
    Регистрация
    01.03.2008
    Адрес
    сев.кав.
    Сообщений
    9
    Вес репутации
    59

    Thumbs up WINLOGON.exe что-то качает из сети

    Дорогие,хэлперы!
    1) У меня при выходе в интернет winlogon.exe запрашивает соединение, и, если ему разрешить, то что-то активно качает, причём по земле(GPRS),хотя у меня весь вход.траффик выставлен через тарелку.При этом в C:/Windows/Temp образуются и растут на глазах какие-то непонятные файлы и потом на них может сработать Spyder Guard доктора Вэба.Winlogon-у я запретил любую активность, но есть ещё подозрение на svchost.exe. А однажды C:/Windows/Temp вырасла до нескольких гигов.
    2) Однажды у меня пропал личный сертификат WM с компьютера(благо на кошельке был 0), пришлось заново заводить кошельки, а сертификат прятать.
    3) Система последнее время очень сильно стала тормозить, а подчас и виснуть, хотя проц 2-хядерный.
    DrWeb одно время кое-что опасное понаходил и удалил, но мне кажется не до конца...
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Выполнить:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\msplrct.dll','');
    RebootWindows(true);
    end.
    прислать карантин через ссылку вверху темы.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  4. #3
    Junior Member Репутация
    Регистрация
    01.03.2008
    Адрес
    сев.кав.
    Сообщений
    9
    Вес репутации
    59
    Скрипт выполнил, но в карантине папка - пустая.

  5. #4
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    Тогда при помощи АВЗ -- сервис -- поиск файлов на диске, поищите msplrct.dll и пришлите согласно приложения 2 правил.

  6. #5
    Junior Member Репутация
    Регистрация
    01.03.2008
    Адрес
    сев.кав.
    Сообщений
    9
    Вес репутации
    59
    Результат поиска АВЗ - 0.
    А может выполнить скрипты во время нахождения в интернете и соединения Winlogon?Кстати, забыл упомянуть, раньше в правилах файерволла для winlogon я увидел разрешения на соединение с какими-то странными портами Warcraft lll.Я так понимаю, это игра какая-то? Потом я конечно всё запретил.

  7. #6
    Junior Member Репутация
    Регистрация
    01.03.2008
    Адрес
    сев.кав.
    Сообщений
    9
    Вес репутации
    59
    Добрый день!Что-то всё замолкло.Мне никак нельзя помочь?Я только что провёл эксперимент: разрешил WINLOGON.exe активность в правилах файерволла, тут же он полез в сеть, накачал в C:\WINDOWS\TEMP\ каких-то маленьких ехе-шников, некоторых из них тут же распознал доктор Вэб как Trojan.MulDrop.12125 и и Trojan.Resun, других не распознал( они так и остались сейчас в /TEMP).Одновременно сообщил о вредоносных объектах Autpost Firewall, но уже в C:\Program Files\Common Files ( я так понял программки, привлечённые ВИНЛОГОНом из инета создали там ещё какую-то шнягу), входящий траффик неумолимо возростал, вновь созданная программуля-вирус из C:\WINDOWS\TEMP, не распознанная доктором Вэбом запросила сетевую активность.И тут я не стал больше испытывать судьбу и блокировал и её и ВИНЛОГОН.Всё действо продолжалось 2 минуты. Я могу выслать вам отрывки из логов доктора Вэба и файерволла за эти 2 минуты.Там видно, что эти твари даже в реестре успели покопашиться. Помогите, пожалуйста.
    Последний раз редактировалось pan; 21.03.2008 в 15:10. Причина: Добавлено

  8. #7
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Предлагаю скачать AVPTool. Она идет с посл. базами Касперского и провериться полностью

    9851yt.sys - поискать через AVZ и прислать, если найдется.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  9. #8
    Junior Member Репутация
    Регистрация
    01.03.2008
    Адрес
    сев.кав.
    Сообщений
    9
    Вес репутации
    59
    AVPTool скачал самый последний вар-т, пару троянов нашёл, удалил. После решил опять дать волю винлогону, и, увы, то же самое... :-(
    А насчёт "9851yt.sys" - был у меня такой драйверок(на пару с ещё одним) где-то месяц назад. Уничтожил их тогда я совместными усилиями с суппортом доктора Вэба, они ещё тогда этот мой вирус в базу добавили, оказался опасный экземпляр. Сейчас проверил по новой - нету...Видимо у меня что-то ещё неизвестное.
    Winlogon запускает в C:\WINDOWS\TEMP\ какой-то (из сети) процесс NL40A07D41.EXE (NL всегда прсутствует,а дальше цифры и буквы всегда разные), он в свою очередь запускает процесс C\Windows\system32\regsvr32.exe, потом в C\Program Files\Common Files\CPUSH файерволл детектирует объекты cpush.dll,cpush.tmp,uninst.exe как вредоносные Sogou, в C:\WINDOWS\TEMP\ образуются новые зловреды и уже они просятся в сеть и т.д.
    Могу прислать отрывки из логов за эти 2 мин.,гляните на эти процессы, может что-то станет ясно...

    Добавлено через 4 часа 34 минуты

    Help me please!
    Или уже ничего нельзя сделать???
    Последний раз редактировалось pan; 22.03.2008 в 19:40. Причина: Добавлено

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,509
    Вес репутации
    1303
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('9851yt.sys','');
    QuarantineFile('C:\WINDOWS\system32\drivers\9851yt.sys','');
    QuarantineFile('C:\WINDOWS\system32\msplrct.dll','');
    QuarantineFile('C:\WINDOWS\system32\drivers\mxdispdr.sys','');
    QuarantineFile('C:\Program Files\speedbit-TE\tbspee.dll','');
    QuarantineFile('C:\PROGRA~1\ORFOSW~1\ORFOSW~1.EXE','');
    QuarantineFile('C:\WINDOWS\system32\drivers\dvdmmg.sys','');
    QuarantineFile('C:\WINDOWS\system32\sfc_os.dll','');
    QuarantineFile('c:\windows\explorer.exe','');
    QuarantineFile('c:\windows\system32\ctfmon.exe','');
    DeleteFile('C:\WINDOWS\system32\drivers\mxdispdr.sys');
    DelBHO('{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}');
    DelCLSID('A5C2457A-87BC-324E-8124-0025DC10AA03');
    BC_ImportALL;
    ExecuteSysClean;
    BC_QrSvc('9851yt');
    BC_QrSvc('mxdispdr');
    BC_DeleteSvc('mxdispdr');
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно приложению №3 правил (загружать здесь: http://virusinfo.info/upload_virus.php?tid=20184 ).

    Сделайте новые логи.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  11. #10
    Junior Member Репутация
    Регистрация
    01.03.2008
    Адрес
    сев.кав.
    Сообщений
    9
    Вес репутации
    59
    Карантин послал, сейчас сделаю новые логи...

  12. #11
    Junior Member Репутация
    Регистрация
    01.03.2008
    Адрес
    сев.кав.
    Сообщений
    9
    Вес репутации
    59
    Высылаю логи
    Вложения Вложения

  13. #12
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    ctfmon.exe, dvdmmg.sys, explorer.exe, sfc_os.dll, tbspee.dll - чистые
    mxdispdr.sys - not-a-virus:AdWare.Win32.Cinmus.dqq
    Выполните в АВЗ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     SetServiceStart('mxdispdr', 4);
     StopService('mxdispdr');
     DeleteFile('C:\WINDOWS\system32\drivers\mxdispdr.sys');
    BC_ImportDeletedList;
    BC_DeleteSvc('mxdispdr');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Повторите логи.

  14. #13
    Junior Member Репутация
    Регистрация
    01.03.2008
    Адрес
    сев.кав.
    Сообщений
    9
    Вес репутации
    59
    Скрипт выполнил.Новые логи:

    P.S. Полчаса уже в нете, полёт нормальный, винлогон не просится...
    Неужто выздоровел?
    Спасибо всем большое!
    Вложения Вложения

  15. #14
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    Похоже что выздоверили. Вредосного в логах ничего не наблюдается.

    Нам интересно Ваше мнение о нашей работе, будем очень благодарны за ответ. Ваш ответ поможет нам улучшить оказание помощи.

    Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".

  16. #15
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 6
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\drivers\\mxdispdr.sys - not-a-virus:AdWare.Win32.Cinmus.dqq (DrWEB: Adware.Cinmus.37


  • Уважаемый(ая) pan, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Скорость внутри своей сети(сети Wi-Fi роутера)
      От PORSHEvchik в разделе Софт - общий
      Ответов: 0
      Последнее сообщение: 19.11.2011, 17:48
    2. Ответов: 5
      Последнее сообщение: 15.09.2010, 19:28
    3. Ответов: 3
      Последнее сообщение: 06.11.2009, 18:21
    4. Ответов: 19
      Последнее сообщение: 19.05.2009, 22:54
    5. Ответов: 21
      Последнее сообщение: 06.02.2009, 16:02

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01429 seconds with 20 queries