Показано с 1 по 2 из 2.

Winlogon лезет в сеть (заявка № 24847)

  1. #1
    Junior Member Репутация
    Регистрация
    19.12.2007
    Сообщений
    19
    Вес репутации
    38

    Exclamation Winlogon лезет в сеть

    Winlogon лезет в сеть. Касперский эту активность обрубает, пишет 18.06.2008 16:23:30 Процесс C:\WINDOWS\system32\winlogon.exe (PID: 476): попытка внедрения в другой процесс заблокирована.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    848
    На время выполнения скриптов, отключитесь от сети и отключите антивирусный монитор.
    Пофиксите с помощью Hijackthis строчки:
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\drivers\services.exe
    O2 - BHO: C:\WINDOWS\system32\hdxjd4g.dll - {B5AC49A2-94F2-42BD-F434-2604812C897D} - C:\WINDOWS\system32\hdxjd4g.dll (file missing)
    O2 - BHO: C:\WINDOWS\system32\djki397g.dll - {B5AF0562-94F3-42BD-F434-2604812C797D} - C:\WINDOWS\system32\djki397g.dll (file missing)
    O2 - BHO: (no name) - {FC5DC8C3-2840-464E-9500-DC59833C7DC2} - C:\WINDOWS\system32\certmg.dll (file missing)
    O2 - BHO: Microsoft copyright - {FFFFFFFF-BBBB-4146-86FD-A722E8AB3489} - sockins32.dll (file missing)
    O4 - HKUS\S-1-5-18\..\Run: [Hhjg5jfd93dftdf] C:\WINDOWS\TEMP\winlagon.exe (User 'SYSTEM')
    O4 - HKUS\S-1-5-18\..\Run: [Jnskdfmf9eldfd] C:\WINDOWS\TEMP\csrssc.exe (User 'SYSTEM')
    O21 - SSODL: WebProxy - {66186F05-BBBB-4a39-864F-72D84615C679} - sockins32.dll (file missing)
    O22 - SharedTaskScheduler: Hkjr94jdfdgj - {B5AC49A2-94F2-42BD-F434-2604812C897D} - C:\WINDOWS\system32\hdxjd4g.dll (file missing)
    O22 - SharedTaskScheduler: Hjkfj93dffd - {B5AF0562-94F3-42BD-F434-2604812C797D} - C:\WINDOWS\system32\djki397g.dll (file missing)
    Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Hardware Profiles\0001\System\CurrentControlSet\Enum\ROOT\LEGACY_Huf74.sys\0000', 'CSConfigFlags', '1');
     QuarantineFile('C:\WINDOWS\system32\certmg.dll','');
     QuarantineFile('C:\WINDOWS\system32\cl.dll','');
     QuarantineFile('C:\WINDOWS\system32\hdxjd4g.dll','');
     QuarantineFile('C:\WINDOWS\system32\drivers\services.exe','');
     QuarantineFile('C:\WINDOWS\system32\djki397g.dll','');
     QuarantineFile('C:\WINDOWS\system32\carpserv.exe','');
     QuarantineFile('C:\Documents and Settings\LocalService\svchost.exe','');
     QuarantineFile('C:\WINDOWS\TEMP\csrssc.exe','');
     QuarantineFile('C:\WINDOWS\TEMP\winlagon.exe','');
     QuarantineFile('C:\WINDOWS\System32\drivers\Winyc25.sys','');
     QuarantineFile('C:\WINDOWS\System32\drivers\Winvb26.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winma54.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winlg85.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winff86.sys','');
     QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\HSF_BSC2.sys','');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\HSF_SAMP.sys','');
     QuarantineFile('Rvyj69.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Qog60.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Lli74.sys','');
     QuarantineFile('asc3550p.sys','');
     QuarantineFile('C:\Program Files\Common Files\System\apcsvra.dll','');
     QuarantineFile('C:\WINDOWS\system32\drivers\jkpjjt.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Huf74.sys','');
     QuarantineFile('C:\Documents and Settings\mihail_z\ie_updates3r.exe','');
     QuarantineFile('C:\Program Files\Common Files\System\apcsvra.exe','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\SENTINEL.SYS','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\Huf74.sys','');
     QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
     QuarantineFile('C:\WINDOWS\system32\PRTmate.dll','');
     DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
     BC_DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
     BC_DeleteFile('C:\WINDOWS\system32\Drivers\Huf74.sys');
     BC_DeleteFile('C:\Program Files\Common Files\System\apcsvra.exe');
     DeleteFile('C:\Documents and Settings\mihail_z\ie_updates3r.exe');
     BC_DeleteFile('C:\Documents and Settings\mihail_z\ie_updates3r.exe');
     DeleteFile('C:\WINDOWS\System32\Drivers\Huf74.sys');
     BC_DeleteFile('C:\WINDOWS\System32\Drivers\Huf74.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\jkpjjt.sys');
     BC_DeleteFile('C:\WINDOWS\system32\drivers\jkpjjt.sys');
     BC_DeleteFile('C:\Program Files\Common Files\System\apcsvra.dll');
     DeleteFile('asc3550p.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Lli74.sys');
     BC_DeleteFile('C:\WINDOWS\System32\Drivers\Lli74.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Qog60.sys');
     BC_DeleteFile('C:\WINDOWS\System32\Drivers\Qog60.sys');
     DeleteFile('Rvyj69.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
     BC_DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winff86.sys');
     BC_DeleteFile('C:\WINDOWS\System32\Drivers\Winff86.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winlg85.sys');
     BC_DeleteFile('C:\WINDOWS\System32\Drivers\Winlg85.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winma54.sys');
     BC_DeleteFile('C:\WINDOWS\System32\Drivers\Winma54.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Winvb26.sys');
     BC_DeleteFile('C:\WINDOWS\System32\drivers\Winvb26.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Winyc25.sys');
     BC_DeleteFile('C:\WINDOWS\System32\drivers\Winyc25.sys');
     DeleteFile('C:\WINDOWS\TEMP\winlagon.exe');
     BC_DeleteFile('C:\WINDOWS\TEMP\winlagon.exe');
     DeleteFile('C:\WINDOWS\TEMP\csrssc.exe');
     BC_DeleteFile('C:\WINDOWS\TEMP\csrssc.exe');
     DeleteFile('C:\Documents and Settings\LocalService\svchost.exe');
     BC_DeleteFile('C:\Documents and Settings\LocalService\svchost.exe');
     DeleteFile('C:\WINDOWS\system32\djki397g.dll');
     BC_DeleteFile('C:\WINDOWS\system32\djki397g.dll');
     DeleteFile('C:\WINDOWS\system32\drivers\services.exe');
     BC_DeleteFile('C:\WINDOWS\system32\drivers\services.exe');
     DeleteFile('C:\WINDOWS\system32\hdxjd4g.dll');
     BC_DeleteFile('C:\WINDOWS\system32\hdxjd4g.dll');
     DeleteFile('WinCtrl32.dll');
     DeleteFile('WinNt64.dll');
     DeleteFile('sockins32.dll');
     DeleteFile('C:\WINDOWS\system32\cl.dll');
     BC_DeleteFile('C:\WINDOWS\system32\cl.dll');
     DeleteFile('C:\WINDOWS\system32\certmg.dll');
     BC_DeleteFile('C:\WINDOWS\system32\certmg.dll');
     DelBHO('{FFFFFFFF-BBBB-4146-86FD-A722E8AB3489}');
     DelBHO('{FC5DC8C3-2840-464E-9500-DC59833C7DC2}');
     DelBHO('{B5AF0562-94F3-42BD-F434-2604812C797D}');
     DelBHO('{B5AC49A2-94F2-42BD-F434-2604812C897D}');
     DelBHO('{4965BEDD-37DC-4BB8-A08E-349994231CBD}');
    BC_DeleteSVC('Winxf66');
    BC_DeleteSVC('Winvb26');
    BC_DeleteSVC('Winma54');
    BC_DeleteSVC('Winlg85');
    BC_DeleteSVC('Winff86');
    BC_DeleteSVC('tcpsr');
    BC_DeleteSVC('Rvyj69');
    BC_DeleteSVC('Qog60');
    BC_DeleteSVC('Lli74');
    BC_DeleteSVC('asc3550p');
    BC_DeleteSVC('apcsvra');
    BC_DeleteSVC('aic32p');
    BC_DeleteSVC('Huf74');
    BC_DeleteSVC('Google Online Services');
    BC_DeleteSVC('apcsvra32');
    BC_DeleteSVC('CcEvtSvc');
    BC_DeleteSVC('FCI');
    BC_DeleteSVC('Schedule');
    BC_ImportquarantineList;
    BC_Activate;
    ExecuteSysClean;
    executerepair(11);
    RebootWindows(true);
    end.
    Система будет перезагружена. После перезагрузки, карантин AVZ загрузите по ссылке http://virusinfo.info/upload_virus.php?tid=24847 , как написано в прил.3 правил, и повторите логи, начиная с п. 10 правил.
    Последний раз редактировалось Numb; 18.06.2008 в 16:44.

  • Уважаемый(ая) gxoct, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 2
      Последнее сообщение: 18.04.2009, 08:08
    2. Ответов: 10
      Последнее сообщение: 22.02.2009, 03:17
    3. при загрузке explorer сразу лезет в сеть.
      От Николай в разделе Помогите!
      Ответов: 15
      Последнее сообщение: 22.02.2009, 01:40
    4. Winlogon лезет в сеть
      От AleXPander в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 26.06.2008, 03:55
    5. Winlogon лезет в Интернет
      От Barza в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 19.06.2008, 19:35

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01282 seconds with 17 queries