Показано с 1 по 15 из 15.

winlogon перестала пускать в систему. (заявка № 25135)

  1. #1
    Junior Member Репутация
    Регистрация
    20.06.2008
    Сообщений
    24
    Вес репутации
    36

    Exclamation winlogon перестала пускать в систему.

    Комп перестал загружаться в обычном режиме(в safemode загружался). Начал выполнять пункты правил, поставил cureit и запустил проверку.
    Он нашел тучу троянов, а именно:
    Trojan.DownLoader.62867
    Trojan.DownLoader.62734
    Trojan.Packed.460
    Trojan.Okuks.based
    Trojan.NtRootKit.1180
    Trojan.PWS.FTPlich.2
    Trojan.PWS.LDPinch.1941
    Почти все файлы удалил, некоторые предложил перенести(только я не понял куда).
    После проверки предложил перегрузиться.
    В обычном режиме зугрузится не получилось, получаю BSOD PAGE_FAULT_IN_NOT_PAGED_AREA STOP:0x00000050.
    В безопасном загрузился до входа в систему, но ни под администратором, ни под главным пользователем воити не могу. Точнее входит и сразу обратно на экран приветствия выходит. Даже рабочий стол не показывает.

    Зашел в биос, отключил protect_memory - BSOD PAGE_FAULT_IN_NOT_PAGED_AREA при загрузки в обычном режиме пропала. но дело так же доходит до экрана "приветствия windows".

    Получается avz и hijackthis запустить сейчас не могу, пишу с другого компа. Что можно сделать, чтобы войти в систему?

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,698
    Вес репутации
    1814
    Есть предположение, что надо заменить файл %WINDIR%\system32\userinit.exe на файл с нормальной системы (%WINDIR% - папка, куда установлен виндовс)
    The worst foe lies within the self...

  4. #3
    Junior Member Репутация
    Регистрация
    20.06.2008
    Сообщений
    24
    Вес репутации
    36
    Ага, его(userinit.exe) cureit удалил. Сейчас подумаю, как это лучше сделать.

  5. #4
    Junior Member Репутация
    Регистрация
    20.06.2008
    Сообщений
    24
    Вес репутации
    36
    Получилось добавить userinit.exe.
    Но все равно в обычном режиме не загружается до конца. Появляется рабочий стол, а дальше все стоит. Пуск не работает. Ярлыки на рабочем столе не запускаются, мышка ездит.

    Высылаю логи, которые сделал в безопасном режиме.
    Вложения Вложения

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    скачайте C:\WINDOWS\System32\Drivers\Ulg29.sys - force delete
    выполните скрипт ...
    Код:
    begin
     BC_DeleteSvc('ddxgb');
     QuarantineFile('C:\DOCUME~1\96EC~1\LOCALS~1\Temp\ddxgb.sys','');
     BC_DeleteSvc('Ulg29');
     QuarantineFile('C:\windows\system32\Drivers\Ulg29.sys','');
     QuarantineFile('C:\windows\system32\baseqpiu32.dll','');
     DeleteFile('C:\windows\system32\Drivers\Ulg29.sys');
     DeleteFile('C:\DOCUME~1\96EC~1\LOCALS~1\Temp\ddxgb.sys');
    BC_ImportDeletedList;
    ExecuteSysClean;
    ExecuteRepair(1);
    ExecuteRepair(6);
    ExecuteRepair(8);
    ExecuteRepair(9);
    ExecuteRepair(16);
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ....
    повторите логи ....

  7. #6
    Junior Member Репутация
    Регистрация
    20.06.2008
    Сообщений
    24
    Вес репутации
    36
    В обычном режиме не работает.
    Кстате если отключить в msconfig загрузку сервисов и автозагрузку. То обычный режим стартует. Где лучше скрипты выполнять в безопасном или полуобычном режиме?

    Высылаю логи

    Update: кстате слажу завтра в windows events может там че интересное есть.
    Вложения Вложения

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    сделайте логи в нормальном режиме ...

  9. #8
    Junior Member Репутация
    Регистрация
    20.06.2008
    Сообщений
    24
    Вес репутации
    36
    Получилось загрузиться в обычном режиме без системных служб.

    Вот логи

    Попробую еще sfc /scannow запустить.
    Вложения Вложения

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    выполните скрипт ....
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\drivers\clbdriver.sys','');
     DeleteFile('C:\WINDOWS\systemroot\system32\drivers\clbdriver.sys');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ...
    повторите логи ...

  11. #10
    Junior Member Репутация
    Регистрация
    20.06.2008
    Сообщений
    24
    Вес репутации
    36
    карантин закачал, скрипт выполнил.
    кстате clbdriver.sys не удалилась. я ее IceSword зафорсделитил.

    Потом методом тыка выяснил, что комп плохо грузится только, когда включена служба Plug & Play изготовитель корпорация Майкрософт, только единственное "мой компьютер" долго открывается(фонарик ходит влево-вправо), и флешку, когда вставляешь, она не определяется как новый диск.
    Хотя может быть глючит какая-то дочерняя служба от Plug & Play.

    Это может быть из-за того, что cureit удалил какой-то файл C:\windows\system32\usb???????.dll ( не помню точно название)?

    Высылаю новые логи которые получены в обычном режиме без службы Plug & Play.

    Есть смысл поставить SP3?
    Вложения Вложения

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    зловредного ничего не видно ....
    SP3 это выход ...

  13. #12
    Junior Member Репутация
    Регистрация
    20.06.2008
    Сообщений
    24
    Вес репутации
    36
    накатил SP3 не помогло.
    Обновил с установочного диска. Сломалась загрузка Daemon Tool, но зависать перестало. Видно какой-то вирус поломал Daemon Tool. Так что все ок.

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1292
    Демон - та ещё штучка. Его лучше было удалить перед обновлением. А сейчас можно попробовать переустановить.

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    17.09.2004
    Сообщений
    1,664
    Вес репутации
    740
    Цитата Сообщение от suvit Посмотреть сообщение
    Trojan.PWS.LDPinch.1941
    Пароли обязательно смените, они могут быть украдены.

  16. #15
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 4
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\baseqpiu32.dll - Trojan.Win32.Pakes.cws
      2. c:\\windows\\system32\\drivers\\clbdriver.sys - Rootkit.Win32.Clbd.ch (DrWEB: Trojan.NtRootKit.1297)
      3. c:\\windows\\system32\\drivers\\ulg29.sys - Rootkit.Win32.Qandr.hf


  • Уважаемый(ая) suvit, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Winlogon.exe грузит систему на 50%
      От Morfiy в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 20.11.2011, 13:22
    2. winlogon подвешивает систему
      От Caverz в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 21.12.2010, 13:17
    3. winlogon.exe грузит систему на 50%
      От KirKILL в разделе Помогите!
      Ответов: 25
      Последнее сообщение: 02.08.2010, 16:31
    4. winlogon грузит систему на 50%.
      От user112238 в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 17.06.2010, 19:05

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00457 seconds with 17 queries