winlogon.exe грузит проц по полной, иногда вместо него так же начинает userinit.exe грузить.
Еще KVRT нашел трояна в фаилах mssfc.dll, sfcfiles.dll, sfcfiles.dat, вылечить не смог, удалять я не рискнул
winlogon.exe грузит проц по полной, иногда вместо него так же начинает userinit.exe грузить.
Еще KVRT нашел трояна в фаилах mssfc.dll, sfcfiles.dll, sfcfiles.dat, вылечить не смог, удалять я не рискнул
Последний раз редактировалось AzraelXI; 21.11.2009 в 15:51.
Че риал никто помочь не может?
Поищите файлы с помощью AVZ bntr и norton2009Reset и пришлите их по правилам, упаковав в архив с паролем virus и закачав по красной ссылке вверху темы. Далее:
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.
В HiJackThis пофиксите:
Код:F2 - REG:system.ini: Shell= F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe, O4 - S-1-5-18 Startup: is-FN8UA.lnk = ? (User 'SYSTEM') O4 - .DEFAULT Startup: is-FN8UA.lnk = ? (User 'Default user')
В AVZ выполните скрипт:
После перезагрузкиКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Program Files\Norton2009Reset.exe',''); QuarantineFile('C:\Program Files\AskBarDis\bar\bin\askBar.dll',''); QuarantineFile('.bntr',''); QuarantineFile('.norton2009Reset',''); QuarantineFile('C:\Program Files\Stardock\Object Desktop\WindowBlinds\wblind.dll',''); DeleteService('.bntr'); DeleteService('.norton2009Reset'); DelBHO('{201f27d4-3704-41d6-89c1-aa35e39143ed}'); DelBHO('{3041d03e-fd4b-44e0-b742-2d9b88305f98}'); DeleteFile('C:\Program Files\Norton2009Reset.exe'); DeleteFile('C:\Program Files\AskBarDis\bar\bin\askBar.dll'); DeleteFile('.bntr'); DeleteFile('.norton2009Reset'); BC_ImportAll; ExecuteSysClean; BC_DeleteSvc('.norton2009Reset'); BC_DeleteSvc('.bntr'); BC_Activate; ExecuteRepair(16); ExecuteWizard('TSW',3,3,true); SetAVZPMStatus(True); RebootWindows(true); end.
Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи.
Спасибо, похоже проблема решилась
Последний раз редактировалось AzraelXI; 21.11.2009 в 15:51.
В AVZ выполните скрипт:
Карантин хотелось бы от вас получить.Код:begin ExecuteWizard('TSW',3,3,true); RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221); RebootWindows(true); end.
отправил
Добавлено через 10 минут
Рано радовался, после скрипта комп перезагрузился и winlogon.exe опять продолжает в том же духе
Последний раз редактировалось AzraelXI; 20.11.2009 в 02:56. Причина: Добавлено
Значит, надо заново логи делать. Вполне возможно, что опять заразились.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Раньше незамечал, открыто 6 процесов svchost.exe ссылающихся поочередно
svchost.exe -> services.exe -> winlogon.exe -> smss.exe
вот новые логи
Последний раз редактировалось AzraelXI; 21.11.2009 в 15:51.
Ауууу? Ктонибудь? help!
В AVZ выполните скрипт:
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темыКод:begin SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); QuarantineFile('C:\Program Files\CyberMama\compadvctrl.exe',''); BC_ImportQuarantineList; BC_Activate; ExecuteWizard('TSW',3,3,true); RebootWindows(true); end.
Сделайте лог Gmer и прикрепите его к сообщению.
Тут еще после выполнения предыдущего скрипта появилось какое то "неизвестное устройство". Все что я нашел о нем
Код экземпляра устроиства - ROOT\LEGACY_UZM3MTQ4\0000
флаги Devnode -
DN_ROOT_ENUMERATED
DN_HAS_PROBLEM
DN_DISABLEABLE
DN_NT_ENUMERATOR
DN_NT_DRIVER
Неизвестное устройство удалите. В gmer полное сканирование сделали? Лог какой то "куцый".
После быстрой проверки нажать кнопку ScanПо ссылке было написано оставить галочку только на system. а как надо?
Это от AVZ. В правилах написано, что перед лечением необходимо отключить все защитное ПО!Trojan Remover теперь подозревает этот процес
C:\WINDOWS\system32\Drivers\utm3mtq4.sys
HKLM\SYSTEM\CurrentControlSet\Services\utm3mtq4
вот
В логе чисто.
Чтож этот winlogon никак не успокоится Больше нет вариантов?
Проверил Process Monitor'ом, вот логи может глянете?
Уважаемый(ая) AzraelXI, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.