winlogon.exe Ошибка приложения

[hash]

Периодически, при работе в сети, выскакивает окно (приложил), после чего кнопки и иконки неестественно выделяются. Если нажать ОК в диалоговом окне то комп уходит в перезагрузку сразу, если "Отмена", то спустя некоторое время (секунды, или 1-2 минуты). Иногда, слово "read" в окне заменяется на "written".
Файл Winlogon.exe присутствует в двух папках: windows/system32 и windows/system32/dllcash, размер одинаковый 506кб. Оба прогонял в online через dr.WEB - статус ОК.
Проблема ориентировочно возникла после того как ковырял windows-настройки по одной статье, в частности - отключил надоедливое окно с запросом пароля администратора при загрузке системы. Позже окно вернул назад, но проблема не устранилась.
Возникает проблема один раз в сутки, при работе 3-4 часа в сутки.
Система winXP pro rus, SP1.

Из имеющихся в свободном доступе антивирусов использовал ad aware, который нашел и удали трояна coldun. Проблема не ушла.

[Alex Plutoff]

-потрудитесь всё же прочесть страничку http://virusinfo.info/showthread.php?t=1235 ...это правила, без выполнения которых Вам вряд ли кто-то возьмётся помочь.

[pig]

Без логов можно только посоветовать обовиться до SP2 и поставить ещё три десятка заплаток, вышедших после SP2.

[anton_dr]

и поставить ещё три десятка заплаток, вышедших после SP2.

Шесть десятков

[pig]

Ага. Посмотрел в своё собрание - 54 заплатки для Windows (включая сам SP2) плюс отдельно лежат патчи на IE, Media Player, MDAC, .NET. Кошмар.

[hash]

Так это вирус?! А мне казалось что я кривыми руками что-то намудрил. Заплатки - это на будущее, а как сейчас его обезвредить, как выдернуть занозу из компа? В папке dllcash должен быть близнец?
Если неохота отвечать в сотый раз на старый вопрос, киньте линк на решение проблемы, плиз.

[drongo]

http://virusinfo.info/showthread.php?t=1235
Но лечение на долго не поможет без заплат и стенки .

[hash]

Пардоньте, читаю fag, кажись то самое.

[hash]

Снова я, проказник.
Касперкого нет, dr.Web не скачал еще, но обязательно попробую.
В остальном все по инструкции.
Выкладываю анализы от avz4 и англоязычной программы с аброкадаброй вместо названия.
Ваш ход, господа!

[hash]

Чего-то сомнение меня взяло - корректно ли выполнен 13-й пункт правил?

[drongo]

Прям прогрес на лицо , логи есть Прислать по правилам файлы :

C:\WINDOWS\system32\dvr32.exe
C:\WINDOWS\SYSTEM32\pasksa.dll
C:\WINDOWS\system32\satad645.sys
c:\eied_s7.cab
c:\ex.cab
C:\Documents and Settings\Администратор\Мои документы\Авто\Программы\Almi\ct25(температурный). zip/{ZIP}/CTuning.exe
C:\Program Files\Ulead SmartSaver Pro 3.0\Ussfprun.exe
C:\WINDOWS\System32\RadExe.dll


Заражение есть , скачайте cureit- запустите Windows в безопасном режимe и пролечите , отпиши тут , что будет найдено , просто интетрестно

[hash]

Исполнено:

Файл сохранён как 061118_171511_virus_455f85efbe3b8.zip
Размер файла 27026
MD5 a501526c3e70fa36f8b443d9300b270b

У меня уже руки чешутся удалить первых трех. О, Великий, дозволь я отрублю ему голову!

[AndreyKa]

Да, следующие файлы следует удалить через отложенное удаление AVZ:
C:\WINDOWS\system32\dvr32.exe
C:\WINDOWS\SYSTEM32\pasksa.dll
C:\WINDOWS\system32\satad645.sys

[hash]

Прогнал файлы через drweb-cureit.exe
В качестве вируса был найден один файл srvany.exe (7кб), и перемещен в карантин. Я его частенько видел в списке запущенных приложений, как и dvr32.exe.
Ему тоже бошку рубить? Может и Вам прислать, препарируете?

Второй посылкой отправил на проверку radexe.dll
Пути c:\eied_s7.cab и c:\ex.cab не нахожу ни я, ни avz4. Сокрытие системных файлов убрано.

[drongo]

Пофиксить :

Код:

O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab
O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab
O20 - Winlogon Notify: satad640 - satad640.dll (file missing)

можете прислать , того что дрвеб обнаружил
C:\WINDOWS\SYSTEM32\reset5.dll -тоже на всякий случай прислать

[hash]

svany.exe и reset5.dll отослал.
Сейчас изучаю ссылку "пофиксить".

[Alex Plutoff]

-svany.exe и reset5.dll ни что иное, как крак Вашей "winXP pro rus, SP1" ...так что поосторожней с ними, а то останетесь и вовсе без ОС

-теперь дальше...
C:\WINDOWS\system32\dvr32.exe - Trojan.Win32.VB.apw (Kaspersky Labs) или Trojan.Vb.APW (BitDefender)
C:\WINDOWS\SYSTEM32\pasksa.dll - DeepScan:Generic.Malware.SFYdld!.A914452B (BitDefender)
C:\WINDOWS\system32\satad645.sys - TR/Spy.Haxspy.AP.2 (AntiVir) или W32/Goldun.gen3 (Authentium) и т.д и т.п. variant of Win32/Rootkit.Agent.AT

-поскольку DrWeb их пока не знает - CureIT! не поможет... придётся удалять посредством AVZ через Файл > Отложенное удаление файла, а возможно и с включённым AVZ Guapd... впрочем, AndreyKa уже раньше об этом писал (что-то я не внимательный становлюсь, пора наверное отдохнуть)

[MOCT]

также поищите файлы:
p79bsksb.sys
a0dr0fl.dat
satad640.dll
sdrt1.p44
sdrt2.p44
sdrt3.p44
если есть - присылайте

[hash]

Искал средствами ОС в папке windows, таких файлов нет.

-svany.exe и reset5.dll ни что иное, как крак Вашей "winXP pro rus, SP1" ...так что поосторожней с ними, а то останетесь и вовсе без ОС

Надо ли вернуть srvany.exe на место? Dr.web выдернул файл откуда-то, а я не запомнил. Папка system32?

[pig]

Искал средствами ОС в папке windows, таких файлов нет.

http://virusinfo.info/showthread.php?t=4567

Надо ли вернуть srvany.exe на место? Dr.web выдернул файл откуда-то, а я не запомнил. Папка system32?

Два раза "да".
Hint: сканер Доктора в папке карантина оставляет файл descript.ion, где пишет, что откуда выдернуто.