проблема с winlogon
Приветствую
Возникла проблема: компьютер под Win XP Prof SP2 (лицензия), проблема в следующем: при загрузке возникает окно с ошибкой winlogon.exe, при этом возможность работы сохраняется, но стоит нажать на ок (скрин прилагается) и компьютер уходит в ребут. В безопасном режиме грузится нормально...
Проверен всеми известными антивирусами, результатов 0.
Прошу поддержки.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Нужно обновить базы и переделать логи.Код:Внимание !!! База поcледний раз обновлялась 21.08.2009 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
свежие логи
Отключить восстановление системы, защитное ПО.
Профиксить (может не быть):
Выполнить скрипт:Код:F2 - REG:system.ini: Shell=explorer.exe rundll32.exe
Компьютер перезагрузится. Карантин загрузить по красной ссылке. Логи повторить. РАдмин сами ставили? Какие проблемы наблюдаются?Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Program Files\RDS\ddsschednt.exe',''); QuarantineFile('C:\WINDOWS\system32\Drivers\SYMREDRV.SYS',''); QuarantineFile('C:\Documents and Settings\Администратор\Рабочий стол\CheckCard2.exe',''); QuarantineFile('C:\Documents and Settings\Администратор\Рабочий стол\Бэк-офис\2010\АП\Отправленные реестра ТО\Реестр Евросеть_11.02.2010.msg',''); QuarantineFile('C:\Documents and Settings\Администратор\Рабочий стол\Бэк-офис\2010\АП\Отправленные реестры АП\Ведущему администратору\RE Реестр АП.msg',''); QuarantineFile('C:\Documents and Settings\Администратор\Рабочий стол\Бэк-офис\Вопрос-ответ_2010\FW ИП 0210 Порядок работы с документацией (Зарплатный проект)1.msg',''); QuarantineFile('C:\Documents and Settings\Администратор\Рабочий стол\Бэк-офис\Вопрос-ответ_2010\FW ИП 0210 Порядок работы с документацией (Зарплатный проект)2.msg',''); QuarantineFile('C:\Documents and Settings\Администратор\Рабочий стол\ЗАРПЛАТНЫЙ ПРОЕКТ\FW ИП 0210 Порядок работы с документацией (Зарплатный проект)1.msg',''); QuarantineFile('C:\Program Files\RDS\DdsAUm32.r',''); QuarantineFile('C:\Program Files\RDS\LangDeps\cn\DdsAUm32.r',''); QuarantineFile('C:\Program Files\RDS\LangDeps\cs\DdsAUm32.r',''); QuarantineFile('C:\Program Files\RDS\LangDeps\da\DdsAUm32.r',''); QuarantineFile('C:\Program Files\RDS\LangDeps\de\DdsAUm32.r',''); QuarantineFile('C:\Program Files\RDS\LangDeps\en\DdsAUm32.r',''); QuarantineFile('C:\Program Files\RDS\LangDeps\es\DdsAUm32.r',''); QuarantineFile('C:\Program Files\RDS\LangDeps\fi\DdsAUm32.r',''); QuarantineFile('C:\Program Files\RDS\LangDeps\fr\DdsAUm32.r',''); QuarantineFile('C:\Program Files\RDS\LangDeps\hu\DdsAUm32.r',''); QuarantineFile('C:\Program Files\RDS\LangDeps\it\DdsAUm32.r',''); QuarantineFile('C:\Program Files\RDS\LangDeps\nl\DdsAUm32.r',''); QuarantineFile('C:\Program Files\RDS\LangDeps\no\DdsAUm32.r',''); QuarantineFile('C:\Program Files\RDS\LangDeps\pl\DdsAUm32.r',''); QuarantineFile('C:\Program Files\RDS\LangDeps\pt\DdsAUm32.r',''); QuarantineFile('C:\Program Files\RDS\LangDeps\sv\DdsAUm32.r',''); QuarantineFile('C:\Program Files\RDS\LangDeps\tw\DdsAUm32.r',''); QuarantineFile('C:\RECYCLER\S-1-5-21-876610417-1181462139-3120691664-500\Dc892\Реестр Евросеть_11.02.2010.msg',''); QuarantineFile('C:\WINDOWS\system32\r_server.exe',''); QuarantineFile('C:\WINDOWS\system32\cmdow.exe',''); DeleteFile('C:\RECYCLER\S-1-5-21-876610417-1181462139-3120691664-500\Dc892\Реестр Евросеть_11.02.2010.msg'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('SCU',2,2,true); ExecuteWizard('TSW',2,2,true); BC_Activate; RebootWindows(true); end.
Без изменений.
Да, радмина ставили сами, больше проблем нет - только висящая ошибка winlogon.exe которая мешает работать.
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Обязательно!!! Системное восстановление!!! как- посмотреть можно тут
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- Выполните скрипт в AVZ
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); QuarantineFile('C:\WINDOWS\System32\sfcfiles.dll',''); RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak'); CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll'); DeleteFile('C:\WINDOWS\System32\sfcfiles.bak'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW', 2, 2, true); ExecuteWizard('SCU', 2, 2, true); BC_DeleteFile('C:\WINDOWS\System32\sfcfiles.bak'); BC_Activate; RebootWindows(true); end.
- выполните такой скрипт
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 28
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\cmdow.exe - not-a-virus:RiskTool.Win32.HideWindows
- c:\windows\system32\r_server.exe - not-a-virus:RemoteAdmin.Win32.RAdmin.22
Уважаемый(ая) nix_terror, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
