Показано с 1 по 13 из 13.

Нестандартный ключ Winlogon\Shell (заявка № 8257)

  1. #1
    Junior Member Репутация
    Регистрация
    04.03.2007
    Сообщений
    6
    Вес репутации
    41

    Thumbs up Нестандартный ключ Winlogon\Shell

    Эвристичеcкая проверка системы
    Нестандартный ключ Winlogon\Shell, подозрение на скрытый запуск "explorer.exe ,svchost.exe"
    C:\WINDOWS\system32\adir.dll >>>>> Email-Worm.Win32.Banwarum.f удален

    нет доступа к параметрам экрана - появляется синий экран
    Последний раз редактировалось vanek; 05.03.2007 в 00:12.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    Запустите AVZ.
    Выполните скрипт через меню Файл:
    Код:
    begin
     QuarantineFile('C:\Program Files\PartyGaming\PartyPoker\RunApp.exe','');
     QuarantineFile('C:\WINDOWS\System32\zafrye.dll','');
     QuarantineFile('svchost.exe','');
     QuarantineFile('c:\windows\system32\uvnx.exe','');
     QuarantineFile('C:\WINDOWS\System32\taskdir.exe','');
     QuarantineFile('C:\WINDOWS\System32\lnwin.exe','');
     QuarantineFile('C:\WINDOWS\System32\adirss.exe','');
     QuarantineFile('C:\DOCUME~1\Van\LOCALS~1\Temp\winlogon.exe','');
     QuarantineFile('C:\DOCUME~1\Van\LOCALS~1\Temp\svchast.exe','');
     QuarantineFile('C:\WINDOWS\inetloader.dll','');
     CreateQurantineArchive(GetAVZDirectory+'8257_quarantine.zip');
    end.
    Загрузите файл 8257_quarantine.zip из папки AVZ, используя эту ссылку.

    PS. Настоятельно рекомендую установить Service Pack 2 для Windows XP. Правда, могут быть проблемы, если Windows пиратский.
    PPS. Вы процессы через диспетчер задач перед созданием логов не закрывали?
    Последний раз редактировалось AndreyKa; 04.03.2007 в 21:50. Причина: PS

  4. #3
    Junior Member Репутация
    Регистрация
    04.03.2007
    Сообщений
    6
    Вес репутации
    41
    логи делал не со всеми процессами, сильно ругался.
    прикрепил логи со всеми обчными процессами, надеюсь все как надо сделанно

    ну и файл 8257_quarantine.zip
    Результат загрузки

    Файл сохранён как070304_232528_8257_quarantine_45eb2b38d16fb.zip Размер файла633372MD584801637ccbc1d75dd0577dd0131fb3f
    Последний раз редактировалось vanek; 05.03.2007 в 00:12.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    C файлом 8257_quarantine.zip получилось что-то не то.
    Придется вручную взять из карантина файлы, попавшие туда сегодня. Как это сделать смотрите в приложении 3 Правил.

  6. #5
    Junior Member Репутация
    Регистрация
    04.03.2007
    Сообщений
    6
    Вес репутации
    41
    сделано, отправил по ссылке
    эту ссылку.
    Файл сохранён как070305_001500_virus_45eb36d4de821.zip

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    Все присланные в этот раз файлы - вредоносные.
    Закройте все программы.
    Отключитесь от Интернета.
    Запустите AVZ.
    Выполните скрипт через меню Файл:
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     DeleteFile('C:\DOCUME~1\Van\LOCALS~1\Temp\winlogon.exe');
     DeleteFile('C:\WINDOWS\inetloader.dll');
     DeleteFile('C:\WINDOWS\System32\lnwin.exe');
     DeleteFile('C:\WINDOWS\System32\adirss.exe');
     DeleteFile('C:\WINDOWS\System32\taskdir.exe');
     DeleteFile('C:\DOCUME~1\Van\LOCALS~1\Temp\svchast.exe');
     BC_ImportDeletedList; 
     ExecuteSysClean;
     BC_LogFile(GetAVZDirectory + 'boot_clr.log'); 
     BC_Activate; 
     RebootWindows(True);
    end.
    Компьютер перезагрузится.
    Сделайте новые логи начиная с 10-го пункта Правил и приложите их к своей теме вместе с файлом boot_clr.log из папки AVZ.

  8. #7
    Junior Member Репутация
    Регистрация
    04.03.2007
    Сообщений
    6
    Вес репутации
    41
    вот файлы, вопрос с насторойками разрешения на компьютере, стоит самое низкое разрешение, глубина цвета и т.д. изменить не дает - сининй экран
    Вложения Вложения

  9. #8
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2500
    В AVZ восстановление системы, пункт 5, поставить галочку, выполнить отмеченные операции.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    Пофиксте в HijackThis следующие строки:
    F2 - REG:system.ini: Shell=explorer.exe ,svchost.exe
    O4 - HKLM\..\Run: [uvnx] c:\windows\system32\uvnx.exe
    O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\...
    O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\...

  11. #10
    Junior Member Репутация
    Регистрация
    04.03.2007
    Сообщений
    6
    Вес репутации
    41
    все сделал только с экраном проблемма осталась, выдает синий экран ироглифы, понятный текст следущий
    STOP 0x0000008e (0xc00000005, 0xBFA5769A, 0XEF8272CC, 0x00000000)
    ati3duag.dll - address BfA5796A base at BFA03000, datestamp 3ec448c5

    и при заходе в установку оборудования пишет занят, т.к. можно устанавливать 1 оборудование в каждый момент времени

  12. #11
    Junior Member Репутация
    Регистрация
    04.03.2007
    Сообщений
    6
    Вес репутации
    41
    спасибо всем, работает

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    Что работает? И свойства рабочего стола?

    Вы можете нам помочь в дальнейшей борьбе с заразой.
    Если у вас нет проблем с Интернет трафиком, то выполните, пожалуйста, процедуру описанную здесь: http://virusinfo.info/showthread.php?t=3519
    Не забудьте при этом закрыть все программы, которые вы запустили сами.

  14. #13
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,317
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 8
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\docume~1\\van\\locals~1\\temp\\svchast.exe - Trojan-Downloader.Win32.Bensorty.dr (DrWEB: Trojan.DownLoader.19391)
      2. c:\\docume~1\\van\\locals~1\\temp\\winlogon.exe - Trojan-Proxy.Win32.Small.du (DrWEB: Trojan.Spambot)
      3. c:\\windows\\inetloader.dll - Trojan-Downloader.Win32.Small.ddp (DrWEB: Trojan.DownLoader.19172)
      4. c:\\windows\\system32\\adirss.exe - Packed.Win32.Tibs.bw (DrWEB: Trojan.Packed.43)
      5. c:\\windows\\system32\\lnwin.exe - Packed.Win32.Tibs.bw (DrWEB: Trojan.Packed.43)
      6. c:\\windows\\system32\\taskdir.exe - Packed.Win32.Tibs.bw (DrWEB: Trojan.Packed.43)


  • Уважаемый(ая) vanek, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ошибка shell.exe
      От Vlan в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 20.11.2010, 13:53
    2. shell\open\default=1
      От AndreyM в разделе Вредоносные программы
      Ответов: 1
      Последнее сообщение: 22.09.2010, 17:34
    3. LSA Shell (lsass.exe) - ошибка и перезагрузка
      От Nightfish в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 19.06.2010, 09:34
    4. постоянно вылазит shell.fne
      От Oizo в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 17.07.2009, 18:22
    5. Ответов: 1
      Последнее сообщение: 26.10.2007, 23:13

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01477 seconds with 17 queries