-
Junior Member
- Вес репутации
- 63
Winlogon изменил область памяти
Здраствуйте!
Outpost выдает предупреждение, что Winlogon.exe изменил область памяти Iexplore.exe. После этого эксплорером выйти в инет нельзя, пока его не убъешь в списке запущенных процессов. Началось это несколько дней назад, может произойти раз в день, может больше. Происходит и с запущенным эксплорером, и когда он не включен. В принципе не смертельно, я сам оперой пользуюсь, но супруга эксплорером, поэтому хотелось бы разобраться с этой проблемой и пофиксить.
Спасибо.
Последний раз редактировалось beh01der; 19.06.2011 в 14:59.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
@beh01der
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\SYSTEM32\winubg32.dll','');
RebootWindows(true);
end.
Компьютер перезагрузится.
Содержимое карантина пришлите согласно приложению 3 правил.
Следующим шагом пофиксите через HiJackThis строчку
Код:
O20 - Winlogon Notify: winubg32 - C:\WINDOWS\SYSTEM32\winubg32.dll
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\SYSTEM32\winubg32.dll');
BC_DeleteFile('C:\WINDOWS\SYSTEM32\winubg32.dll');
ExecuteSysClean;
BC_Activate;
RebootWindows(True);
end.
После перезагрузки повторите логи.
Последний раз редактировалось Rene-gad; 22.04.2007 в 11:10.
-
-
Junior Member
- Вес репутации
- 63
Сообщение от
Rene-gad
Компьютер перезагрузится.
Содержимое карантина пришлите согласно приложению 3 правил.
Файл сохранён как 070422_112320_virus_462b0d6804192.zip
Размер файла 18300
MD5 a80de1cd75848598ed834d4a0eb6d3cc
-
@beh01der
NOD32 2.7 распознал Trojan.Agent.QT.
Выполните скрипт по удалению и повторите логи.
-
-
Junior Member
- Вес репутации
- 63
Сообщение от
Rene-gad
@beh01der
NOD32 2.7 распознал
Trojan.Agent.QT.
Выполните скрипт по удалению и повторите логи.
сделано
Последний раз редактировалось beh01der; 19.06.2011 в 14:59.
-
Сообщение от
beh01der
сделано
пофиксите строчку
O20 - Winlogon Notify: winubg32 - C:\WINDOWS\
и сообщите, работает ли ИЕ как надо и что говорит Аутпост.
-
-
c:\program files\bonjour\mdnsnsp.dll' кто-то удалил, надо бы сделать порядок:
begin
AutoFixSPI;
RebootWindows(true);
end.
А потом , если нужно переставить эту штуковину от itunes, но лучше не надо
-
-
Junior Member
- Вес репутации
- 63
Сообщение от
Rene-gad
пофиксите строчку
и сообщите, работает ли ИЕ как надо и что говорит Аутпост.
пофиксил
IE работает, outpost пока молчит
но он не каждый раз как открывали IE кричал
там не совсем понятная периодичность была
мог даже при не запущеном IE выдать сообщение про winlogon
и тогда в процессах появлялся процесс iexplore
Огромное Спасибо за помощь!
-
Сообщение от
beh01der
Огромное Спасибо за помощь!
1. Обязательно установите все заплатки от Microsoft
2. Пофиксите для порядка все строчки, где в конце стоит - (no file)
3. Выполните скрипт от drongo.
4. Обновите JavaRE.
Have a nice Weekend .
-
-
Junior Member
- Вес репутации
- 63
Сообщение от
drongo
c:\program files\bonjour\mdnsnsp.dll' кто-то удалил, надо бы сделать порядок:
А потом , если нужно переставить эту штуковину от itunes, но лучше не надо
я сам ее снес
последний фотошоп ее поставил, на форуме прочел как удалять и снел
видать что-то не правильно сделал, мне эта прога не нужна совсем
Cs3 install a new service called Bonour
Bonjour seems too send information or willing to talk with an other site....
However, with zonealarm, it can be stopped but with other firewall?
After installing cs3 (and Bonjour) the computer won't shut down!
To remove Bonjour
There are workarounds to get rid of it after installation.
start ->run -> type 'cmd' to bring up a command prompt
type sc stop "Bonjour Service"' (include the double quotes)
type sc delete "Bonjour Service"'
Then go to the Bonjour folder and delete the .exe. There is also a dll that cannot be deleted. Change the name of the dll and reboot, and then delete it. AFter that, you need torun a free downloadable program called lspfix, because Bonjour fouls yet something else up that I don't completely understand, but the fix does, in fact, work. You may need Admin rights to do this; I'm not sure.
I'm not sure if Bonjour was talking to Adobe.... but it install something behind me and make some modifications in my wsock32.dll and didn't ask nothing about that during CS 3 install.
фиксить из AVZ?
-
Сообщение от
beh01der
фиксить из AVZ?
Да. Причём фиксить можно только из HijackThis.
-
-
Junior Member
- Вес репутации
- 63
Сообщение от
Rene-gad
1. Обязательно установите все заплатки от Microsoft
2. Пофиксите для порядка все строчки, где в конце стоит
- (no file)
3. Выполните скрипт от
drongo.
4. Обновите JavaRE.
Have a nice Weekend
.
(no file) пофиксил
(file missing) тоже нужно фиксить?
-
Сообщение от
beh01der
(no file) пофиксил
(file missing) тоже нужно фиксить?
конечно
После всех фиксов, надо перегрузиться -что бы изменения вступили в силу.
-
-
Сообщение от
beh01der
(no file) пофиксил
(file missing) тоже нужно фиксить?
Только для тех, у которых нет параметров. Hijack иногда ошибается.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\winubg32.dll - Trojan.Win32.Dialer.qn (DrWEB: Trojan.Mezzia)
-