Winlogon изменил область памяти
Здраствуйте!
Outpost выдает предупреждение, что Winlogon.exe изменил область памяти Iexplore.exe. После этого эксплорером выйти в инет нельзя, пока его не убъешь в списке запущенных процессов. Началось это несколько дней назад, может произойти раз в день, может больше. Происходит и с запущенным эксплорером, и когда он не включен. В принципе не смертельно, я сам оперой пользуюсь, но супруга эксплорером, поэтому хотелось бы разобраться с этой проблемой и пофиксить.
Спасибо.
Последний раз редактировалось beh01der; 19.06.2011 в 14:59.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
@beh01der
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\SYSTEM32\winubg32.dll',''); RebootWindows(true); end.
Содержимое карантина пришлите согласно приложению 3 правил.
Следующим шагом пофиксите через HiJackThis строчку
Выполните скрипт в AVZ:Код:O20 - Winlogon Notify: winubg32 - C:\WINDOWS\SYSTEM32\winubg32.dll
После перезагрузки повторите логи.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\SYSTEM32\winubg32.dll'); BC_DeleteFile('C:\WINDOWS\SYSTEM32\winubg32.dll'); ExecuteSysClean; BC_Activate; RebootWindows(True); end.
Последний раз редактировалось Rene-gad; 22.04.2007 в 11:10.
Файл сохранён как 070422_112320_virus_462b0d6804192.zipСообщение от Rene-gad
Размер файла 18300
MD5 a80de1cd75848598ed834d4a0eb6d3cc
@beh01der
NOD32 2.7 распознал Trojan.Agent.QT.
Выполните скрипт по удалению и повторите логи.
сделано
Последний раз редактировалось beh01der; 19.06.2011 в 14:59.
пофиксите строчку
и сообщите, работает ли ИЕ как надо и что говорит Аутпост.O20 - Winlogon Notify: winubg32 - C:\WINDOWS\
c:\program files\bonjour\mdnsnsp.dll' кто-то удалил, надо бы сделать порядок:
А потом , если нужно переставить эту штуковину от itunes, но лучше не надоbegin
AutoFixSPI;
RebootWindows(true);
end.
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
пофиксил
IE работает, outpost пока молчит
но он не каждый раз как открывали IE кричал
там не совсем понятная периодичность была
мог даже при не запущеном IE выдать сообщение про winlogon
и тогда в процессах появлялся процесс iexplore
Огромное Спасибо за помощь!
1. Обязательно установите все заплатки от Microsoft
2. Пофиксите для порядка все строчки, где в конце стоит - (no file)
3. Выполните скрипт от drongo.
4. Обновите JavaRE.
Have a nice Weekend.
я сам ее снесc:\program files\bonjour\mdnsnsp.dll' кто-то удалил, надо бы сделать порядок:
А потом , если нужно переставить эту штуковину от itunes, но лучше не надо
последний фотошоп ее поставил, на форуме прочел как удалять и снел
видать что-то не правильно сделал, мне эта прога не нужна совсем
фиксить из AVZ?Cs3 install a new service called Bonour
Bonjour seems too send information or willing to talk with an other site....
However, with zonealarm, it can be stopped but with other firewall?
After installing cs3 (and Bonjour) the computer won't shut down!
To remove Bonjour
There are workarounds to get rid of it after installation.
start ->run -> type 'cmd' to bring up a command prompt
type sc stop "Bonjour Service"' (include the double quotes)
type sc delete "Bonjour Service"'
Then go to the Bonjour folder and delete the .exe. There is also a dll that cannot be deleted. Change the name of the dll and reboot, and then delete it. AFter that, you need torun a free downloadable program called lspfix, because Bonjour fouls yet something else up that I don't completely understand, but the fix does, in fact, work. You may need Admin rights to do this; I'm not sure.
I'm not sure if Bonjour was talking to Adobe.... but it install something behind me and make some modifications in my wsock32.dll and didn't ask nothing about that during CS 3 install.
Да. Причём фиксить можно только из HijackThis.
(no file) пофиксил1. Обязательно установите все заплатки от Microsoft
2. Пофиксите для порядка все строчки, где в конце стоит - (no file)
3. Выполните скрипт от drongo.
4. Обновите JavaRE.
Have a nice Weekend
(file missing) тоже нужно фиксить?
конечно
После всех фиксов, надо перегрузиться -что бы изменения вступили в силу.
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Только для тех, у которых нет параметров. Hijack иногда ошибается.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\winubg32.dll - Trojan.Win32.Dialer.qn (DrWEB: Trojan.Mezzia)
Уважаемый(ая) beh01der, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
