Показано с 1 по 8 из 8.

WINLOGON, rar.exe и все, все, все (заявка № 9730)

  1. #1
    Junior Member Репутация
    Регистрация
    26.04.2007
    Сообщений
    7
    Вес репутации
    62

    Exclamation WINLOGON, rar.exe и все, все, все

    Что то интересное стало твориться на машине дома. Заметил в диспетчере задач что постоянно то запускается, то закрывается процесс rar.exe (Из D:\Programm files\WinRAR). Программой, которая отслеживает обащения к файловой системе выяснил что процесс обращается к файлам %WINDIR%\System32\__rar_00.000 и %WINDIR%\System32\%MS%HCopy.tmp. Причем постоянно то пишет в них, то читает. Файлов __rar_ было несколько с расширением разных номеров (типа как у многотомного архива). На проверку оба файла оказались действительно rar-архивами, перименовал расширение, открыл архиватором, в архиве оказалось выборочно структура содержимого соседнего диска. Переименовал rar.exe в rar.exe.bak и удалил все его файлы из system32, после перезагрузки машина вошла в такой ступор, что загрузка винды заняла 2 часа, а процесс winlogon занимал 100% процессорного времени. (Ксати недавно приносили ноутбук с такими же симптомами, но там просили переставить винду, я и переставил... видать от него и заразился... флешку втыкал, пытался скинуть антивирь). Дождался пока запустится диспетчер задач (на это ушло 2,5 часа) понизил приоритет процесса winlogon до минимального, после этого на машине хоть что-то можно было делать... Затем той же программой сканирования обращения к файлам увидел что процесс winlogon пытается обратиться к файлам rar.exe и rar.exe.exe только почему то уже ищет их в %WINDIR%\System32, на что ессно получает "File not found" и этими обращениями завешивает все на свете. Перименовал rar.exe.bak обратно и скопировал в system32, после этого система "ожила", winlogon перестал отъедать процессорное время, появились новые файлы в system32, стал опять запускаться rar.exe. Вот и что это за зараза? в инете ничего не нашел по этому вопросу...

    И еще... тот вирус, что передается через флешки, создавая autorun.inf в корне, папку Recycler с autorun.exe внутри чем лечить? на этой же машине...
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('D:\WINXP\system32\kernel32.sys','');
     QuarantineFile('d:\program files\winrar\rar.exe','');
     QuarantineFile('D:\WINXP\system32\ati2sgag.exe','');
    BC_ImportQuarantineList;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Файлы карантина пришлите согласно приложению 3 правил.
    I am not young enough to know everything...

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от FireBall Посмотреть сообщение
    Заметил в диспетчере задач что постоянно то запускается, то закрывается процесс rar.exe (Из D:\Programm files\WinRAR).
    Что-то знакомое. Пару дней назад был такой клиент в ТБ: он получил WinRAR в "подарок" от приятеля - вместе с кряком . Так этот кряк и пытался позвонить домой.

  5. #4
    Junior Member Репутация
    Регистрация
    26.04.2007
    Сообщений
    7
    Вес репутации
    62
    Карантин отправил..

    2 Rene-gad: система стоит уже давно, winrar ставился сразу после установки винды и сразу же ломался, а эта канитель началась недавно..

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1385
    Выполните скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    DeleteFile('D:\WINXP\system32\kernel32.sys','');
    BC_ImportAll;
    BC_Activate;
    RebootWindows(true);
    end.
    файл Worm.Win32.Agent.o
    После перезагрузки новые логи.

  7. #6
    Junior Member Репутация
    Регистрация
    26.04.2007
    Сообщений
    7
    Вес репутации
    62
    Залечил, файл удалился. прикрепляю новые логи
    Вложения Вложения

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1385
    Пофиксите.
    O20 - AppInit_DLLs: kernel32.sys
    А вообще, имейте совесть, читайте правила - логи надо делать отключив все лишнее, браузер включить. А то логи километровые. Уважайте труд хелперов.
    А также
    Внимание !!! База поcледний раз обновлялась 17.04.2007 - необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)

  9. #8
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 9
    • В ходе лечения обнаружены вредоносные программы:
      1. d:\\winxp\\system32\\kernel32.sys - Worm.Win32.Agent.o (DrWEB: Trojan.MulDrop.4601)


  • Уважаемый(ая) FireBall, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. winlogon.exe
      От Grime в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 20.11.2010, 20:37
    2. winlogon
      От AzraelXI в разделе Помогите!
      Ответов: 26
      Последнее сообщение: 23.11.2009, 20:11
    3. winlogon.exe и BN2.tmp
      От lore в разделе Помогите!
      Ответов: 22
      Последнее сообщение: 22.02.2009, 05:52
    4. Ответов: 21
      Последнее сообщение: 06.02.2009, 16:02
    5. winlogon.exe
      От Webnek в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 13.06.2008, 12:43

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01267 seconds with 18 queries