Как вылечить-заменить winlogon.exe?

Severny · Отправлено: **08:46, 06-02-2008** | #2

http://forum.oszone.net/post-717373-2.html

Vitac_Black · Отправлено: **11:54, 06-02-2008** | #3

Цитата SergOst:

winlogon.exe троян, но удалить не может »

Смотри на скрин 1 пиши так выглядит диспетчер задач или нет.

SergOst · Отправлено: **23:26, 06-02-2008** | #4

Цитата:

http://forum.oszone.net/post-717373-2.html

Это в первом пункте означает: снеси свой антивир и установи от DrWeb c битой ссылкой.
Чем DrWeb лучше, если бы он и скачивался?

Цитата Vitac_Black:

Смотри на скрин 1 пиши так выглядит диспетчер задач или нет. »

Нет не так выглядит скрин диспетчера, у меня всего один запуск winlogon и он 453 кб, что меньше натурального размера файла (около 500 кб)
Напомню, что у меня не win XP или Vista, а win 2003 Small Business Server

Я нашел winlogon.ex_ в i386 дистрибутива и разархивировал-заменил на него с помощью expand, но от этого ничего не изменилось.
По-прежнему McAfee дает проверку winlogon.exe заражен Trojan Spy-Agent.bw!mem
и еще ключ реестра "заражен" HKLM\Software\MS\WinNT\CurVer\Winlogon\Userinit , значение ключа - userinit.exe файл из system32
Проверил оба файла userinit.exe и winlogon.exe в онлайне у Касперского и DrWeb - сказали, что заражения нет.

Не понимаю, что делать?

rubin-vinfo · Отправлено: **23:35, 06-02-2008** | #5

Выполнить правила, либо попробовать отослать файл в ВирЛаб McAfee

Vadikan · Конфигурация компьютера

Цитата SergOst:

Это в первом пункте означает: снеси свой антивир и установи от DrWeb c битой ссылкой. »

Ссылка работает, см. http://www.freedrweb.com/cureit/

Тем не менее, помимо первого пункта, там было еще шесть. Если вы их не выполните к следующему сообщению, я тему закрою в соответствии с правилами форума.

Vitac_Black · Отправлено: **09:51, 07-02-2008** | #7

Цитата SergOst:

Нет не так выглядит скрин диспетчера »

Тогда я не могу ничего сказать.Не так давно лечил компьютер с двумя winlogonamи справился сразу,если было бы как на скрине помог бы словом.А скрин сделан с VMware Workstation поставил Win XP урезанную, и заразил winlogonом 2.
Буду прослеживать тему,должно пригодиться
Всём Удачи !

Pili · Отправлено: **10:22, 07-02-2008** | #8

Цитата SergOst:

Это в первом пункте означает: снеси свой антивир и установи от DrWeb c битой ссылкой. »

Где в правилах написано, что надо сносить свой антивирус? - Не надо - cureit не содержит антивирусного монитора, не требует установки, ссылки работающие, но если у вас нет доступа по ftp, cureit по этой ссылке не скачаете, зато можете воспользоваться AVPTool (ссылка в правилах)
AVZ, DSS, hijackthis работают на win2003, только их не надо запускать из терминальной сессии.
Вы хотите чтобы вам помогли? Если да, то нужны логи по правилам или логи хотя бы по кратким проавилам (там же).