|
|
|
|
| Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » winlogon. exe - ошибка приложения |
|
|
winlogon. exe - ошибка приложения
|
|
Новый участник Сообщения: 6 |
Всем доброго времени суток!
Столкнулся со следующей проблемой - ноут Win XP SP3, при попытке подключения к сети (кабель/WI-FI) выскакивает упомянутая в теме ошибка - при нажатии OK или Cancel - перезагрузка. Штатным антивирем стоит Avira- видимо он не помог. Сканировал Drweb CureIT, сканировал AVPTool - ничего не находит. Во вложении логи AVZ и HiJack - помогите советом. Из своих наблюдений - подозрительный spsa.sys AVZ - подозрение на rootkit. Спасибо! |
|
|
Отправлено: 13:32, 26-08-2011 |
Ветеран Сообщения: 1544
|
Профиль | Отправить PM | Цитировать замените virusinfo_cure.zip на virusinfo_syscure.zip
|
|
------- Отправлено: 13:57, 26-08-2011 | #2 |
|
Новый участник Сообщения: 6
|
Профиль | Отправить PM | Цитировать Пожалуйста
|
|
Отправлено: 14:01, 26-08-2011 | #3 |
|
Ветеран Сообщения: 1544
|
Профиль | Отправить PM | Цитировать Сейчас погляжу
Выполните скрипт в АВЗ (Файл - Выполнить скрипт): Код:
 begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\ptscce.exe','');
QuarantineFile('C:\WINDOWS\system32\e7028244.exe','');
QuarantineFile('C:\WINDOWS\mslsrv32.exe','');
QuarantineFile('C:\WINDOWS\apppatch\upcvov.exe','');
QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\bldjad.exe','');
QuarantineFile('c:\program files\application updater\applicationupdater.exe','');
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\bldjad.exe');
DeleteFile('C:\WINDOWS\apppatch\upcvov.exe');
DeleteFile('C:\WINDOWS\mslsrv32.exe');
DeleteFile('C:\WINDOWS\system32\e7028244.exe');
DeleteFile('C:\WINDOWS\system32\ptscce.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.
- выполните такой скрипт Код:
begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Пофиксите в HJT: Код:
R3 - URLSearchHook: (no name) - - (no file)
R3 - URLSearchHook: (no name) - {9CB65206-89C4-402c-BA80-02D8C59F9B1D} - (no file)
R3 - URLSearchHook: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\DOCUME~1\Admin\LOCALS~1\Temp\bldjad.exe,C:\WINDOWS\system32\e7028244.exe,C:\WINDOWS\system32\ptscce.exe,C:\WINDOWS\apppatch\upcvov.exe,
O2 - BHO: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - (no file)
O3 - Toolbar: (no name) - {FE063DB9-4EC0-403e-8DD8-394C54984B2C} - (no file)
O4 - HKLM\..\Policies\Explorer\Run: [Microsoft Driver Setup] C:\WINDOWS\mslsrv32.exe
Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. |
|
------- Отправлено: 14:02, 26-08-2011 | #4 |
|
Новый участник Сообщения: 6
|
Профиль | Отправить PM | Цитировать alex_sev, спасибо за инструкцию)
Выполнил первый скрипт - после загрузки ошибки не было. Файл на анализ отправил. в HT были не все указанные параметры, поэтому пофиксил только что нашел. Просканил Malwarebytes - нашел 7 объектов, в основном реестр, пофиксил. Лог во вложении (+ RSIT+AVZ после всех операций). Теперь как удостовериться что зловред вылечен? |
|
|
Отправлено: 19:53, 26-08-2011 | #5 |
|
Ветеран Сообщения: 1544
|
Профиль | Отправить PM | Цитировать Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('rshow.sys','');
QuarantineFile('C:\WINDOWS\system32\restorer32_a.exe','');
QuarantineFile('C:\WINDOWS\system32\restorer64_a.exe','');
QuarantineFile('C:\WINDOWS\system32\aodkbsz.exe','');
QuarantineFile('C:\WINDOWS\system32\sys64_nov.exe','');
QuarantineFile('C:\WINDOWS\System32\45.scr','');
QuarantineFile('C:\WINDOWS\mslsrv32.exe','');
DeleteFile('C:\WINDOWS\mslsrv32.exe');
DeleteFile('C:\WINDOWS\System32\45.scr');
DeleteFile('C:\WINDOWS\system32\sys64_nov.exe');
DeleteFile('C:\WINDOWS\system32\aodkbsz.exe');
DeleteFile('C:\WINDOWS\system32\restorer64_a.exe');
DeleteFile('C:\WINDOWS\system32\restorer32_a.exe');
DeleteFile('c:\documents and settings\Admin\oashdihasidhasuidhiasdhiashdiuasdhasd');
DeleteFile('c:\WINDOWS\logfile32.txt');
RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\WINDOWS\System32\45.scr');
RegKeyDel('HKEY_LOCAL_MACHINE', 'software\microsoft\shared tools\msconfig\startupreg\restorer32_a');
RegKeyDel('HKEY_LOCAL_MACHINE', 'software\microsoft\shared tools\msconfig\startupreg\restorer64_a');
RegKeyDel('HKEY_LOCAL_MACHINE', 'software\microsoft\shared tools\msconfig\startupreg\Run');
RegKeyDel('HKEY_LOCAL_MACHINE', 'software\microsoft\shared tools\msconfig\startupreg\sys64_nov');
RegKeyDel('HKEY_CLASSES_ROOT', 'CLSID\MADOWN');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(20);
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.
- выполните такой скрипт Код:
begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Затем повторите лог RSIT Отчет по карантину: C:\WINDOWS\apppatch\upcvov.exe - Trojan.DownLoader4.42790 (Dr.Web), W32/Shiz.2B3F!tr (FortiGuard) |
|
------- Отправлено: 08:51, 27-08-2011 | #6 |
|
Новый участник Сообщения: 6
|
Профиль | Отправить PM | Цитировать alex_sev, скрипт выполнил, avz сделал архив - но он пуст.
Просканировал еще раз cureit - все чисто. Лог RSIT во валожении. |
|
Отправлено: 13:46, 27-08-2011 | #7 |
|
Ветеран Сообщения: 1544
|
Профиль | Отправить PM | Цитировать В логе чисто.
Внимание! Смените все пароли ICQ, Контакт, Почта итд Необходимо очистить ранее созданную точку восстановления и создать новую: 1. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать. 2. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить Для предотвращения заражения рекомендуется: - не работать за компьютером с правами администратора - не использовать Internet Explorer или отключить в нем ActiveX и настроить безопасность (рекомендуется использовать Firefox c плагином NoScript) - регулярно устанавливать обновления windows и антивирусного продукта (обновлять антивирусные базы и модули) Обновите до последних версий: |
|
------- Отправлено: 15:24, 27-08-2011 | #8 |
|
Участник сейчас на форуме |
 |
Участник вне форума |
 |
Автор темы |
 |
Сообщение прикреплено |
| |||||
| Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
| Ошибка - Ошибка SAS Windows:winlogon.exe | Solitude | Microsoft Windows 2000/XP | 7 | 07-05-2011 14:08 | |
| Lsass.exe - Ошибка приложения Ошибка при инициализации приложения (0xc000001d) | Виолетта25 | Лечение систем от вредоносных программ | 4 | 16-09-2010 17:11 | |
| winlogon.exe ошибка приложения | Csafan | Лечение систем от вредоносных программ | 1 | 24-10-2009 19:20 | |
| winlogon.exe ошибка | Chig777 | Лечение систем от вредоносных программ | 9 | 06-08-2009 10:14 | |
| [решено] winlogon. exe - ошибка приложения | loedrive | Лечение систем от вредоносных программ | 6 | 14-01-2008 23:29 | |
|
|
Время: 20:58. | © OSzone.net 2001-
|
|
Powered by: vBulletin Copyright ©2000 - 2025, Jelsoft Enterprises Ltd. |
