Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Как вылечить-заменить winlogon.exe? (http://forum.oszone.net/showthread.php?t=100001)

SergOst 06-02-2008 01:45 733906
Как вылечить-заменить winlogon.exe?
 
Имеется win2003SmallBusServer. Антивир McAfee говорит, что в winlogon.exe троян, но удалить не может, поскольку winlogon уже запущен.
Я думаю, проще всего подключить винч к другому компу(с антивиром) и заменить дефектный winlogon.exe взятым из дистрибутива. Но где его найти на инсталляционном диске и как достать, если он в архиве?

Severny 06-02-2008 08:46 733987
http://forum.oszone.net/post-717373-2.html

Vitac_Black 06-02-2008 11:54 734092
Цитата:
Цитата SergOst
winlogon.exe троян, но удалить не может »
Смотри на скрин 1 пиши так выглядит диспетчер задач или нет.

SergOst 06-02-2008 23:26 734542
Это в первом пункте означает: снеси свой антивир и установи от DrWeb c битой ссылкой.
Чем DrWeb лучше, если бы он и скачивался?

Цитата:
Цитата Vitac_Black
Смотри на скрин 1 пиши так выглядит диспетчер задач или нет. »
Нет не так выглядит скрин диспетчера, у меня всего один запуск winlogon и он 453 кб, что меньше натурального размера файла (около 500 кб)
Напомню, что у меня не win XP или Vista, а win 2003 Small Business Server

Я нашел winlogon.ex_ в i386 дистрибутива и разархивировал-заменил на него с помощью expand, но от этого ничего не изменилось.
По-прежнему McAfee дает проверку winlogon.exe заражен Trojan Spy-Agent.bw!mem
и еще ключ реестра "заражен" HKLM\Software\MS\WinNT\CurVer\Winlogon\Userinit , значение ключа - userinit.exe файл из system32
Проверил оба файла userinit.exe и winlogon.exe в онлайне у Касперского и DrWeb - сказали, что заражения нет.

Не понимаю, что делать?

rubin-vinfo 06-02-2008 23:35 734550
Выполнить правила, либо попробовать отослать файл в ВирЛаб McAfee

Vadikan 07-02-2008 03:12 734608
Цитата:
Цитата SergOst
Это в первом пункте означает: снеси свой антивир и установи от DrWeb c битой ссылкой. »
Ссылка работает, см. http://www.freedrweb.com/cureit/

Тем не менее, помимо первого пункта, там было еще шесть. Если вы их не выполните к следующему сообщению, я тему закрою в соответствии с правилами форума.

Vitac_Black 07-02-2008 09:51 734753
Цитата:
Цитата SergOst
Нет не так выглядит скрин диспетчера »
Тогда я не могу ничего сказать.Не так давно лечил компьютер с двумя winlogonamи справился сразу,если было бы как на скрине помог бы словом.А скрин сделан с VMware Workstation поставил Win XP урезанную, и заразил winlogonом 2.
Буду прослеживать тему,должно пригодиться
Всём Удачи !

Pili 07-02-2008 10:22 734775
Цитата:
Цитата SergOst
Это в первом пункте означает: снеси свой антивир и установи от DrWeb c битой ссылкой. »
Где в правилах написано, что надо сносить свой антивирус? - Не надо - cureit не содержит антивирусного монитора, не требует установки, ссылки работающие, но если у вас нет доступа по ftp, cureit по этой ссылке не скачаете, зато можете воспользоваться AVPTool (ссылка в правилах)
AVZ, DSS, hijackthis работают на win2003, только их не надо запускать из терминальной сессии.
Вы хотите чтобы вам помогли? Если да, то нужны логи по правилам или логи хотя бы по кратким проавилам (там же).


Время: 05:42.

Время: 05:42.
© OSzone.net 2001-