Процессор загружен 100% (Winlogon), не открываются антивирусные сайты и программы
 

Добрый день.
У меня система Win XP Home SP3.
Со вчерашнего дня процесс Winlogon.exe начал съедать всё процессорное время. Штатный антивирус Symantec Endpoint Protection Small Business Edition ничего не видит. Однако, на лицо присутствие вредоносного кода:
- Firefox вылетает при запуске с crash report'om
- Опера не дает сохранить файлы (ошибка при создании диалога выбора файлов)
- Невозможно зайти на антивирусные сайты (Опера мгновенно закрывается. Иногда перезапускается explorer)
- Запускаются и тут же потухают: AVZ, HijackThis, ComboFix, mbam (и в защищенном режиме тоже)

CurIt в защищенном режиме ничего не нашел.

Никаких логов приложить не могу, т.к. не могу запустить программы. Что делать?

нажмите пуск - выполнить в обзоре найдите AVZ , выберете его, далее в строке допишите или скопируйте/вставьте (через пробел) AM=Y и нажмите ок, так должно запуститься. Подготовьте логи по стандартным скриптам 2 и 3 и вложите в следующее сообщение

Не срабатывает. В ПроцессЭксплорере наблюдаю, как появляется строчка с программой, и спустя доли секунды закрывается.

На другой машине запустил с таким же ключем, и заметил, что хоть в окошке заголовок пропал, ProceccExplorer все равно в колонке Description показывает "Антивирусная утилита AVZ", а в колонке "Company name" - "Лаборатория Касперского" (см. скриншот со здоровой машины). Вероятно, по этим признакам гадость и вычисляет её.

Удалось, не выходя из сеанса, войти под другой учетной записью на этом же компе. Под этим вторым юзером AVZ запустился.

Логи не могу загрузить:
virusinfo_syscheck.zip:
Общая квота форума превышена на 4.5 Kb. Пожалуйста, сообщите об этом администрации.
virusinfo_syscure.zip:
Общая квота форума превышена на 9.7 Kb. Пожалуйста, сообщите об этом администрации.

закиньте их на файлообменник, ссылку сюда

http://dl.dropbox.com/u/17547888/virusinfo_syscheck.zip
http://dl.dropbox.com/u/17547888/virusinfo_syscure.zip

судя по всему логи ваши с виртуальной машины...это так?
логи надо переделать с операционной системы

пробуем загрузиться в безопасном режиме, для этого при загрузке нажимаем клавишу F8 и выбираем безопасный режим (safe mode) и жмем enter далее
предварительно вам надо будет на флэшку скачать AVZ там же распаковать, запустить и обновить базы. вставляем флэшку в пк, запускаем комп в безопасном режиме и делаем нужные нам логи
как это делать запускаем
1.avz выбираем файл, далее, стандартные скрипты далее скрипт номер1 жмем выполнить отмеченные операции
2. AVZ => Исследование системы необходимо переключить "Только активные службы и драйверы" на "Все службы и драйверы" => Пуск укажите где сохранить протокол. далее пуск
Необходимо упаковать протокол в архив zip или rar и прикрепите к сообщению.

нет, не с виртуальной.
У меня на машине заведены два пользователя (по крайней мере). Под одним (под которым я обычно работаю) наблюдаются вирусные эффекты (не стартуют антивирусные программы, закрываются сайты). Под этим пользователем запустить AVZ не удается даже с ключом AM=Y.

Но WinXP позволяет войти под другим пользователем, не выходя из первого. Под вторым юзером я и сделал логи. Там AVZ запустилась.

а я вижу по логу что это вы делали с виртуалки

это то,что я вижу по логам

Отключите:
Компьютер от интернета/локальной сети
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

В результате выполнения скрипта будет сформирован карантин.Отправьте c:\quarantine.zip при помощи этой формы
В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.

Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner

1. скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
2. если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
3. нажмите No, если вы хотите оставить ваши сохраненные пароли
4. если вы используете Opera, нажмите Opera - Select All - Empty Selected
5. нажмите No, если вы хотите оставить ваши сохраненные пароли

Сделайте повторные логи AVZ (с обновленными базами!)+ RSIR

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

В Safe Mode тоже не запускается AVZ. Кроме того, в безопасном режиме не удается одновременно залогиниться двумя пользователями. Под единственным пользователем вирь и запускается, блокируя AVZ.

скрипт выполнить можете в нормальном режиме? ведь как то логи вы собрали...

Выполнил под вторым юзером. Всё прошло хорошо! Карантин отправил. Процессор стал остывать, вентилятор не гудит :-)
Спасибо!

Что дальше? По написанному сценарию? ХайДжек и прочее?

точно так)

Логи AVZ:
virusinfo_syscheck.zip
virusinfo_syscure.zip
virusinfo_cure.zip

Логи RSIT:
rsit.zip

Логи MalWare будут позже (долго работает).

пусть работает-все на пользу..
логи гляну и отвечу

virusinfo_cure.zip -это убираем..карантин я сюда не запрашивала

файл проверить на ссылку сюда на проверку

C:\WINDOWS\tasks\JkDefragTask.cmd в планировщиках задач ваше?

папочку C:\32788R22FWJFW ищем, смотрим содержимое-если не ваше-удаляем

ну и прогоним животных с монитора, думается, сами ими не развлекаетесь

Отключите:
Компьютер от интернета/локальной сети
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.


После выполнения скрипта компьютер перезагрузится!

После перезагрузки отпишитесь о самочувствии

Результат проверки MalWare

Проверка на Virustotal:

Файл 1
Файл 2

C:\WINDOWS\tasks\JkDefragTask.cmd - остался от предыдущего юзера. Убрал из планировшщика

Папочку C:\32788R22FWJFW - прибил (создана вчера чем-то, не мной)

Животными не пользуюсь, сейчас прибью.

удаляем в mbam

вот эти на ваше усмотрение. могут содержать трояны
как самочувствие больного?

смените важные пароли и повторите лог MBAM

Огромное спасибо, все симптомы пропали. Проверка файла на Касперском пока молчит. Они всегда отвечают, или могут оставить без внимания?

лог МВАМ у вас чистый? если да, то программу рекомендуется деинсталлировать

она занимает какое-то время, если будет нечто важное-сообщат, не волнуйтесь.
Если вас более ничего не беспокоит, то пожалуйста, придерживайтесь рекомендаций

Создайте новую контрольную точку восстановления и очистите заражённую:
1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner

1. скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
2. если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
3. нажмите No, если вы хотите оставить ваши сохраненные пароли
4. если вы используете Opera, нажмите Opera - Select All - Empty Selected
5. нажмите No, если вы хотите оставить ваши сохраненные пароли

Рекомендуем для предотвращения заражения:
- не работать за компьютером с правами администратора
- при использовании Internet Explorer тключить в нем ActiveX и настроить безопасность (рекомендую использовать Firefox c плагином NoScript)
- регулярно устанавливать обновления windows и обновлять антивирусные базы.