Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   winlogon. exe - ошибка приложения (http://forum.oszone.net/showthread.php?t=214100)

Biven5 26-08-2011 13:32 1739709
winlogon. exe - ошибка приложения
 
Вложений: 1
Всем доброго времени суток!

Столкнулся со следующей проблемой - ноут Win XP SP3, при попытке подключения к сети (кабель/WI-FI) выскакивает упомянутая в теме ошибка - при нажатии OK или Cancel - перезагрузка. Штатным антивирем стоит Avira- видимо он не помог. Сканировал Drweb CureIT, сканировал AVPTool - ничего не находит.
Во вложении логи AVZ и HiJack - помогите советом.
Из своих наблюдений - подозрительный spsa.sys AVZ - подозрение на rootkit.

Спасибо!

alex_sev 26-08-2011 13:57 1739716
замените virusinfo_cure.zip на virusinfo_syscure.zip

Biven5 26-08-2011 14:01 1739718
Пожалуйста

alex_sev 26-08-2011 14:02 1739719
Сейчас погляжу

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\ptscce.exe','');
 QuarantineFile('C:\WINDOWS\system32\e7028244.exe','');
 QuarantineFile('C:\WINDOWS\mslsrv32.exe','');
 QuarantineFile('C:\WINDOWS\apppatch\upcvov.exe','');
 QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\bldjad.exe','');
 QuarantineFile('c:\program files\application updater\applicationupdater.exe','');
 DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\bldjad.exe');
 DeleteFile('C:\WINDOWS\apppatch\upcvov.exe');
 DeleteFile('C:\WINDOWS\mslsrv32.exe');
 DeleteFile('C:\WINDOWS\system32\e7028244.exe');
 DeleteFile('C:\WINDOWS\system32\ptscce.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.
Компьютер перезагрузится, После перезагрузки:
- выполните такой скрипт

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Полученный архив отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

Пофиксите в HJT:

Код:
R3 - URLSearchHook: (no name) -  - (no file)
R3 - URLSearchHook: (no name) - {9CB65206-89C4-402c-BA80-02D8C59F9B1D} - (no file)
R3 - URLSearchHook: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\DOCUME~1\Admin\LOCALS~1\Temp\bldjad.exe,C:\WINDOWS\system32\e7028244.exe,C:\WINDOWS\system32\ptscce.exe,C:\WINDOWS\apppatch\upcvov.exe,
O2 - BHO: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - (no file)
O3 - Toolbar: (no name) - {FE063DB9-4EC0-403e-8DD8-394C54984B2C} - (no file)
O4 - HKLM\..\Policies\Explorer\Run: [Microsoft Driver Setup] C:\WINDOWS\mslsrv32.exe
Повторите логи AVZ и RSIT

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

Biven5 26-08-2011 19:53 1739906
Вложений: 2
alex_sev, спасибо за инструкцию)

Выполнил первый скрипт - после загрузки ошибки не было. Файл на анализ отправил.
в HT были не все указанные параметры, поэтому пофиксил только что нашел.

Просканил Malwarebytes - нашел 7 объектов, в основном реестр, пофиксил. Лог во вложении (+ RSIT+AVZ после всех операций).

Теперь как удостовериться что зловред вылечен?

alex_sev 27-08-2011 08:51 1740180
Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('rshow.sys','');
 QuarantineFile('C:\WINDOWS\system32\restorer32_a.exe','');
 QuarantineFile('C:\WINDOWS\system32\restorer64_a.exe','');
 QuarantineFile('C:\WINDOWS\system32\aodkbsz.exe','');
 QuarantineFile('C:\WINDOWS\system32\sys64_nov.exe','');
 QuarantineFile('C:\WINDOWS\System32\45.scr','');
 QuarantineFile('C:\WINDOWS\mslsrv32.exe','');
 DeleteFile('C:\WINDOWS\mslsrv32.exe');
 DeleteFile('C:\WINDOWS\System32\45.scr');
 DeleteFile('C:\WINDOWS\system32\sys64_nov.exe');
 DeleteFile('C:\WINDOWS\system32\aodkbsz.exe');
 DeleteFile('C:\WINDOWS\system32\restorer64_a.exe');
 DeleteFile('C:\WINDOWS\system32\restorer32_a.exe');
 DeleteFile('c:\documents and settings\Admin\oashdihasidhasuidhiasdhiashdiuasdhasd');
 DeleteFile('c:\WINDOWS\logfile32.txt');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\WINDOWS\System32\45.scr');
 RegKeyDel('HKEY_LOCAL_MACHINE', 'software\microsoft\shared tools\msconfig\startupreg\restorer32_a');
 RegKeyDel('HKEY_LOCAL_MACHINE', 'software\microsoft\shared tools\msconfig\startupreg\restorer64_a');
 RegKeyDel('HKEY_LOCAL_MACHINE', 'software\microsoft\shared tools\msconfig\startupreg\Run');
 RegKeyDel('HKEY_LOCAL_MACHINE', 'software\microsoft\shared tools\msconfig\startupreg\sys64_nov');
 RegKeyDel('HKEY_CLASSES_ROOT', 'CLSID\MADOWN');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(20);
 ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.
Компьютер перезагрузится, После перезагрузки:
- выполните такой скрипт

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Полученный архив отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

Затем повторите лог RSIT

Отчет по карантину:

C:\WINDOWS\apppatch\upcvov.exe - Trojan.DownLoader4.42790 (Dr.Web), W32/Shiz.2B3F!tr (FortiGuard)

Biven5 27-08-2011 13:46 1740289
Вложений: 1
alex_sev, скрипт выполнил, avz сделал архив - но он пуст.
Просканировал еще раз cureit - все чисто.
Лог RSIT во валожении.

alex_sev 27-08-2011 15:24 1740340
В логе чисто.

Внимание! Смените все пароли ICQ, Контакт, Почта итд

Необходимо очистить ранее созданную точку восстановления и создать новую:
1. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
2. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить


Для предотвращения заражения рекомендуется:
- не работать за компьютером с правами администратора
- не использовать Internet Explorer или отключить в нем ActiveX и настроить безопасность (рекомендуется использовать Firefox c плагином NoScript)
- регулярно устанавливать обновления windows и антивирусного продукта (обновлять антивирусные базы и модули)

Обновите до последних версий:


Время: 20:43.

Время: 20:43.
© OSzone.net 2001-