[verdix]

А случай случайно не совпадает с этими:

читать дальше »

Вопрос №1 задает Татьяна:
После установки программы(условно бесплатной) появился шпион. В процессах определяется как winlogon.exe, расположился в папке system32 Известными мне способами не удаляется( чистила реестр- появляется снова), пыталась удалить в безопасном режиме -не удаляется, пыталась программой WinPatrol -бесполезно. И той же датой как появилась эта программа, появился процесс explorer.exe lsass.exe.Не связаны ли они? Система Windows XP SP2, установлен NAV2005, Ad-aware.Все с последними базами.

Отвечает Lesnoy_chelovek:
Здраствуйте, Татьяна.
Ну, для начала объясню, что winlogon.exe - это стандартный файл и есть он у всех и отвечает за показ заставки. explorer.exe - оболочка среды Windows, т.е. это точ то мы видим. А вот lsas.exe вполне может быть вирусом, хотя это тоже системный файл. Итак, что я могу вам предложить - ну, во-первых, удалите программу, которую вы установили. Во-вторых, поставьте наш отчечественный антивирус, потому как вы всегда можете связаться с службой поддержки. В-третьих, давайте не будем паниковать, этот процесс вам мешает? Если нет, то оставайтесь спкойными. А лучше посавьте какой-нибудь файрвол - ZoneAlarm, Kaspepskiy AntiHacker и др.

Отвечает Tery:
Существует несколько "разновидностей" этих приложений:
Winlog0n.exe ------ Spyware ------ Adware.Nafaoz
winlogin.exe ------ Spyware ------ TrojanDropper.Win32.Small
winlogin_unpacked.exe ------ Spyware ------
TrojanDropper.Win32.Small
winlogon.exe ------ Системный процесс ------ Microsoft
Windows Logon Process ------ Этот процесс управляет входом пользователей в систему и выходом из нее. Winlogon активируется только при нажатии клавиш CTRL+ALT+DEL, после чего появляется окно «Безопасность Windows». Файл winlogon.exe находится в %Windir%\system32\
winlogon.exe ------ Вирус ------ I-Worm.NetSky.c,
W32.Mydoom.BI@mm, W32.Neveg.A@mm ------ Файл червя I-Worm.NetSky.c
winlogon.exe находится в %Windir%\, Файл червя W32.Neveg.A@mm лежит в %Windir%\system\
winlogonn.exe ------ Вирус ------ W32.Randex.FC
lsass.exe ------ Системный процесс ------ Local Security Authority Service ------ Это локальный сервер проверки подлинности, порождающий процесс, ответственный за проверку пользователей в службе Winlogon. Процесс проверки производится такими библиотеками, как Msgina.dll, используемая по умолчанию. В случае успеха процесс Lsass порождает маркер доступа пользователя, который затем используется для запуска начальной пользовательской оболочки. Процессы, запускаемые пользователем, наследуют этот маркер.
lsass.exe ------ Вирус ------ Backdoor.IRC.Aladinz.F, W32.Ahker.G@mm
lsass.exe ------ Spyware ------ OnTarget 1.2.1
exploer.exe ------ Вирус ------ W32.HLLW.Gaobot.BV
explore.exe ------ Вирус ------ Worm.ExploreZip(pack), Trojan.Win32.Glitch, W32.Gaobot.ADW, W32.Wozer.Worm, W32.Galil.C@mm, Backdoor.Graybird.G, I-Worm.ZippedFiles.a, W32.Hawawi.Worm, CWS
explore32.exe ------ Вирус ------ W32.Spybot.CYM
explored.exe ------ Вирус ------ W32.Gaobot.SY, W32.HLLW.Gaobot.RF
explorer.exe ------ Системный процесс ------ Microsoft Windows Explorer ------ Проводник. Пользовательская оболочка, отображающая панель задач, рабочий стол и т.д. Этот процесс не так важен для работы Windows, как может показаться, и его можно остановить (и перезапустить) с помощью диспетчера задач, что обычно не оказывает негативного воздействия на работу системы.
explorer.exe ------ Вирус ------ W32.HLLW.Spirit, W32.Mytob.BB@mm, Trojan.Mumuboy.C, Trojan.PSW.Linage ------ W32.HLLW.Spirit - файл Explorer.exe лежит в %Windir%\System32\, Trojan.Mumuboy.C - %ProgramFiles%\explorer.exe, Trojan.PSW.Linage - файл explorer.exe лежит в Program Files
explorere.exe ------ Вирус ------ W32.Yaha.AB@mm, Win32.Yaha.W Под такими названиями существуют и системные процессы и вирусы.

[Severny]

Создай тему здесь и выполни правила

[Uber]

verdix

Да lsass.exe тоже, есть. Но решения проблемы так и нет. Вирус мне мешает.

[Severny]

Цитата Uber:

Да lsass.exe тоже, есть »

Lsass.exe в папке system32 на 99% системный. Давай продолжим разговор после логов.

[Uber]

Сейчас сделаю

[Uber]

Сделал

[Severny]

У тебя интернет без сбоев работает?
В HijackThis после сканирования выдели эти строки и нажми Fix checked.

Код:

O10 - Broken Internet access because of LSP provider 'd:\outpost firewall\lspfilt.dll' missing
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)

В AVZ меню Файл-- Выполнить скрипт. Скопируй код и нажми "Запустить".

Код:

begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
 BC_QrFile('C:\WINDOWS\system32\ssqOIcDu.dll');
 BC_QrFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys');
 BC_QrFile('C:\WINDOWS\system32\sauixovp.dll');
 BC_QrFile('C:\WINDOWS\system32\ddcBQhhH.dll');
 BC_QrFile('C:\WINDOWS\system32\yljqrvyj.dll');
ExecuteRepair(6);
ExecuteRepair(12);
ExecuteRepair(13);
ExecuteRepair(14);
BC_Activate;
RebootWindows(true);
end.

После перезагрузки выполни второй скрипт и в папке AVZ файл quarantine.zip выложи на zalil.ru и брось ссылку мне в PM.

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Теперь можешь отключить потенциально опасные службы и сервисы, выполнив еще скрипт.
Список этих служб в твоем логе AVZ внизу.

Код:

begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('TlntSvr', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
end.

После анализа твоего карантина можно будет продолжить лечение.
Ты CureIt в безопасном режиме сканировал системный раздел?
После сделай еще раз лог HijackThis.

[Uber]

Интернет работает нормально.
CureIt просканировал, нашёл 1 троян и удалил.

[Severny]

Пофикси в HijackThis

Код:

O4 - HKLM\..\Run: [b8896d79] rundll32.exe "C:\WINDOWS\system32\sauixovp.dll",b
O4 - HKLM\..\Run: [BMbbba5ee5] Rundll32.exe "C:\WINDOWS\system32\yljqrvyj.dll",s

Выполни в AVZ

Код:

begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
 DelBHO('{8DAE90AD-4583-4977-9DD4-4360F7A45C74}');
 DelBHO('{1F460357-8A94-4D71-9CA3-AA4ACF32ED8E}');
 DelBHO('{6C23AB0C-0244-4B01-8253-BEE724D0D2EC}');
 DelBHO('{20D5276A-0452-4167-A3E7-240867F8CB0C}');
 BC_DeleteFile('C:\WINDOWS\system32\sauixovp.dll');
 BC_DeleteFile('C:\WINDOWS\system32\ssqOIcDu.dll');
 BC_DeleteFile('C:\WINDOWS\system32\ddcBQhhH.dll');
 BC_DeleteFile('C:\WINDOWS\system32\yljqrvyj.dll');
 BC_DeleteFile('ddcBQhhH.dll');
 DeleteFile('D:\NOD32\nodshex.dll');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Повтори логи.