[решено] Есть в winlogon.exe trojan или нет? - Компьютерный форум OSzone.net

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)

- - [решено] Есть в winlogon.exe trojan или нет? (http://forum.oszone.net/showthread.php?t=123179)

Vessta

17-11-2008 16:40 954996

Есть в winlogon.exe trojan или нет?

Вложений: 1

hijackthis.rar (3.00 KB, скачиваний: 23)

Здраствуйте. Пожалуйста, помогите навести порядок на машинке. По порядку – как было. При запуске IEXPLOREа стал подгружаться баннер с «веселыми картинками» в нижней части окна. Временно, чтобы глаза не мозолило, просто удаляла пачку соответствующих файлов, прописывавшихся в Temporary Internet Files. При выполнении «обновить», оставалась таблица, но хоть – без порнографии. И так – до последующего открытия нового окна IEXPLOREа.

Сейчас, выполнив всю рекомендуемую последовательность действий, имею:
несколько файлов в карантине DoctorWeb, AVZ, и еще - от STINGER пугающее:
C:\WINDOWS\system32\winlogon.exe Found the W32/Sality!mem trojan !!! C:\WINDOWS\system32\winlogon.exe could not be repaired.
IEXPLORE вроде в порядке, по крайней мере видимых проблем нет.
Правда, такое ощущение, что машинка притормаживает.

Надеюсь, сделала правильно, так-то я - чайник :)

Pili	17-11-2008 17:51 955078

Отключите восстановление системы. Запустите AVZ, далее в меню файл - выполнить скрипт, выделите и скопируйте текст ниже в окно выполнения скрипта AVZ, нажмите кнопку «Запустить». На время выполнения скрипта выключите антивирус.

Код:

begin

ClearQuarantine;

SearchRootkit(true, true);

SetAVZGuardStatus(True);

 QuarantineFile('c:\program files\tivoli\lcf\bin\w32-ix86\mrt\lcfep.exe','');

 QuarantineFile('G:\ЛПЦ1\АРМ\Install\arm_install\oracle\RegUnreg.exe','');

 QuarantineFile('C:\WINDOWS\system32\plugincpl13126.cpl','');

 QuarantineFile('C:\WINDOWS\system32\drivers\aeaudio.sys','');

 QuarantineFile('C:\WINDOWS\TEMP\DFC9B3.EXE','');

 QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\ATICDSDr.sys','');

 DelBHO('{A5366673-E8CA-11D3-9CD9-0090271D075B}');

BC_ImportAll;

ExecuteSysClean;

BC_Activate;

RebootWindows(true);

end.

Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт

Код:

begin        

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');

end.

Файл quarantine.zip отправьте на user15802[at]mail.ru, в письме укажите ссылку на тему.
Временно удалите Radmin через установку/удаление программ
Проверьте C:\WINDOWS\system32\winlogon.exe на virustotal.com, результат проверки скопируйте в следующее сообщение.
Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.
С помощью AVPTool проверку проводили?

Vessta

18-11-2008 09:41 955658

Цитата:

Цитата Pili

С помощью AVPTool проверку проводили? »

Нет, даже не знаю, что это :unsure:

Начну выполнять ваши указания

Pili	18-11-2008 10:11 955692

Цитата:

Цитата Vessta

Нет, даже не знаю, что это »

см. в правилах, есть ссылка на AVPTool

Vessta

18-11-2008 10:23 955706

Цитата:

Цитата Pili

см. в правилах, есть ссылка на AVPTool »

да, уже нашла. спасибо :)

Vessta

18-11-2008 10:56 955740

Цитата:

Цитата Pili

Проверьте C:\WINDOWS\system32\winlogon.exe на virustotal.com, результат проверки скопируйте в следующее сообщение. »

А что там с датами?:

Файл winlogon.exe получен 2008.11.14 17:54:52 (CET)

Это мой файл проанализирован?
Результаты выкладываю :

Файл winlogon.exe получен 2008.11.14 17:54:52 (CET)
Текущий статус: закончено

Результат: 0/36 (0.00%)
Форматированные Печать результатов
Антивирус Версия Обновление Результат
AhnLab-V3 2008.11.14.3 2008.11.14 -
AntiVir 7.9.0.31 2008.11.14 -
Authentium 5.1.0.4 2008.11.14 -
Avast 4.8.1281.0 2008.11.14 -
AVG 8.0.0.199 2008.11.14 -
BitDefender 7.2 2008.11.14 -
CAT-QuickHeal 10.00 2008.11.13 -
ClamAV 0.94.1 2008.11.14 -
DrWeb 4.44.0.09170 2008.11.14 -
eSafe 7.0.17.0 2008.11.13 -
eTrust-Vet 31.6.6208 2008.11.13 -
Ewido 4.0 2008.11.14 -
F-Prot 4.4.4.56 2008.11.13 -
F-Secure 8.0.14332.0 2008.11.14 -
Fortinet 3.117.0.0 2008.11.14 -
GData 19 2008.11.14 -
Ikarus T3.1.1.45.0 2008.11.14 -
K7AntiVirus 7.10.525 2008.11.14 -
Kaspersky 7.0.0.125 2008.11.14 -
McAfee 5433 2008.11.13 -
Microsoft 1.4104 2008.11.14 -
NOD32 3614 2008.11.14 -
Norman 5.80.02 2008.11.14 -
Panda 9.0.0.4 2008.11.14 -
PCTools 4.4.2.0 2008.11.14 -
Prevx1 V2 2008.11.14 -
Rising 21.03.42.00 2008.11.14 -
SecureWeb-Gateway 6.7.6 2008.11.14 -
Sophos 4.35.0 2008.11.14 -
Sunbelt 3.1.1801.2 2008.11.14 -
Symantec 10 2008.11.14 -
TheHacker 6.3.1.1.152 2008.11.13 -
TrendMicro 8.700.0.1004 2008.11.14 -
VBA32 3.12.8.9 2008.11.14 -
ViRobot 2008.11.14.1468 2008.11.14 -
VirusBuster 4.5.11.0 2008.11.13 -

Pili	18-11-2008 11:09 955754

winlogon.exe в порядке, это был фолс (ложное срабатывание) вашего антивируса, обновите базы антивируса,
lcfep.exe - Backdoor.Win32.S (vf) по антивирусу Sunbelt, возможен фолс, файл ушел на доп. анализ в вирлаб.
G:\ЛПЦ1\АРМ\Install\arm_install\oracle\RegUnreg.exe в карантин не попал, проверьте его на virustotaol.com, рез-т проверки скопируйте и вставьте в след. сообщение.
Файлов aeaudio.sys, DFC9B3.EXE, ATICDSDr.sys видимо физически нет на диске и видимо остался мусор в реестре, попробуйте их поискать вручную и прислать в архиве с паролем virus, также выложите пожалуйста логи MBAM в след. сообщении.

Vessta

02-12-2008 10:24 969659

Временно отсутствовала. Докладываю :)

aeaudio.sys, DFC9B3.EXE, ATICDSDr.sys не нашла, lcfep.exe - тоже.

Malwarebytes' Anti-Malware и AVPTool установить не могу, по крайней мере - пока: не знаю, как отключить корпоративный OfficeScane.

Цитата:

Цитата Pili

G:\ЛПЦ1\АРМ\Install\arm_install\oracle\RegUnreg.exe в карантин не попал, проверьте его на virustotaol.com»

Файл RegUnreg.exe получен 2008.11.18 09:45:23 (CET)
Текущий статус: закончено

Результат: 2/36 (5.56%)
Форматированные Печать результатов
Антивирус Версия Обновление Результат
AhnLab-V3 2008.11.18.0 2008.11.18 -
AntiVir 7.9.0.31 2008.11.18 -
Authentium 5.1.0.4 2008.11.18 -
Avast 4.8.1281.0 2008.11.17 -
AVG 8.0.0.199 2008.11.17 -
BitDefender 7.2 2008.11.18 -
CAT-QuickHeal 10.00 2008.11.18 -
ClamAV 0.94.1 2008.11.18 -
DrWeb 4.44.0.09170 2008.11.18 -
eSafe 7.0.17.0 2008.11.17 -
eTrust-Vet 31.6.6209 2008.11.14 -
Ewido 4.0 2008.11.17 -
F-Prot 4.4.4.56 2008.11.17 -
F-Secure 8.0.14332.0 2008.11.18 Suspicious:W32/Malware!Gemini
Fortinet 3.117.0.0 2008.11.18 -
GData 19 2008.11.18 -
Ikarus T3.1.1.45.0 2008.11.18 -
K7AntiVirus 7.10.526 2008.11.15 -
Kaspersky 7.0.0.125 2008.11.18 -
McAfee 5437 2008.11.17 -
Microsoft 1.4104 2008.11.17 -
NOD32 3620 2008.11.18 -
Norman 5.80.02 2008.11.17 -
Panda 9.0.0.4 2008.11.17 Suspicious file
PCTools 4.4.2.0 2008.11.17 -
Prevx1 V2 2008.11.18 -
Rising 21.04.11.00 2008.11.18 -
SecureWeb-Gateway 6.7.6 2008.11.18 -
Sophos 4.35.0 2008.11.18 -
Sunbelt 3.1.1801.2 2008.11.14 -
Symantec 10 2008.11.18 -
TheHacker 6.3.1.1.157 2008.11.18 -
TrendMicro 8.700.0.1004 2008.11.18 -
VBA32 3.12.8.9 2008.11.17 -
ViRobot 2008.11.18.1473 2008.11.18 -
VirusBuster 4.5.11.0 2008.11.17 -

Так-то RegUnreg.exe - не на моей машинке :happy:

А у меня, судя по симптомам, похоже проблема решена. Спасибо большое за супер помощь, рекомендовала ваш ресурс всем страждущим :up

Pili	02-12-2008 10:57 969688

Цитата:

Цитата Vessta

Malwarebytes' Anti-Malware и AVPTool установить не могу, по крайней мере - пока: не знаю, как отключить корпоративный OfficeScane »

отключать не требуется, MBAM и AVPTool не должны конфликтовать с существующим антивирусом, т.к. не содержат антивирусного монитора.

Цитата:

Цитата Vessta

А у меня, судя по симптомам, похоже проблема решена. Спасибо большое за супер помощь, рекомендовала ваш ресурс всем страждущим »

Пожалуйста :) Для предотвращения заражения, рекомендую не работать за компьютером с правами администратора, отключить неиспользуемые службы, отключить автозапуск со съемных носителей, не использовать Internet Explorer или отключить в нем ActiveX, пользоваться браузером Opera или Firefox c плагином NoScript и AdBlock Plus
Советую прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista" и следовать рекомендациям, описанным в этой книге. Чистого вам интернета!

Vessta

02-12-2008 14:42 970038

Цитата:

Цитата Pili

отключать не требуется, MBAM и AVPTool не должны конфликтовать с существующим антивирусом, т.к. не содержат антивирусного монитора »

:) MBAM немножко почистил реестр.

Самым сложным для меня оказалось отметить тему решенной, куда жать - не нашла.
зы: все нашлось.

Еще раз спасибо!

Время: 14:47.