[решено] Winlogon выполнило ошибку приложения

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)

- - [решено] Winlogon выполнило ошибку приложения (http://forum.oszone.net/showthread.php?t=213578)

Winlogon выполнило ошибку приложения

При загрузке ОС вылетает ошибка "Winlogon выполнило ошибку приложения ". После нажатия на "ОК" вылетает синий экран. При отключенной локальной сети такой ошибки не происходит. стоит подключить сетевой кабель (интернет) так сразу опять эта ошибка.

Radmin используете?
Эта программа Вам известна?

c:\agent\stunserv.exe

Закройте все программы, выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin

ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');

ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);

SetAVZGuardStatus(True);

SearchRootkit(true, true);

SetAVZGuardStatus(True);

 QuarantineFileF('C:\WINDOWS\system32\appmgmt', '*.exe', false, '', 0, 0);

 QuarantineFileF('C:\WINDOWS\AppPatch', '*.exe', false, '', 0, 0);

 QuarantineFile('C:\WINDOWS\system32\cmdow.exe','');

 QuarantineFile('C:\WINDOWS\system32\rserver30\newtstop.dll','');

 DeleteFile('C:\Documents and Settings\User\Application Data\ex_log.txt');

 DelBHO('{35A6E2B1-27A9-47D2-913C-559E1EF1D034}');

BC_ImportAll;

ExecuteSysClean;

BC_Activate;

 ExecuteWizard('SCU',2,3,true);

RebootWindows(true);

end.

Компьютер перезагрузится, После перезагрузки:
- выполните такой скрипт

Код:

begin

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 

end.

Полученный архив отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

Повторите логи AVZ и RSIT

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

c:\agent\stunserv.exe да это прога по по созданию отчётов стоит на всех компах

Не не помогло =( Только втыкаешь сеть и winlogon вываливается
Высылаю отчёт и повторную проверку

Скачайте Malwarebytes' Anti-Malware... Ой это не сделал.

Карантин из темы уберите

Сейчас еще скрипт составлю, поймали какого-то зловреда все-таки

Закройте все программы, выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin

ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');

ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);

SetAVZGuardStatus(True);

SearchRootkit(true, true);

SetAVZGuardStatus(True);

 DeleteFile('C:\WINDOWS\AppPatch\ftbxua.exe');

BC_ImportAll;

ExecuteSysClean;

BC_Activate;

 ExecuteWizard('SCU',2,3,true);

RebootWindows(true);

end.

Компьютер перезагрузится.

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

В карантин попался - Trojan.DownLoader4.42790

Спасибо помогло
Прикрепил логи Malwarebytes' Anti-Malware быстрой и полной проверок
quarantine не прикрепился там где надо отправлю по почте=(

Спасибо я карантин сам отослал уже.

Удалите в MBAM:

Код:

HKEY_CLASSES_ROOT\AppID\{10A2AFE5-A6C3-46A9-A3E9-DFBE934AFCBB} (Adware.TMAagent) -> No action taken.

HKEY_CLASSES_ROOT\CLSID\{1408E208-2AC1-42D3-9F10-78A5B36E05AC} (Trojan.BHO) -> No action taken.

HKEY_CLASSES_ROOT\Typelib\{7F6EDB84-901B-4309-A2F6-0058F38C4CC4} (Adware.TMAAgent) -> No action taken.

HKEY_CLASSES_ROOT\Interface\{01690012-9FBF-4422-B830-BC1EEE946333} (Adware.TMAAgent) -> No action taken.

HKEY_CLASSES_ROOT\Typelib\{A1C7A1E6-6A3C-4D6F-A376-81C4BEA13A62} (Adware.TMAAgent) -> No action taken.

HKEY_CLASSES_ROOT\Interface\{0056D2FB-9EC3-4EB9-8474-F06D69999DC5} (Adware.TMAAgent) -> No action taken.

HKEY_CLASSES_ROOT\Steadway.IEAdapter (Adware.TMAagent) -> No action taken.

HKEY_CLASSES_ROOT\Steadway.IEAdapter.1 (Adware.TMAagent) -> No action taken.

HKEY_CLASSES_ROOT\AppID\tmasrv.exe (Adware.TMAagent) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\Target Marketing Agency (Adware.TMAagent) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Target Marketing Agency (Adware.TMAagent) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\TMAgent (Adware.TMAagent) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\host (Malware.Trace) -> Value: host -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\id (Malware.Trace) -> Value: id -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSMHelp (PUM.Hijack.Help) -> Bad: (1) Good: (0) -> No action taken.

c:\program files\common files\target marketing agency (Adware.TMAagent) -> No action taken.

c:\program files\common files\target marketing agency\TMAgent (Adware.TMAagent) -> No action taken.

c:\program files\common files\target marketing agency\TMAgent\extension (Adware.TMAagent) -> No action taken.

c:\program files\common files\target marketing agency\TMAgent\extension\chrome (Adware.TMAagent) -> No action taken.

c:\program files\common files\target marketing agency\TMAgent\extension\components (Adware.TMAagent) -> No action taken.

c:\documents and settings\User\local settings\application data\target marketing agency (Adware.TMAagent) -> No action taken.

c:\documents and settings\User\local settings\application data\target marketing agency\TMAgent (Adware.TMAagent) -> No action taken.

c:\documents and settings\User\local settings\application data\target marketing agency\TMAgent\update (Adware.TMAagent) -> No action taken.

c:\WINDOWS\system32\shell31.dll (Trojan.Agent) -> No action taken.

c:\program files\common files\target marketing agency\TMAgent\license.txt (Adware.TMAagent) -> No action taken.

c:\program files\common files\target marketing agency\TMAgent\uninstaller.exe (Adware.TMAagent) -> No action taken.

c:\program files\common files\target marketing agency\TMAgent\extension\chrome.manifest (Adware.TMAagent) -> No action taken.

c:\program files\common files\target marketing agency\TMAgent\extension\install.rdf (Adware.TMAagent) -> No action taken.

c:\program files\common files\target marketing agency\TMAgent\extension\chrome\tmagent.jar (Adware.TMAagent) -> No action taken.

c:\program files\common files\target marketing agency\TMAgent\extension\components\fftma.dll (Adware.TMAagent) -> No action taken.

c:\program files\common files\target marketing agency\TMAgent\extension\components\nsiadhandler.xpt (Adware.TMAagent) -> No action taken.

c:\program files\common files\target marketing agency\TMAgent\extension\components\nsisteadway.xpt (Adware.TMAagent) -> No action taken.

c:\documents and settings\User\local settings\application data\target marketing agency\TMAgent\data.bin (Adware.TMAagent) -> No action taken.

c:\documents and settings\User\local settings\application data\target marketing agency\TMAgent\params.bin (Adware.TMAagent) -> No action taken.

c:\documents and settings\User\local settings\application data\target marketing agency\TMAgent\tmagent.bin (Adware.TMAagent) -> No action taken.

c:\documents and settings\User\local settings\application data\target marketing agency\TMAgent\update\curver.xml (Adware.TMAagent) -> No action taken.

c:\documents and settings\User\local settings\application data\target marketing agency\TMAgent\update\updateinfo.xml (Adware.TMAagent) -> No action taken.

c:\documents and settings\User\рабочий стол\OZON\avz4\avz4\Infected\2011-08-17\avz00001.dta (Adware.TMAgent) -> No action taken.

c:\documents and settings\User\рабочий стол\OZON\avz4\avz4\Infected\2011-08-17\avz00002.dta (Adware.TMAgent) -> No action taken.

c:\documents and settings\User\рабочий стол\OZON\avz4\avz4\Infected\2011-08-17\avz00003.dta (Adware.TMAgent) -> No action taken.

Сделайте повторные логи AVZ и RSIT для контроля.