• Добро пожаловать на компьютерный форум Tehnari.ru. Здесь разбираемся с проблемами ПК и ноутбуков: Windows, драйверы, «железо», сборка и апгрейд, софт и безопасность. Форум работает много лет, сейчас он переехал на новый движок, но старые темы и аккаунты мы постарались сохранить максимально аккуратно.

    Форум не связан с магазинами и сервисами – мы ничего не продаём и не даём «рекламу под видом совета». Отвечают обычные участники и модераторы, которые следят за порядком и качеством подсказок.

    Если вы у нас впервые, загляните на страницу о проекте, чтобы узнать больше. Чтобы создавать темы и писать сообщения, сначала зарегистрируйтесь, а затем войдите под своим логином.

    Не знаете, с чего начать? Создайте тему с описанием проблемы – подскажем и при необходимости перенесём её в подходящий раздел.
    Задать вопрос Новые сообщения Как правильно спросить
    Если пришли по ссылке со старого Tehnari.ru – вы на нужном месте, просто продолжайте обсуждение.

Троян блокирует доступ к интернету

-ЗЛОЙ-

-ЗЛОЙ-

Banned
Регистрация
4 Окт 2010
Сообщения
3,765
Реакции
44
Баллы
0
Троян блокирует доступ к интернету

троян блокирует доступ к и-нету
нод32 ничего не находит
курейт находит winlogon.exe:724 в оперативной памяти, убивает его... но если курейт запустить сразу по новой, то троян все равно сидит в оперативе. И так по кругу...
Я так понимаю тело должно быть где-то на винте, но его то антивири не находят...
кто сталкивался?
 
Курейт запускаешь через безопасный режим?
 
winlogon.exe является защищённым системным файлом, если уж очень надо - грузись с LiveCD, ищи все копии, удаляй и восстанавливай с установочного диска.
 
на винте 2 файла ВИНЛОГОН оба на месте и оба соответствуют размеру оригинальных файлов...
если запустить любой браузер, то он (браузер) грузит проц до 100% и висит...
 
duc написал(а):
А дате?
Нажмите для раскрытия...
по этому поводу я не в курсе...
снес нод32 поставил аваст - сейчас сканирую...
курейт в безопаске тоже находит троян и удаляет, но толку ноль...
опера грузит проц до 100%
хром запускает 7 процессов и жрет оперативу
осел вообще сразу вешает систему, что диспетчер можно открыть с большим трудом
наверное проще всего снести нафиг все это и поставить чистую винду
 
лучше сделайте образ автозапуска с помощью universal Virus Sniffer (в нормальном или безопасном режиме), если нужна инструкция как это сделать - могу написать здесь. --------- несколько минут, чтобы создать образ автозапуска, и плюс столько чтобы написать скрипт лечения. итого 10минут времени на решение проблемы.
 
winlogon.exe:724 в оперативной памяти, убивает его
Нажмите для раскрытия...
, скорее всего Carberp / может SpyEye / внедряется в процесс winlogon / соответственно "убить процесс" здесь ничего не решает, надо искать в автозапуске файл, который внедряется в процессы. При этом скрывает себя от обнаружения, скорее всего за счет сплайсинга.
 
~safety написал(а):
если нужна инструкция как это сделать - могу написать здесь
Нажмите для раскрытия...
если не затруднит :)
заметил, что файлы офиса потеряли визуальную асоциацию, но открываются и работают исправно
открываю хром, но даже в меню модема не пускает...
подозреваю, что проблема именно в браузерах тк похоже антивирус их сканирует в усиленном ркжиме - поэтому и загрузка такая... может ошибаюсь
ЗЫ
сеть работает нормально
 
что делать дальше?
 

Вложения

  • dvf.webp
    dvf.webp
    49.3 KB · Просмотры: 120
Да форматни ты его и не мучайся. Иногда полезно винду переустановить...
 
да я сам сторонник долго не разбираться а переустановить, но это немного не тот случай...
 
запустил одновременно осла и курейт
курейт выявил трояна в памяти уже приклеенного к iexplorer.exe
обозвал его trojan.mayachokMEM5
 
ради интереса запустил пасьянс и тутже проверил оперативу
как и думал конь прилепился к файлу игры
соответственно запустил оперу и сразу проверил (убил) трояна в оперативе и сейчас уже пишу с зараженного ПК
как быть дальше - ломаю голову
 
дальше лайв-сиди с доступом к реестру. шманайте ветки загрузки, замените winlogon, explorer, ctfmon и дальше по списке.
дальше чистим темпы, кэши, смотрим папки профилей пользователей. где-нибудь да найдется!
 
менять файлы нету смысла - троян лепится ко всему, что я запускаю
темпы, кеши были почищены в первую очередь, автозапуск в реестре тоже проверялся как прогами типа сиклинер, так и ручками :)
-------------------------
Все решилось до ужаса просто :)) скачал СЕГОДНЯШНИЙ курейт и просканил систему.
Антивирь выявил зараженный файл explorer.exe и... последнюю длл-ку на скрине выше :) вот где соба конь зарыт был :)
Сейчас все нормализовалось и переустановка винды не нужна :)
 
маячок можно поймать и через мэйл-агента, и при установке обновлений с левых сайтов. Функционал вируса включает систему обхода защиты антивируса и подмены системных файлов.

Крайний раз убивал эту вирусяку через AVZ (Сервис-Менеджер автозапуска), генерировал скрипт по результатам анализа списка служб и выполнял его, и только потом восстанавливал настройки сети по инструкции, которая у меня в дневниках выложена.
 
сиклинер для вирусов не авторитет...
 
в главном меню uVS надо выполнить функцию - сохранить полный образ автозапуска.

файл образа залить на обменник, например на _хттп://rghost.ru и скинуть ссылку на файл образа в следующее сообщение.
(рисунок малоинформативен).
-------
и ждать скрипт лечения проблемы. завтра будет время - посмотрю образ и напишу скрипт.
-------
из рисунка видно, что курсор установлен на файле маячка. удалять его через uVS (dellall) не рекомендуется, может вылететь BSOD, надо просто исключить его из автозапуска, и после перезагрузки он уже будет неактивен.
 
AlexZir написал(а):
маячок можно поймать и через мэйл-агента,
Нажмите для раскрытия...
может просто совпадение... но о-меиле-агенте писал недавно...
ilevar написал(а):
сиклинер для вирусов не авторитет...
Нажмите для раскрытия...
дык никто и не говорил о вирусах - речь о автозагрузке :)
~safety написал(а):
удалять его через uVS (dellall) не рекомендуется,
Нажмите для раскрытия...
нуда... вылетало в БСОД... короче прога неплохая, но надо разбираться...
 
Войдите или зарегистрируйтесь для ответа.

Похожие темы

Weles
Хроники тестировщика(Нецензурная лексика)
Ответы
2
Просмотры
2K
Weles
Weles
Weles
Хроники тестировщика (нецензурная лексика)
Ответы
0
Просмотры
1K
Weles
Weles
Weles
Дневник тестировщика (нецензурная лексика).
Ответы
3
Просмотры
5K
Weles
Weles
Назад
Сверху