1. Вы находитесь в архивной версии форума xaker.name. Здесь собраны темы с 2007 по 2012 год, большинство инструкций и мануалов уже неактуальны.
    Скрыть объявление

winlogon.exe - как вылечить ?

Тема в разделе "Windows XP", создана пользователем lytgeygen, 12 мар 2010.

  1. lytgeygen

    lytgeygen pacifiste maniaque ..::V.I.P::..

    Регистрация:
    13 окт 2008
    Сообщения:
    431
    Симпатии:
    244
    Баллы:
    0
    [​IMG]

    вот такая вот херь, в интернете ниего дельного как лечить не нашёл. сканировал нудом 32 с последней базой и антивирусной утилитой от доктор веб - ничего

    всё что нашёл только то что везде про вирусы говорили, короче только говорят но никто не помогает =\ мож но было бы просто тоупо переустановить винду, но диска нет)

    стоит Windows XP Home Edition SP3
     
  2. rijy

    rijy Команда форума Админ

    Регистрация:
    5 авг 2006
    Сообщения:
    521
    Симпатии:
    224
    Баллы:
    0
    може перезалей этот файл?
     
  3. AcidShark

    AcidShark Новичок

    Регистрация:
    10 мар 2010
    Сообщения:
    17
    Симпатии:
    0
    Баллы:
    0
    А "завершить процесс", не помогает? Или он потом заново появляется и 97ЦП остается?
     
  4. Nosaer

    Nosaer Модератор

    Регистрация:
    30 ноя 2009
    Сообщения:
    96
    Симпатии:
    78
    Баллы:
    0
    в автозапуске вирусня через пробел прописывается с настоящим винлогоном.. чисть там)
     
  5. |OFF|AngeL

    |OFF|AngeL Новичок

    Регистрация:
    10 авг 2008
    Сообщения:
    0
    Симпатии:
    96
    Баллы:
    0
    омг...у меня такая ерунда была из-за дров wi-fi %)
    вылечил сносом оных
     
  6. EXploit

    EXploit Продвинутый

    Регистрация:
    7 окт 2007
    Сообщения:
    67
    Симпатии:
    54
    Баллы:
    0
    Убедись что это именно тот самый виндовый winlogon.exe.
    Должен он находиться в C:\WINDOWS\system32\winlogon.exe.
    После посматри ветку в реесте ветку
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
    если параметр Shell = explorer.exe - значит все нормально, если после explorer.exe прописан какой то путь до файла - его скорми вирустоталу.

    Хотя я и не удевлюсь если все таки это не вирус, а как написал выше |OFF|AngeL - дрова wi-fi. :)
     
  7. lytgeygen

    lytgeygen pacifiste maniaque ..::V.I.P::..

    Регистрация:
    13 окт 2008
    Сообщения:
    431
    Симпатии:
    244
    Баллы:
    0
    EXploit,
    прописанно там такое: explorer.exe rundll32.exe qulbhx
    rundll32.exe скормил и получил вот такое:
    больше нету...

    его не возможно завершить через стандартный Диспечер, пишет что кретический процесс бла бла бла... А закрыв через Process Explorer появляется экран смерти прям так как опиcанно здесь
    вообще загрузка этим процессом при запуске варьируется от 30% до 50% после 90%-100%

    и ещё:
    [​IMG]

    если остановить то что выделено слева то нагрузка снимается и никаких ошибок не появляется

    Добавлено через 2 минуты
    а вообще всё это дело началось с вот этого

    а после удаления ничего не изменилось, удалилось причём очень криво, и восстановление аж на месяц назад, даже не помогло
     
    Последнее редактирование: 12 мар 2010
  8. EXploit

    EXploit Продвинутый

    Регистрация:
    7 окт 2007
    Сообщения:
    67
    Симпатии:
    54
    Баллы:
    0
    удаляй все что после explorer.exe и перегрузись.

    если после выноса - синий экран, то скорей всего это виндовый файл :)))))
     
  9. lytgeygen

    lytgeygen pacifiste maniaque ..::V.I.P::..

    Регистрация:
    13 окт 2008
    Сообщения:
    431
    Симпатии:
    244
    Баллы:
    0
    EXploit, да уже сделал, но это не помогло....
     
  10. EXploit

    EXploit Продвинутый

    Регистрация:
    7 окт 2007
    Сообщения:
    67
    Симпатии:
    54
    Баллы:
    0
    такс...
    1) скорми еще и винлогон сам вирустоталу.
    2) можно попробовать заменить файл winlogon.exe с другой системы (на которой нормально все с winlogon.exe).
    под рабочей виндой этого не получиться, грузись с чего нибудь загрузочного и меняй winlogon.exe на свой (на всякий сохрани старую)
    3) кстати, сколько winlogon.exe у тебя весит?
     
  11. lytgeygen

    lytgeygen pacifiste maniaque ..::V.I.P::..

    Регистрация:
    13 окт 2008
    Сообщения:
    431
    Симпатии:
    244
    Баллы:
    0
    весит 497 Кб MD5 - B3B5D5855127E240C88451030AAEE76E
    мне бы как ты сказал винлогон с другой системы, но хз где его достать)
     
  12. EXploit

    EXploit Продвинутый

    Регистрация:
    7 окт 2007
    Сообщения:
    67
    Симпатии:
    54
    Баллы:
    0
    мой весит 492 Кб MD5- BA9DF5930B2582C31C0C8E52C94DDA48
    держи _http://depositfiles.com/files/5eftltozh
    только обязательно сохрани старый winlogon.exe, чтоб если вдруг что можно было откатиться.
     
    1 человеку нравится это.
  13. lytgeygen

    lytgeygen pacifiste maniaque ..::V.I.P::..

    Регистрация:
    13 окт 2008
    Сообщения:
    431
    Симпатии:
    244
    Баллы:
    0
    ипучий билгейтс

    Добавлено через 2 минуты
    бум, пробовать, только вот с начало сканирование закончиться))
     
    Последнее редактирование: 12 мар 2010
    1 человеку нравится это.
  14. Nosaer

    Nosaer Модератор

    Регистрация:
    30 ноя 2009
    Сообщения:
    96
    Симпатии:
    78
    Баллы:
    0
    winlogan самое слабое место по моему мнению... если похерить его, или не включить его в автозагрузку. то даже в безопасном режим загрузится никак....
    Единственный выход с поддержкой командной строки.

    Мой совет. давно бы залез на форум AVZ пусть они тебе скрипт бы под эту дрянь и накатали... и запустил бы. они в этом мастера.
     
    1 человеку нравится это.
  15. lytgeygen

    lytgeygen pacifiste maniaque ..::V.I.P::..

    Регистрация:
    13 окт 2008
    Сообщения:
    431
    Симпатии:
    244
    Баллы:
    0
    EXploit,
    не проканало ((

    Добавлено через 10 минут
    не удивительно но в безопасном режиме нормально всё работает

    Добавлено через 59 минут
    есть ещё вопрос, что должно быть вписанно по дефолту в параметр VmApplet в этой же ветка ?
     
    Последнее редактирование: 13 мар 2010
  16. Zik

    Zik Модератор

    Регистрация:
    3 май 2007
    Сообщения:
    0
    Симпатии:
    219
    Баллы:
    0
    воспользуйся AVZ там в первой менюшке есть востановление системы, там есть строчка как раз с Winlogo
     
  17. lytgeygen

    lytgeygen pacifiste maniaque ..::V.I.P::..

    Регистрация:
    13 окт 2008
    Сообщения:
    431
    Симпатии:
    244
    Баллы:
    0
    Zik, не помогло
     
  18. onthar

    onthar Команда форума Админ

    Регистрация:
    8 янв 2008
    Сообщения:
    0
    Симпатии:
    609
    Баллы:
    0
    Это инжект. Сделай полный отчет hijackthis и Avz.
    Естественно выложи сюда. Поглядим.
     
  19. EXploit

    EXploit Продвинутый

    Регистрация:
    7 окт 2007
    Сообщения:
    67
    Симпатии:
    54
    Баллы:
    0
    Если это реально инжект, то тогда следует принят меры относительно размещенной ссылки в http://www.xaker.name/forvb/showthread.php?t=17405.
    Так как по утверждению lytgeygen, все именно началось с него.
     
  20. lytgeygen

    lytgeygen pacifiste maniaque ..::V.I.P::..

    Регистрация:
    13 окт 2008
    Сообщения:
    431
    Симпатии:
    244
    Баллы:
    0
    вот один лог:



    а в аттаче от AVZ
     

Поделиться этой страницей