locator
Постоялец
Offline
|
|
« : 18-02-2006 19:03 » |
|
Доброго времени суток! По неосторожности зацепил какую-то заразу из инета. Проявляется она так: при активизации внешнего соединения запускается рассылка каких-то писем с моего компа (трафик растет, как снежный ком ), приходится внешку отключать. Запустил Outpost, дождался, когда эта рассылка начнется, и вижу - winlogon.exe запрашивает исходящее соединение по протоколу SMTP. Ну я этот запрос в Outpost заблокировал и все стало нормально. На наличие вирусов все антивирусы дружно заявляют, что вирусов нету . Однако, зверь-то все равно остался, не подскажете, как вылечить winlogon, может заменить его? (или все переустанавливать? ) Спасибо за ответ!
|
|
|
Записан
|
|
|
|
Джон
просто
Администратор
Offline
Пол:
|
|
« Ответ #1 : 18-02-2006 20:26 » |
|
Проверь не только на вирусы - обычно такой гадостью занимаются трояны. Мне недавно очень Spyware Doctor помог. Даже демо версия показывает где гадость спряталась - файлы и registry. Потом можно в защищённом режиме вручную подчистить. Но, как правило, всё не уберёшь, придётся переустанавливать систему в моём случае куча гадости сидела в IE файлах, но для сохранения необходимых данных достаточно.
|
|
« Последнее редактирование: 18-02-2006 21:51 от Джон »
|
Записан
|
Я вам что? Дурак? По выходным и праздникам на работе работать. По выходным и праздникам я работаю дома. "Just because the language allows you to do something does not mean that it’s the correct thing to do." Trey Nash "Physics is like sex: sure, it may give some practical results, but that's not why we do it." Richard P. Feynman "All science is either physics or stamp collecting." Ernest Rutherford "Wer will, findet Wege, wer nicht will, findet Gründe."
|
|
|
RXL
|
|
« Ответ #2 : 19-02-2006 08:59 » |
|
Не стоит сразу переустанавливать системы - может можно еще вылечить. Недавно лечил обин комп, поставил каспера, залил cumul и weekly - не нашел, а залил daily - нашел. Т.е. базы надо брать наисвежайшие.
Многие трояны, что прописываю себя в реестре на Run и RunOnce можно удалить да же вручную - надо только понять, что в автозапуске быть не должно, найти эту прогу в памяти и убить, а затем почистить в реестре и на диске.
|
|
|
Записан
|
... мы преодолеваем эту трудность без синтеза распределенных прототипов. (с) Жуков М.С.
|
|
|
locator
Постоялец
Offline
|
|
« Ответ #3 : 19-02-2006 11:17 » |
|
А что будет, если я из автозагрузки удалю winlogon.exe?
|
|
|
Записан
|
|
|
|
Джон
просто
Администратор
Offline
Пол:
|
|
« Ответ #4 : 19-02-2006 11:52 » |
|
Тогда не сможешь войти в систему.
|
|
|
Записан
|
Я вам что? Дурак? По выходным и праздникам на работе работать. По выходным и праздникам я работаю дома. "Just because the language allows you to do something does not mean that it’s the correct thing to do." Trey Nash "Physics is like sex: sure, it may give some practical results, but that's not why we do it." Richard P. Feynman "All science is either physics or stamp collecting." Ernest Rutherford "Wer will, findet Wege, wer nicht will, findet Gründe."
|
|
|
RXL
|
|
« Ответ #5 : 19-02-2006 12:18 » |
|
Джон, какой вход - родной winlogon в автозагрузку не прописывают...
|
|
|
Записан
|
... мы преодолеваем эту трудность без синтеза распределенных прототипов. (с) Жуков М.С.
|
|
|
Джон
просто
Администратор
Offline
Пол:
|
|
« Ответ #6 : 19-02-2006 17:03 » |
|
Бр... из автозагрузки? Хм... Точно. А что подразумевается под автозагрузкой? И что значит родной? А мы вообще о чём? Я в том смысле, если его удалить, то не войдёшь. Я уже пробовал. locator, что и откуда ты удалять собрался?
|
|
|
Записан
|
Я вам что? Дурак? По выходным и праздникам на работе работать. По выходным и праздникам я работаю дома. "Just because the language allows you to do something does not mean that it’s the correct thing to do." Trey Nash "Physics is like sex: sure, it may give some practical results, but that's not why we do it." Richard P. Feynman "All science is either physics or stamp collecting." Ernest Rutherford "Wer will, findet Wege, wer nicht will, findet Gründe."
|
|
|
locator
Постоялец
Offline
|
|
« Ответ #7 : 19-02-2006 19:40 » |
|
winlogon никак нельзя удалить - это я уже понял. А если с другого компа этот файл притащить, что будет?
|
|
|
Записан
|
|
|
|
RXL
|
|
« Ответ #8 : 19-02-2006 20:40 » |
|
Джон, )) ты на планете Земля Да, путаница в терминологии может многое Под автозагрузкой я, для простоты, имел в виду Software/Misrosoft/Windows/CurrentVersion/Run* в ветках машины, всех и текущего пользователя. locator, не мудри - ставь нормальный антивирус и свежие базы.
|
|
« Последнее редактирование: 19-02-2006 20:43 от RXL »
|
Записан
|
... мы преодолеваем эту трудность без синтеза распределенных прототипов. (с) Жуков М.С.
|
|
|
PooH
Глобальный модератор
Offline
Пол:
... и можно без хлеба!
|
|
« Ответ #9 : 20-02-2006 06:24 » |
|
насколько мне известно, то winlogon ни в одной "автозагрузке" не прописывается.
|
|
|
Записан
|
Удачного всем кодинга! -=x[PooH]x=-
|
|
|
zubr
Гость
|
|
« Ответ #10 : 20-02-2006 07:52 » |
|
locator, посмотри что у тебя в ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon в параметре Shell, если что то кроме explorer.exe, то возможно это вредоносная программа.
|
|
|
Записан
|
|
|
|
locator
Постоялец
Offline
|
|
« Ответ #11 : 20-02-2006 09:31 » |
|
насколько мне известно, то winlogon ни в одной "автозагрузке" не прописывается.
да, неудачный термин - согласен под автозагрузкой я имел ввиду программы, которые загружаются при старте системы. winlogon одна из таких программ
|
|
|
Записан
|
|
|
|
locator
Постоялец
Offline
|
|
« Ответ #12 : 20-02-2006 09:32 » |
|
locator, посмотри что у тебя в ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon в параметре Shell, если что то кроме explorer.exe, то возможно это вредоносная программа.
посмотрел, ничего, кроме explorer.exe там нет
|
|
|
Записан
|
|
|
|
zzz
Гость
|
|
« Ответ #13 : 01-09-2010 10:46 » |
|
winlogon может ловить глюки если испобльзуете стандартные дрова на wi-fi сетку или интернет по wi-fi каналу
|
|
|
Записан
|
|
|
|
Sel
Злобный
Администратор
Offline
|
|
« Ответ #14 : 01-09-2010 12:50 » |
|
Обалдеть. Главное - вовремя отреагировать.
|
|
|
Записан
|
Слово не воробей. Всё не воробей, кроме воробья.
|
|
|
Джон
просто
Администратор
Offline
Пол:
|
|
« Ответ #15 : 01-09-2010 13:37 » |
|
Тань, ты несправедлива. Товарищ - типичный советчик. Пришёл, когда никто не ждал. Слил абсолютно бесполезную информацию на вопрос, который никто не задавал. Хорошо ещё что барана не взял.
|
|
|
Записан
|
Я вам что? Дурак? По выходным и праздникам на работе работать. По выходным и праздникам я работаю дома. "Just because the language allows you to do something does not mean that it’s the correct thing to do." Trey Nash "Physics is like sex: sure, it may give some practical results, but that's not why we do it." Richard P. Feynman "All science is either physics or stamp collecting." Ernest Rutherford "Wer will, findet Wege, wer nicht will, findet Gründe."
|
|
|
Sel
Злобный
Администратор
Offline
|
|
« Ответ #16 : 01-09-2010 13:40 » |
|
*ищет смайл с посыпанием головы пеплом*
Рофл )
|
|
|
Записан
|
Слово не воробей. Всё не воробей, кроме воробья.
|
|
|
locator
Постоялец
Offline
|
|
« Ответ #17 : 01-09-2010 17:40 » |
|
winlogon может ловить глюки если испобльзуете стандартные дрова на wi-fi сетку или интернет по wi-fi каналу
да не может быть:)
|
|
|
Записан
|
|
|
|
Алексей++
глобальный и пушистый
Глобальный модератор
Offline
Сообщений: 13
|
|
« Ответ #18 : 01-09-2010 18:07 » |
|
locator, да признайся уже, баловался wi-fi сеткой и каналом
|
|
|
Записан
|
|
|
|
dhel
Гость
|
|
« Ответ #19 : 02-09-2010 08:02 » |
|
winlogon никак нельзя удалить - это я уже понял. А если с другого компа этот файл притащить, что будет? Ничего хорошего не будет. Windows должна быть одинаковая и с одними и теми же сервис паками установлена. Посмотрите, где у вас winlogon находится, должен в C:\Windows\System32. Многие вирусы под него маскируются и тогда вы найдете и в других папках.
|
|
« Последнее редактирование: 02-09-2010 08:23 от Алексей1153++ »
|
Записан
|
|
|
|
locator
Постоялец
Offline
|
|
« Ответ #20 : 02-09-2010 17:24 » |
|
Ничего хорошего не будет. Windows должна быть одинаковая и с одними и теми же сервис паками установлена. Посмотрите, где у вас winlogon находится, должен в C:\Windows\System32. Многие вирусы под него маскируются и тогда вы найдете и в других папках.
ну с тех пор я уже раза 4 винт переформатировал, да и комп уже другой Но как говорится, не отходя от кассы вопрос знатокам: я на один комп все с нуля поставил, инет подключил, потом захотел антивирь поставить (drweb с лицензией), и не могу поставить - drweb не может в инет выйти для регистрации. Я просто хотел на их сайт зайти - браузер пишет ошибку соединения, попробовал на сайт касперского - та же картина - какая то хрень не пускает на антивирусные сайты. Как этот вирус убить? И вирус ли это вообще?
|
|
|
Записан
|
|
|
|
Sla
|
|
« Ответ #21 : 02-09-2010 18:13 » |
|
вирус называется windows или файрвол
|
|
|
Записан
|
Мы все учились понемногу... Чему-нибудь и как-нибудь.
|
|
|
RXL
|
|
« Ответ #22 : 02-09-2010 21:03 » |
|
locator, если это все же вирус, то у Каспера и у DrWeb есть офлайновая бесплатная версия: скачиваешь, записываешь на флешку или болванку и лечишь этим больной комп. Хотя, все стоит сперва убедиться, что сеть настроена верно и DNS прописаны.
|
|
|
Записан
|
... мы преодолеваем эту трудность без синтеза распределенных прототипов. (с) Жуков М.С.
|
|
|
Sel
Злобный
Администратор
Offline
|
|
« Ответ #23 : 03-09-2010 07:41 » |
|
Sla, "остроумно".
locator, если это только антивирусные сайты блокруются, то поздравляю, у тебя вирус. Следуй советам RXL. А если вообщ в Сеть выйти не можешь, то настраивай подключение...
|
|
|
Записан
|
Слово не воробей. Всё не воробей, кроме воробья.
|
|
|
locator
Постоялец
Offline
|
|
« Ответ #24 : 03-09-2010 18:22 » |
|
locator, если это все же вирус, то у Каспера и у DrWeb есть офлайновая бесплатная версия: скачиваешь, записываешь на флешку или болванку и лечишь этим больной комп. Хотя, все стоит сперва убедиться, что сеть настроена верно и DNS прописаны.
есть конечно drweb cure, но она требует для получения демо-лицензии подключения к инету. у каспера нет таких версий вообще (если есть дайте ссылочку, не в службу а в дружбу ) файрвола нет на этом компе, я его не ставил, есть только винды и офис. антивирус зайцева не ищет заразу.
|
|
|
Записан
|
|
|
|
Sla
|
|
« Ответ #25 : 03-09-2010 18:26 » |
|
drweb cureIT не требует никакого ключа и подключения к инету. (может у меня устаревшие данные, месяц назад не требовал)
По всем правилам проверки на вирус, рекомендуется отключить компьютер от сети.
|
|
|
Записан
|
Мы все учились понемногу... Чему-нибудь и как-нибудь.
|
|
|
Sel
Злобный
Администратор
Offline
|
|
« Ответ #26 : 03-09-2010 18:30 » |
|
Что за бред??? Утилита от DrWeb под названием Cure It ничего не требует! Только одного: чтобы ее запустили на больном компе. Не надо путать спецально разработанную утилиту с демо-версиями антивируса или чего-там-тебе-попалось!
|
|
|
Записан
|
Слово не воробей. Всё не воробей, кроме воробья.
|
|
|
|
constax
Участник
Offline
|
|
« Ответ #28 : 10-09-2010 21:27 » |
|
winlogon может ловить глюки если испобльзуете стандартные дрова на wi-fi сетку или интернет по wi-fi каналу
полный бред... приведи пример... так ляпнуть и я могу... неродные дрова много чего могут...
|
|
|
Записан
|
|
|
|
|