winlogon.exe определяется как опасное ПО

[fp00d]

при загрузке системы winlogon.exe определяется как опасное ПО, антивир. находит троян и удаляет его, все повтряется при каждом включении комп после подключения и интернету когда появляется файл типа winlogon.exe-1A9b03334.pf и wincrl32.dll подключение к инету есть а что либо загрузить невозможно. сканирование антивир. временно решает проблемму.

Логи прилагаю

hijackthis.zip

virusinfo_syscheck.zip

virusinfo_syscure.zip

[ТроПа]

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WIN\System32\ntos.exe','');
QuarantineFile('C:\DOCUME~1\FPF\LOCALS~1\Temp\winEGUCeU.exe','');
QuarantineFile('C:\WIN\System32\Drivers\Winsy83.sys','');
DeleteFile('C:\WIN\System32\Drivers\Winsy83.sys');
DeleteFile('C:\DOCUME~1\FPF\LOCALS~1\Temp\winEGUCeU.exe');
DeleteFile('C:\WIN\System32\ntos.exe');
BC_ImportAll;
BC_DeleteSvc('Winsy83');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

Прислать карантин (файл quarantine.zip из папки AVZ) на адрес wise-wistful@kasperskyclub.com В письмt укажите ссылку на тему.

 

 

2.Пофиксить в HijackThis следующие строчки

O20 - Winlogon Notify: WinCtrl32 - C:\WIN\

 

Повторите логи.

[fp00d]

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WIN\System32\ntos.exe','');
QuarantineFile('C:\DOCUME~1\FPF\LOCALS~1\Temp\winEGUCeU.exe','');
QuarantineFile('C:\WIN\System32\Drivers\Winsy83.sys','');
DeleteFile('C:\WIN\System32\Drivers\Winsy83.sys');
DeleteFile('C:\DOCUME~1\FPF\LOCALS~1\Temp\winEGUCeU.exe');
DeleteFile('C:\WIN\System32\ntos.exe');
BC_ImportAll;
BC_DeleteSvc('Winsy83');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

Прислать карантин (файл quarantine.zip из папки AVZ) на адрес wise-wistful@kasperskyclub.com В письмt укажите ссылку на тему.

 

 

2.Пофиксить в HijackThis следующие строчки

O20 - Winlogon Notify: WinCtrl32 - C:\WIN\

 

Повторите логи.

спасибо за помощь, но пока могу сказать что загрузить инет по локалке неполучается хотя соединение проходит и почта качается, при подключении через модем все работает и пока не ругается, quarantine.zip из AVZ пустой(нет файлв)

логи прилагаю

hijackthis.zip

virusinfo_syscheck.zip

virusinfo_syscure.zip

[ТроПа]

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WIN\System32\ntos.exe','');
DeleteFile('C:\WIN\System32\Drivers\Winsy83.sys');
DeleteFile('C:\WIN\System32\ntos.exe');
BC_ImportAll;
BC_DeleteSvc('Winsy83');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

Повторите логи.

[fp00d]

после выполнения предложеного скрипта выполнение стандартного скрипта "лечения/каратина и сбора..." не проходит (комп перезагрузился до окончания скрипта) в остальном видимых проблемм пока нет.

hijackthis.rar

virusinfo_syscheck.zip