Войти
| Регистрация
НОВОСТИ СТАТЬИ ВИДЕО ФАЙЛЫ ГАЛЕРЕЯ ССЫЛКИ ФОРУМ +1 G
RSS канал Новостей MSInsider
Страница MSInsider на Facebook
Страница MSInsider ВКонтакте
MSInsider на Twitter
Опрос
Вы участвуете в программе Windows Insider?
Результаты
Все опросы
Комментарии
mex 0
Всем привет. Весьма жаль. Но все равно был рад стать частью проекта @Nickolay и помогать в модерировании.  Mex
24.10.23 12:54
Благодарим
За активность и полезность в апреле
Последние видео
Обновление Windows 11 Moment 1
20.10.2022
Xbox Elite Wireless Controlle...
08.09.2022
Анимированные иконки в Windows 11 25188
26.08.2022
Новая анимация Панели задач в Windows 11 25179
12.08.2022
Microsoft Cameo в PowerPoint ...
07.06.2022
Свежие статьи
16.09.2022 Windows 11 - Активация полноэкранной Панели виджетов в Windows 11 25201 и выше
14.09.2022 Windows 11 - Активация поисковой строки Панели задач в Windows 11 25197 и выше
13.06.2022 Windows 11 - Включение вкладок в Проводнике Windows 11
20.05.2022 Windows 11 - Включение строки поиска в Интернете на Рабочем столе Windows 11
18.01.2022 Система Windows - Как запаролить папки и файлы на компьютере (Windows 10 и др)
Популярные новости
Обсуждаемые новости

2
MS INSIDER - Форумы - Другое - Флэйм - Вирус AUTORUN как бороться.

Вирус AUTORUN как бороться.

Версия для печати
12 3
rewuxiin
Не в сети
Посетитель
Сообщений: 4
Благодарностей: 0
Предупреждений:
Из: Belarus
Род занятий:

Johny-electric, сделал как сказал Angel of Despair-базы обновились антивирь заработал. Запустил проверку. Как закончит дам знать))

#190525   | 10.03.10 10:31
rewuxiin
Не в сети
Посетитель
Сообщений: 4
Благодарностей: 0
Предупреждений:
Из: Belarus
Род занятий:

Вобщем отсканировал компьютер вот результат -

Rimecud!inf
Rimecud.B

file:\System Volume Information\_restore{222A878A-E8EA-4462-AB3F-8CA27011825C}\RP47\A0016556.exe

file:\System Volume Information\_restore{222A878A-E8EA-4462-AB3F-8CA27011825C}\RP46\A0015336.inf
file:\System Volume Information\_restore{222A878A-E8EA-4462-AB3F-8CA27011825C}\RP47\A0016558.inf
file:\System Volume Information\_restore{222A878A-E8EA-4462-AB3F-8CA27011825C}\RP56\A0020176.inf


Перезагруз. Вставляю флеш и опять на ней создется папка OSVETA со значком корзины в ней Desktop.ini и odsteta.exe
и файл autorun с содержанием:

[autorun
!jendodmADKLAfaskFLgsgfd
open=OSVETA///odsteta.exe
;dsadfsaфдклЧФсдкфОЕЧКЕЧкфчефњефњењљфњеф
icon=%SystemRoot%\system32\SHELL32.dll,4
!фсафаЋЧлфсдћфлдћфдепћфћлећечлфењ
action=Open folder to view files using Windows Explorer
#fLf?l?dsf?SDklfe?fko?fikeo?FkДэжаыфафыафыцаф
Shell\open\command=OSVETA///odsteta.exe
$аыфафыаЦДЖАЛЭЦЖфаацац
shell\open\command=OSVETA///odsteta.exe
%аыфафдцлацжлаэжфалдцзхпыэукпдУПдУЗХЭпдалЭУКП
USEAUTOPLAY=1
^аыфафыЛДАЭЖулдаУДАУЭадуЗХЭАу



Как с ним бится??? Кстати на компьютере, в котором переустановил винду с нуля и создав папки и файлы на дисках с защитой от удаления, вирь пройти несмог.

#190526   | 10.03.10 12:00
NMS
Не в сети
Знаток
Сообщений: 841
Благодарностей: 51
Предупреждений:
Из: Russia Москва
Род занятий: IT

rewuxiin,

1) Включите в Проводнике показ скрытых файлов, папок...
2) Включите показ системных файлов

Нижеприведённое работает при условии, что модификация червя сидит типа в "Корзине" (если где-то ещё - можно увидеть в следующих ветках)

1) Удалите из реестра следующие значения (если таковые имеются):

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Taskman = "C:\RECYCLER\{случайный CLSID}\{случайное имя файла}"

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Actualizacion = "C:\RECYCLER\{случайный CLSID}\{случайное имя файла}"

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
"C:\RECYCLER\{случайный CLSID}\{случайное имя файла}"

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
12CFG94-z641-2SF-N31P-5M1ER6H6L1 = "C:\RECYCLER\{случайный CLSID}\{случайное имя файла}"

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Windows Video Drivers = "C:\RECYCLER\{случайный CLSID}\{случайное имя файла}"

HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell = "explorer.exe {путь к червяку}"

2) Удалите папку с червем (exe можно выгрузить из памяти, зная его имя из вышеприведённых веток, да и после вышеприведённых манипуляций и перезагрузки его там может и не быть)

C:\RECYCLER\{случайный CLSID}\{случайное имя файла}

#190529   | 10.03.10 13:29
rewuxiin
Не в сети
Посетитель
Сообщений: 4
Благодарностей: 0
Предупреждений:
Из: Belarus
Род занятий:

NMS, ничего из вышеуказанного нет. где же он падла прячется? начал в памяти убивать неизвестные мне приложения - снес Microsoft Security Essentials это чтож за такой антивирус который можно так легко вынести??

#190531   | 10.03.10 14:11
Johny-electric
Не в сети
Инсайдер
Сообщений: 3329
Благодарностей: 391
Предупреждений:
Из: Russia Усть-Илимск
Род занятий: Электромонтёр
Johny_Electric

ничего из вышеуказанного нет. где же он падла прячется?

Worm:Win32/Rimecud

Microsoft Malware Protection Center писал:The worm then injects its main payload code into the "explorer.exe" process.



начал в памяти убивать неизвестные мне приложения - снес Microsoft Security Essentials это чтож за такой антивирус который можно так легко вынести??

Post #179613 и делее...

#190536   | 10.03.10 16:51
NMS
Не в сети
Знаток
Сообщений: 841
Благодарностей: 51
Предупреждений:
Из: Russia Москва
Род занятий: IT

rewuxiin :
NMS, ничего из вышеуказанного нет. где же он падла прячется?



А в "вышеуказанном" никакой конкретики и не было. Тогда уж делайте экспорт веток реестра в текстовом формате и представьте для ознакомления. Ветки:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
HKLM\SYSTEM\CotrolSet001\Control\Winlogon
HKLM\SYSTEM\CotrolSet002\Control\Winlogon
HKLM\SYSTEM\CurrentCotrolSet\Control\Winlogon
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Run

#190542   | 10.03.10 18:27
rewuxiin
Не в сети
Посетитель
Сообщений: 4
Благодарностей: 0
Предупреждений:
Из: Belarus
Род занятий:

Как небыло??

Winlogon Taskman

Run Actualizacion

12CFG94-z641-2SF-N31P-5M1ER6H6L1

Winlogon Shell

у меня таких ключей нет.

Завтра выложу.

#190551   | 10.03.10 21:52
NMS
Не в сети
Знаток
Сообщений: 841
Благодарностей: 51
Предупреждений:
Из: Russia Москва
Род занятий: IT

rewuxiin, не надо строить и приписывать мне такие "словосочетания". Речь шла про области Winlogon, Run (всё это указано в предыдущем моём посте) откуда червяк может запросто стартовать при запуске системы крепиться к процессам explorer.exe, winlogon.exe...

Т.к. практический каждый вирус имеет модификацию - были приведены возможные варианты, но необязательно, что именно они должны присутствовать. Вот что я имею в виду, когда пишу, что "не было конкретики".

P.S. Словосочетаний типа Winlogon Shell - в реестре не бывает, и по Ctrl+F действительно их там не найти ( если Вы ищите именно так).

#190552   | 10.03.10 22:19
Johny-electric
Не в сети
Инсайдер
Сообщений: 3329
Благодарностей: 391
Предупреждений:
Из: Russia Усть-Илимск
Род занятий: Электромонтёр
Johny_Electric

rewuxiin, я же привёл ссылку с Microsoft Malware Protection Center, где сказано, что он внедряется в процесс explorer.exe. Вот поэтому вы его и не можете удалить. Единственный вариант - чистить винт от вирусов на другом компе, либо загрузившись с лайв сд. Также, если вирус модифицировал системные файлы, можете запустить в коммандной строке от имени администратора команду

sfc /scannow


для обнаружения модифицированных системных файлов.

#190557   | 11.03.10 01:44
rewuxiin
Не в сети
Посетитель
Сообщений: 4
Благодарностей: 0
Предупреждений:
Из: Belarus
Род занятий:

HKCU_Software_Microsoft_Windows_CurrentVersion_Run

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"Sidebar"="C:\\Program Files\\Windows Sidebar\\sidebar.exe /autoRun"
"Skype"="\"C:\\Program Files\\Skype\\Phone\\Skype.exe\" /nosplash /minimized"


HKCU_SOFTWARE_Microsoft_Windows NT_CurrentVersion_Winlogon
Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"ParseAutoexec"="1"
"ExcludeProfileDirs"="Local Settings;Temporary Internet Files;History;Temp"
"BuildNumber"=dword:00000a28


HKLM_Software_Microsoft_Windows_CurrentVersion_Run
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"GrooveMonitor"="\"C:\\Program Files\\Microsoft Office\\Office12\\GrooveMonitor.exe\""
"MSSE"="\"C:\\Program Files\\Microsoft Security Essentials\\msseces.exe\" -hide -runkey"


HKLM_SOFTWARE_Microsoft_Windows NT_CurrentVersion_Winlogon
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"AutoRestartShell"=dword:00000001
"DefaultDomainName"="SOLAR2"
"DefaultUserName"="Директор"
"LegalNoticeCaption"=""
"LegalNoticeText"=""
"PowerdownAfterShutdown"="0"
"ReportBootOk"="1"
"Shell"="Explorer.exe"
"ShutdownWithoutLogon"="0"
"System"=""
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
"VmApplet"="rundll32 shell32,Control_RunDLL \"sysdm.cpl\""
"SfcQuota"=dword:ffffffff
"allocatecdroms"="0"
"allocatedasd"="0"
"allocatefloppies"="0"
"cachedlogonscount"="10"
"forceunlocklogon"=dword:00000000
"passwordexpirywarning"=dword:0000000e
"scremoveoption"="0"
"AllowMultipleTSSessions"=dword:00000001
"UIHost"=hex(2):6c,00,6f,00,67,00,6f,00,6e,00,75,00,69,00,2e,00,65,00,78,00,65,\
00,00,00
"LogonType"=dword:00000001
"Background"="0 0 0"
"DebugServerCommand"="no"
"SFCDisable"=dword:00000000
"WinStationsDisabled"="0"
"HibernationPreviouslyEnabled"=dword:00000001
"ShowLogonOptions"=dword:00000000
"AltDefaultUserName"="Директор"
"AltDefaultDomainName"="SOLAR2"
"Taskman"="C:\\Documents and Settings\\Директор\\csrss.exe"
"SfcDisabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{0ACDD40C-75AC-47ab-BAA0-BF6DE7E7FE63}]
@="Беспроводной"
"ProcessGroupPolicy"="ProcessWIRELESSPolicy"
"DllName"=hex(2):67,00,70,00,74,00,65,00,78,00,74,00,2e,00,64,00,6c,00,6c,00,\
00,00
"NoUserPolicy"=dword:00000001
"NoGPOListChanges"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{25537BA6-77A8-11D2-9B6C-0000F8080861}]
@="Folder Redirection"
"ProcessGroupPolicyEx"="ProcessGroupPolicyEx"
"DllName"=hex(2):66,00,64,00,65,00,70,00,6c,00,6f,00,79,00,2e,00,64,00,6c,00,\
6c,00,00,00
"NoMachinePolicy"=dword:00000001
"NoSlowLink"=dword:00000001
"PerUserLocalSettings"=dword:00000001
"NoGPOListChanges"=dword:00000000
"NoBackgroundPolicy"=dword:00000000
"GenerateGroupPolicy"="GenerateGroupPolicy"
"EventSources"=hex(7):28,00,46,00,6f,00,6c,00,64,00,65,00,72,00,20,00,52,00,65,\
00,64,00,69,00,72,00,65,00,63,00,74,00,69,00,6f,00,6e,00,2c,00,41,00,70,00,\
70,00,6c,00,69,00,63,00,61,00,74,00,69,00,6f,00,6e,00,29,00,00,00,00,00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{3610eda5-77ef-11d2-8dc5-00c04fa31a66}]
@="Дисковые квоты"
"NoMachinePolicy"=dword:00000000
"NoUserPolicy"=dword:00000001
"NoSlowLink"=dword:00000001
"NoBackgroundPolicy"=dword:00000001
"NoGPOListChanges"=dword:00000001
"PerUserLocalSettings"=dword:00000000
"RequiresSuccessfulRegistry"=dword:00000001
"EnableAsynchronousProcessing"=dword:00000000
"DllName"=hex(2):64,00,73,00,6b,00,71,00,75,00,6f,00,74,00,61,00,2e,00,64,00,\
6c,00,6c,00,00,00
"ProcessGroupPolicy"="ProcessGroupPolicy"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{426031c0-0b47-4852-b0ca-ac3d37bfcb39}]
@="Планировщик пакетов QoS"
"ProcessGroupPolicy"="ProcessPSCHEDPolicy"
"DllName"=hex(2):67,00,70,00,74,00,65,00,78,00,74,00,2e,00,64,00,6c,00,6c,00,\
00,00
"NoUserPolicy"=dword:00000001
"NoGPOListChanges"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{42B5FAAE-6536-11d2-AE5A-0000F87571E3}]
@="Сценарии"
"ProcessGroupPolicy"="ProcessScriptsGroupPolicy"
"ProcessGroupPolicyEx"="ProcessScriptsGroupPolicyEx"
"GenerateGroupPolicy"="GenerateScriptsGroupPolicy"
"DllName"=hex(2):67,00,70,00,74,00,65,00,78,00,74,00,2e,00,64,00,6c,00,6c,00,\
00,00
"NoSlowLink"=dword:00000001
"NoGPOListChanges"=dword:00000001
"NotifyLinkTransition"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{4CFB60C1-FAA6-47f1-89AA-0B18730C9FD3}]
@="Сопоставление зон Internet Explorer"
"DllName"=hex(2):69,00,65,00,64,00,6b,00,63,00,73,00,33,00,32,00,2e,00,64,00,\
6c,00,6c,00,00,00
"ProcessGroupPolicy"="ProcessGroupPolicyForZoneMap"
"NoGPOListChanges"=dword:00000001
"RequiresSucessfulRegistry"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F79F83A}]
"ProcessGroupPolicy"="SceProcessSecurityPolicyGPO"
"GenerateGroupPolicy"="SceGenerateGroupPolicy"
"ExtensionRsopPlanningDebugLevel"=dword:00000001
"ProcessGroupPolicyEx"="SceProcessSecurityPolicyGPOEx"
"ExtensionDebugLevel"=dword:00000001
"DllName"=hex(2):73,00,63,00,65,00,63,00,6c,00,69,00,2e,00,64,00,6c,00,6c,00,\
00,00
@="Security"
"NoUserPolicy"=dword:00000001
"NoGPOListChanges"=dword:00000001
"EnableAsynchronousProcessing"=dword:00000001
"MaxNoGPOListChangesInterval"=dword:000003c0

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{A2E30F80-D7DE-11d2-BBDE-00C04F86AE3B}]
"ProcessGroupPolicyEx"="ProcessGroupPolicyEx"
"GenerateGroupPolicy"="GenerateGroupPolicy"
"ProcessGroupPolicy"="ProcessGroupPolicy"
"DllName"=hex(2):69,00,65,00,64,00,6b,00,63,00,73,00,33,00,32,00,2e,00,64,00,\
6c,00,6c,00,00,00
@="Фирменная настройка Internet Explorer"
"NoSlowLink"=dword:00000001
"NoBackgroundPolicy"=dword:00000000
"NoGPOListChanges"=dword:00000001
"NoMachinePolicy"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{B1BE8D72-6EAC-11D2-A4EA-00C04F79F83A}]
"ProcessGroupPolicy"="SceProcessEFSRecoveryGPO"
"DllName"=hex(2):73,00,63,00,65,00,63,00,6c,00,69,00,2e,00,64,00,6c,00,6c,00,\
00,00
@="EFS recovery"
"NoUserPolicy"=dword:00000001
"NoGPOListChanges"=dword:00000001
"RequiresSuccessfulRegistry"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{B587E2B1-4D59-4e7e-AED9-22B9DF11D053}]
@="802.3 Group Policy"
"DisplayName"=hex(2):40,00,64,00,6f,00,74,00,33,00,67,00,70,00,63,00,6c,00,6e,\
00,74,00,2e,00,64,00,6c,00,6c,00,2c,00,2d,00,31,00,30,00,30,00,00,00
"ProcessGroupPolicyEx"="ProcessLANPolicyEx"
"GenerateGroupPolicy"="GenerateLANPolicy"
"DllName"=hex(2):64,00,6f,00,74,00,33,00,67,00,70,00,63,00,6c,00,6e,00,74,00,\
2e,00,64,00,6c,00,6c,00,00,00
"NoUserPolicy"=dword:00000001
"NoGPOListChanges"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{C631DF4C-088F-4156-B058-4375F0853CD8}]
@="Microsoft Offline Files"
"DllName"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,63,\
00,73,00,63,00,75,00,69,00,2e,00,64,00,6c,00,6c,00,00,00
"EnableAsynchronousProcessing"=dword:00000000
"NoBackgroundPolicy"=dword:00000000
"NoGPOListChanges"=dword:00000000
"NoMachinePolicy"=dword:00000000
"NoSlowLink"=dword:00000000
"NoUserPolicy"=dword:00000001
"PerUserLocalSettings"=dword:00000000
"ProcessGroupPolicy"="ProcessGroupPolicy"
"RequiresSuccessfulRegistry"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{c6dc5466-785a-11d2-84d0-00c04fb169f7}]
@="Установка программного обеспечения"
"DllName"=hex(2):61,00,70,00,70,00,6d,00,67,00,6d,00,74,00,73,00,2e,00,64,00,\
6c,00,6c,00,00,00
"ProcessGroupPolicyEx"="ProcessGroupPolicyObjectsEx"
"GenerateGroupPolicy"="GenerateGroupPolicy"
"NoBackgroundPolicy"=dword:00000000
"RequiresSucessfulRegistry"=dword:00000000
"NoSlowLink"=dword:00000001
"PerUserLocalSettings"=dword:00000001
"EventSources"=hex(7):28,00,41,00,70,00,70,00,6c,00,69,00,63,00,61,00,74,00,69,\
00,6f,00,6e,00,20,00,4d,00,61,00,6e,00,61,00,67,00,65,00,6d,00,65,00,6e,00,\
74,00,2c,00,41,00,70,00,70,00,6c,00,69,00,63,00,61,00,74,00,69,00,6f,00,6e,\
00,29,00,00,00,28,00,4d,00,73,00,69,00,49,00,6e,00,73,00,74,00,61,00,6c,00,\
6c,00,65,00,72,00,2c,00,41,00,70,00,70,00,6c,00,69,00,63,00,61,00,74,00,69,\
00,6f,00,6e,00,29,00,00,00,00,00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{e437bc1c-aa7d-11d2-a382-00c04f991e27}]
@="IP-безопасность"
"ProcessGroupPolicy"="ProcessIPSECPolicy"
"DllName"=hex(2):67,00,70,00,74,00,65,00,78,00,74,00,2e,00,64,00,6c,00,6c,00,\
00,00
"NoUserPolicy"=dword:00000001
"NoGPOListChanges"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,33,00,32,00,2e,00,64,00,6c,00,\
6c,00,00,00
"Logoff"="ChainWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,6e,00,65,00,74,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Logoff"="CryptnetWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll]
"DLLName"="cscdll.dll"
"Logon"="WinlogonLogonEvent"
"Logoff"="WinlogonLogoffEvent"
"ScreenSaver"="WinlogonScreenSaverEvent"
"Startup"="WinlogonStartupEvent"
"Shutdown"="WinlogonShutdownEvent"
"StartShell"="WinlogonStartShellEvent"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\dimsntfy]
"Asynchronous"=dword:00000001
"DllName"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,64,\
00,69,00,6d,00,73,00,6e,00,74,00,66,00,79,00,2e,00,64,00,6c,00,6c,00,00,00
"Startup"="WlDimsStartup"
"Shutdown"="WlDimsShutdown"
"Logon"="WlDimsLogon"
"Logoff"="WlDimsLogoff"
"StartShell"="WlDimsStartShell"
"Lock"="WlDimsLock"
"Unlock"="WlDimsUnlock"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\LAAgent]
@=""
"Asynchronous"=dword:00000001
"DLLName"="LANotify.dll"
"Impersonate"=dword:00000000
"Lock"="WLEventLock"
"Logoff"="WLEventLogoff"
"Logon"="WLEventLogon"
"Shutdown"="WLEventShutdown"
"StartScreenSaver"="WLEventStartScreenSaver"
"StartShell"="WLEventStartShell"
"Startup"="WLEventStartup"
"StopScreenSaver"="WLEventStopScreenSaver"
"Unlock"="WLEventUnlock"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp]
"DLLName"="wlnotify.dll"
"Logon"="SCardStartCertProp"
"Logoff"="SCardStopCertProp"
"Lock"="SCardSuspendCertProp"
"Unlock"="SCardResumeCertProp"
"Enabled"=dword:00000001
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Impersonate"=dword:00000000
"StartShell"="SchedStartShell"
"Logoff"="SchedEventLogOff"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy]
"Logoff"="WLEventLogoff"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001
"DllName"=hex(2):73,00,63,00,6c,00,67,00,6e,00,74,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn]
"DLLName"="WlNotify.dll"
"Lock"="SensLockEvent"
"Logon"="SensLogonEvent"
"Logoff"="SensLogoffEvent"
"Safe"=dword:00000001
"MaxWait"=dword:00000258
"StartScreenSaver"="SensStartScreenSaverEvent"
"StopScreenSaver"="SensStopScreenSaverEvent"
"Startup"="SensStartupEvent"
"Shutdown"="SensShutdownEvent"
"StartShell"="SensStartShellEvent"
"PostShell"="SensPostShellEvent"
"Disconnect"="SensDisconnectEvent"
"Reconnect"="SensReconnectEvent"
"Unlock"="SensUnlockEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Impersonate"=dword:00000000
"Logoff"="TSEventLogoff"
"Logon"="TSEventLogon"
"PostShell"="TSEventPostShell"
"Shutdown"="TSEventShutdown"
"StartShell"="TSEventStartShell"
"Startup"="TSEventStartup"
"MaxWait"=dword:00000258
"Reconnect"="TSEventReconnect"
"Disconnect"="TSEventDisconnect"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon]
"DLLName"="wlnotify.dll"
"Logon"="RegisterTicketExpiredNotificationEvent"
"Logoff"="UnregisterTicketExpiredNotificationEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList]
"HelpAssistant"=dword:00000000
"TsInternetUser"=dword:00000000
"SQLAgentCmdExec"=dword:00000000
"NetShowServices"=dword:00000000
"IWAM_"=dword:00010000
"IUSR_"=dword:00010000
"VUSR_"=dword:00010000



остальных веток у меня несуществует.

Johny-electric, спасибо. сейчас попробую отсканить.

NMS, ладно. мы друг друга недопоняли не будем спорить неочем. лучше помогите разобраться))

#190565   | 11.03.10 09:50
NMS
Не в сети
Знаток
Сообщений: 841
Благодарностей: 51
Предупреждений:
Из: Russia Москва
Род занятий: IT

rewuxiin, вызывает подозрение вот это:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Taskman"="C:\\Documents and Settings\\Директор\\csrss.exe"

#190572   | 11.03.10 14:02
rewuxiin
Не в сети
Посетитель
Сообщений: 4
Благодарностей: 0
Предупреждений:
Из: Belarus
Род занятий:

NMS, позже помотрю. помоему это от NOD32 который раньше стоял.

#190580   | 11.03.10 17:15
NMS
Не в сети
Знаток
Сообщений: 841
Благодарностей: 51
Предупреждений:
Из: Russia Москва
Род занятий: IT

rewuxiin, не сообщайте каждый раз, что Вы посмотрите/выложите позже/завтра. Это нужно прежде всего Вам. Как сможете - посмотрите.

Файл сsrss.exe (Client Server Runtime Process), он не от NOD'а - он системный, и находится он в папке Windows\System32, но никак не в папке пользователя.

Поблагодарили: rewuxiin

#190582   | 11.03.10 18:27
rewuxiin
Не в сети
Посетитель
Сообщений: 4
Благодарностей: 0
Предупреждений:
Из: Belarus
Род занятий:

NMS, нашол этот файл. оказался скрытым. Что лучше следует сделать? Удалить однозначно. А вот если он или чтонибудь похожее опять на флеш придет?
NOD32 определил его как WIN32/Peerfrag.GJ червь. Почемуже он его раньше не заметил?? Да и все остальные тоже?

#190592   | 12.03.10 10:58
NMS
Не в сети
Знаток
Сообщений: 841
Благодарностей: 51
Предупреждений:
Из: Russia Москва
Род занятий: IT

rewuxiin, в том числе уберите из реестра ту самую строчку на его запуск. Насчёт "почему никто не заметил" - сейчас сказать сложно, тем более, что это Ваш компьютер. При наличии грамотного антивирусного ПО и наименьшем влиянии "человеческого фактора" ))) - система должна быть в порядке.

#190593   | 12.03.10 11:11
Предыдущая страница
12 3
Следующая страница
Быстро
Разделы
Актуально
Мы
Экспорт
Все права принадлежат © ms insider @thevista.ru, 2022
Сайт является источником уникальной информации о семействе операционных систем Windows и других продуктах Microsoft. Перепечатка материалов возможна только с разрешения редакции.
Работает на WMS 2.34 (Страница создана за 0.104 секунд (Общее время SQL: 0.08 секунд - SQL запросов: 97 - Среднее время SQL: 0.00082 секунд))
Яндекс цитирования
Top.Mail.Ru