Здравейте всички, от няколко дена ми излиза следната грешка ''winlogon.exe application error''. Ето и снимка .

Та четох за тази грешка ,опитвах се да я оправя, но без успех. КАзаха ми, да си рипеърна уиндолса, но тук нови 20 !! Слагам диска буутвам ,зареждат се файловете, след това изписва Setup is starting windows-> черен екран и накрая излиза синият екран с Fatal error .Моля ви, помогнете!

4. Само членовете на HJT Team са отговорни за даване на инструкции за работа със специализирани инструменти за отстраняване на зловреден код, както и за работа с логовете, създадени от тези инструменти.

5. Всички коментари и съвети за работа със специализирани инструменти за отстраняване на зловреден код, както и за инсталация или преинсталация на операционна система, които не са дадени от членовете на HJT Team се изтриват без предупреждение.

Правила на форум: Премахване на зловреден софтуер - HiJackThis логове

mihnev_sz

3. Не инсталирайте ComboFix без предварително дадени инструкции от HJT Team.

4. Само членовете на HJT Team са отговорни за даване на инструкции за работа със специализирани инструменти за отстраняване на зловреден код, както и за работа с логовете, създадени от тези инструменти.

@klavdimundi ако следвате инструкциите на gmMasterking го правите на ваша собствена отговорност...

Ами тя грешката излиза малко след като включа компютъра. Каквото и да натисна (ок или cencel)все ми излиза син екран ,но не помня какво пишеше точно.Днес ми излезна и още някаква грешка (пак при стартиране), отново не помня каква беше. Но беше фаил завършващ на .dll. Направих чек на диска, само че не по начина по които сте описали, направо нашисах във run първо - chkdsk /f и след това chkdsk /r. Незнам дали има някаква разлика, но и така ще го направя. А когато свърши чекването го чакам доста време ,но не се рестартира и го ресвам от копчето !?Преди да ми излезе тази грешка (можи би 2-3 дена ) антивирусната ми засече уж ''троян'', и цъкнах delete и след това (след рестарт) нищо. Иначе до сега съм дефрагментнал диска, антивирусна проверка която засече 3 файла (изтрих ги защото и те бяха нещо такова ),чек на диска ,от service pack 2 минах на service pack 3 !?! Иначе грешката като я оставя всичко си върви на 6 и тя си стои долу,аз не я закачам и няма проблем, но не мисля че е правилно. ПП: А днес дори ми излезна и съобщение ,че ми е изключен FIrewall- a ,но аз от както съм качил уиндоус-а съм го изключил.

4. Само членовете на HJT Team са отговорни за даване на инструкции за работа със специализирани инструменти за отстраняване на зловреден код, както и за работа с логовете, създадени от тези инструменти.

5. Всички коментари и съвети за работа със специализирани инструменти за отстраняване на зловреден код, както и за инсталация или преинсталация на операционна система, които не са дадени от членовете на HJT Team се изтриват без предупреждение.

Правила на форум: Премахване на зловреден софтуер - HiJackThis логове

mihnev_sz

Аз предлагам да изпълните Стъпка 3 )(Quick Scan)от тази тема.

Явно проблемът е сериозен, след като публикувате лога от МВАМ ще продължим.

P.S Ще помоля някой колега да премести темата в HJT раздела. Благодаря!

Аз предлагам да изпълните Стъпка 3 )(Quick Scan)от тази тема.

Явно проблемът е сериозен, след като публикувате лога от МВАМ ще продължим.

P.S Ще помоля някой колега да премести темата в HJT раздела. Благодаря!

Готово

и да сриваш моя авторитет.

Относно темата само като видя тази старичка иконка на Nod32 версия 2 и ми става ясно.

4. Само членовете на HJT Team са отговорни за даване на инструкции за работа със специализирани инструменти за отстраняване на зловреден код, както и за работа с логовете, създадени от тези инструменти.

5. Всички коментари и съвети за работа със специализирани инструменти за отстраняване на зловреден код, както и за инсталация или преинсталация на операционна система, които не са дадени от членовете на HJT Team се изтриват без предупреждение.

Правила на форум: Премахване на зловреден софтуер - HiJackThis логове

mihnev_sz

Следвай горните ми инструкции относно комбо фикс

Sпоред мен не е нужно да съм член на HJT Team за давам инструкции до сега съм успял да по4иста много вируси без прeинсталaция както и Sality, B-boy[styLe] не ме познаваш за да правиш такива изказвания и да сриваш моя авторитет.

Така.....темата се намира в подраздела Премахване на зловреден софтуер - HiJackThis логове .Той си има правила и те трябва да се спазват....!Използването на Combofix от необучени ползватели е все едно да дадеш лимонка на тригодишно дете..!Така че ще помоля изказвания от този род да не се повтарят..!

Правила на форум: Премахване на зловреден софтуер - HiJackThis логове

Считайте се за публично предупреден!

Темата отива към коша!

mihnev_sz

Sпоред мен не е нужно да съм член на HJT Team за давам инструкции

В този форум е нужно...в чуждестранните специализирани форуми за борба със зловредния софтуер също.

до сега съм успял да по4иста много вируси без прeинсталaция както и Sality

Чистенето на полиморфни вируси е загуба на време и е крайно НЕПРЕПОРЪЧИТЕЛНО!

B-boy[styLe] не ме познаваш за да правиш такива изказвания и да сриваш моя авторитет.

Няма нужда да ви познавам...преглеждал съм някои от старите ви постове и имам наблюдение над тях и над правописа ви.

А и поста ми не бе за да срива авторитет...раздела си има правила и те важат за всички потребители.

Лека вечер !

И какво от това....?Какво искате да кажете че ние тук от вчера почистваме вируси .....?Следващия ви пост в тази тема отива директно в коша......защото е в нарушение на правило 2:

2. Не пишете в чужда тема, а само във вашата.

От много години се занимавам професионално с ремонт на компютри което включва и почистване на вируси , почиствал съм много компютри без пеинсталция от всякакви вируси . СМЯТАМ ЧЕ СЪМ НАПЪЛНО КОМПЕТЕНТЕН ДА СЕ СПРАВЯ С ПРОБЛЕМИТЕ А И + ТОВА АЗ СЪМ КОМПЮТЪРДЖИЯ А НЕ ПРАВОПИСЕН РЕЧНИК

Методите за борба постоянно се променят...всеки е почиствал по-стандартните начини.

За използването на специализирани инструменти и съответните скриптове към тях при нас летвата е висока и е нужно да изкарате един едногодишен курс на обучение.

http://www.bleepingcomputer.com/forums/topic86678.html

Аз също нямам нужда от него, но пак го карам...щом сте про. значи няма да е проблем за вас.

След 1 година и показан сертификат ще ви се даде зелена светлина да пишете в раздела...

Дотогава сте добре дошъл във всички останали раздели...

Благодаря на колегите за намесата!!!

Сега нека продължим по случая, тъй като е доста сериозен.

Ще помоля да спестявате излишните коментари и off-topic-ите. Благодаря!

Така.....klavdimundi.....да започнем с това..:

• Изтеглете Malwarebytes' Anti-Malware Free от тук
• Кликнете два пъти върху mbam-setup.exe, за да инсталирате програмата.
• Уверете се, че са поставени отметки на Update Malwarebytes' Anti-Malware и Launch Malwarebytes' Anti-Malware. След това кликнете на Finish.
• Ако има намерени обновявания, тя ще ги изтегли и инсталира.
• Стартирайте програмата и изберете "Perform Full Scan", след това кликнете на Scan.
• Сканирането ще отнеме малко време, затова моля да бъдете търпеливи.
• Когато сканирането завърши, кликнете на OK, след това Show Results, за да видите резултата.
• Уверете се, че на всички редове има отметки, и кликнете на Remove Selected.
• Когато всичко бъде премахнато, в Notepad ще бъде отворен лог. Копирайте този лог и го публикувайте в следващия си коментар по темата.

Забележка: Ако MalwareBytes' Anti-Malware се затрудни в премахването на откритите вируси/заплахи, той ще поиска да рестартира компютъра Ви и по време на рестартирането да премахне проблемните вируси/заплахи. Ако бъдете попитани, потвърдете че желаете вашия компютър да бъде рестартиран.

Изтеглете HiJackThis разархивирате и стартирате програмата.Приемете лицензионното споразумение.

Натиснете Do a system scan and save a logfile:

След процеса на сканиране -

- ще се отвори тексто документ с лог файл

..който е необходимо да прикачите в следващия си пост.

1.Изтеглете програмата AVZ 4.35 и разархивирайте avz4.zip например в папка (c:\antivir).

- стартирате AVZ и обновявате базата с данни (в меню AVZ: Файл - Обновление баз - Пуск):

2.Затворете всички програми,временно изключете антивирусната си програма,защитната стена и друг защитен софтуер (ако имате такъв),оставете запуснат само Internet Explorer.

- докато трае сканирането и формирането на логовете изключете си интернета.

3.Стартирате AVZ,(в ОС Windows Vista стартирате с десен бутон на мишката от името на администратор),избираме от Меню - Файл - Стандартные скрипты:

... поставете отметка на 3-ти скрипт и натискаме "Выполнить отмеченные скрипты".В резултат на изпълнение на скрипта в папката AVZ\LOG ще се създаде архив virusinfo_syscure.zip.:

Внимание:След изпълнение на скрипта рестартирайте компютъра си!

4.Стартирате AVZ,(в ОС Windows Vista стартирате с десен бутон на мишката от името на администратор),избираме от Меню - Файл - Стандартные скрипты и поставете отметка на 2-ри скрипт,натискаме "Выполнить отмеченные скрипты".В резултат на изпълнение на скрипта в папката AVZ\LOG ще се създаде архив virusinfo_syscheck.zip.:

5.Затворете AVZ.Включете си антивирусната програма,защитната стена и интернета.Към темата прикачете:

- virusinfo_syscure.zip

- virusinfo_syscheck.zip

Внимание!!!

• Не бъркайте архива virusinfo_syscure.zip с virusinfo_cure.zip (втория за сега не ни е нужен)
• Ако AVZ не се стартира преименувайте файла avz.exe в 123.com (123.pif или 123.cmd)

----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

За да направите програмата на руски език (препоръчително)

направете shortcut на иконката на програмата (от инсталационната папка на десктопа си)

десен бутон на иконката ==>properties ==>таб shortcut

ще видите този прозорец - направете посочените корекции:

Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Database version: 4747 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 05.10.2010 г. 23:09:16 mbam-log-2010-10-05 (23-09-16).txt Scan type: Full scan (C:\|D:\|) Objects scanned: 368146 Time elapsed: 1 hour(s), 36 minute(s), 37 second(s) Memory Processes Infected: 0 Memory Modules Infected: 0 Registry Keys Infected: 4 Registry Values Infected: 2 Registry Data Items Infected: 0 Folders Infected: 0 Files Infected: 2 Memory Processes Infected: (No malicious items detected) Memory Modules Infected: (No malicious items detected) Registry Keys Infected: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{af2e62b6-f9e1-4d4f-a10a-9dc8e6dcbcc0} (Adware.VideoEgg) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\TDSSdata (Trojan.Agent) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\TDSS (Trojan.Agent) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\TDSSserv.sys (Rootkit.TDSS) -> Quarantined and deleted successfully. Registry Values Infected: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\java developer script browse (Trojan.Agent) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run\java developer script browse (Trojan.Agent) -> Quarantined and deleted successfully. Registry Data Items Infected: (No malicious items detected) Folders Infected: (No malicious items detected) Files Infected: C:\Downloads\BSplayer.Pro.1.39.829\BSplayerPro-Keymaker.exe (Trojan.Downloader) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{38CF3F31-4071-4343-8208-06194F917A1F}\RP900\A0111992.exe (RiskWare.Tool.CK) -> Quarantined and deleted successfully. Ето това ми излезе, сега ще изтегля и HiJackThis ,и ще направя всичко описано по горе и ще пиша.

Здравейте!Лога от HijackThis не е постнат целия...бихте ли го прикачили целия..! А с АВЗ докъде стигнахте..?

Освен това направете и следното ...изтеглете TDSSKiller.zip и го разархивирате в отделна папка на заразения компютър.Стартирате файла TDSSKiller.exe. Изчаквате да завърши сакнирането и лечението и рестартирате компютъра си.

По подразбиране в директорията на системния диск(там където е инсталиана операционната система ,по правило това е C:\) ще се генерира лог имащ следния вид - Име на инструмента.Версия_Дата_Време_log.txt ...например C:\TDSSKiller.2.4.0_23.07.2010_15.31.43_log.txt ..Прикачете го в следващия си пост..!

Ето АВЗ. Hijackthis го прикачвам като уърд документ защото не иска да се прикачи. А като пост става много дълго и пак нестава.

hijackthis.doc

virusinfo_syscheck.zip

virusinfo_syscure.zip

Благодаря!Докато преглеждам логовете ....започнете сканиране с TDSSKiller...!

Ето и лога от TDSKiller. Благодяря ви за отделеното време и внимание!

TDSSKiller.2.4.4.0_06.10.2010_15.03.57_log.txt

1.Стартирате HijackThis

2.Натиснете бутон "Do a system scan only"

3.Поставете отметки на следните редове и натиснете "Fix сhecked".

O4 - HKCU\..\Run: [Cwavum] rundll32.exe "C:\WINXP\ntfsiner.dll",Startup
O20 - Winlogon Notify: krambst - krambst.dll (file missing)

Изключете интернет,антивирусната си програма и защитната си стена.

AVZ, меню "Файл -- Выполнить скрипт" -- Копирате долунаписания скрипт-- Натиснете бутон "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('c:\docume~1\admini~1\locals~1\temp\onlinescanner\anti-virus\fsgk.sys','');
 QuarantineFile('C:\WINXP\ntfsiner.dll','');
 QuarantineFile('C:\WINXP\system32\krambst.dll','');
 DeleteFile('C:\WINXP\system32\krambst.dll');
 DeleteFile('C:\WINXP\ntfsiner.dll');
 DeleteFile('c:\docume~1\admini~1\locals~1\temp\onlinescanner\anti-virus\fsgk.sys');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\System\F-Secure Gatekeeper','EventMessageFile');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Cwavum');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

След изпълнение на скрипта компютъра ви ще се рестартира.

След рестарта изпълнете следния скрипт:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine .zip');
end.

В резултат на изпълнение на втория скрипт ще се сформира quarantine.zip (карантина).Отправете получения файл quarantine.zip от инсталационната папка на AVZ, на [email protected]

* Изтеглете TFC (Temp File Cleaner) от тук и го запишете на десктопа

* Стартирайте TFC.exe

* Имайте търпение и изчакайте програмата да завърши работата си

* Ако е необходимо, потвърдете с OK за рестартиране на Windows

След всички процедури как е системата ви..?Имате ли първоначалните проблеми..?

Направих и последното което казахте, това с TFC. За сега всичко е на 6 ,никаква грешка не ми излиза. Благодаря ви отново че помогнахте !

Радвам се..!Но нека да направим контролни сканирания след което приключваме:

1.Един бърз скан с МБАМ

2.Сканиране с АВЗ - стандартен скрипт 2

Ето и резултата от ЛК - krambst.dll - Trojan-Proxy.Win32.Agent.dbz

1.MBAM Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Database version: 4747 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 06.10.2010 г. 16:35:43 mbam-log-2010-10-06 (16-35-43).txt Scan type: Quick scan Objects scanned: 137100 Time elapsed: 5 minute(s), 30 second(s) Memory Processes Infected: 0 Memory Modules Infected: 0 Registry Keys Infected: 0 Registry Values Infected: 0 Registry Data Items Infected: 0 Folders Infected: 0 Files Infected: 0 Memory Processes Infected: (No malicious items detected) Memory Modules Infected: (No malicious items detected) Registry Keys Infected: (No malicious items detected) Registry Values Infected: (No malicious items detected) Registry Data Items Infected: (No malicious items detected) Folders Infected: (No malicious items detected) Files Infected: (No malicious items detected) 2.АВЗ Само не разбрах за този резултат от ЛК ?Какво да правя ?

virusinfo_syscheck.zip

Редактирано 6 октомври 201015 г. от klavdimundi (преглед на промените)