Piwek25
(Piwek25)
17 Listopad 2005 23:44
#1
Witam!
Mam problem!
Po włączeniu kompa wszystko jest ok ale nie dłużej niż 5-10 min.
Nagle wyskakuje ociążenie procka 100% w procesie winlogon.
Nic nie można zrobić tak się muli.
Po restarcie znowu to samo.
Czym może być to spowodowane?
Nadmienię, że procek to PIII 800 MHz, system - Windows XP Prof. (bez sp)
Nie działo się to od samego początku tylko po złapaniu jakiegoś trojana, który żekomo został usunęty.
GG jest w wersji 7.0 czy 7.2 (nie jestem pewien)
Proszę o jakąś poradę.
Dzięki!
RarLab
(Rarlab)
18 Listopad 2005 00:03
#2
mysle ze jeszcze jakas niespodzianka siedzi w systemie…
ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe
pobierz, uruchom i zeskanuj tylko dysk c
prosze o raport po zakonczeniu skanowania, najlepiej na czas skanowania wylaczyc aktualnie uzywanego antywirusa
Piwek25
(Piwek25)
19 Listopad 2005 22:41
#3
drweb znalazl trojana i go usunal ale bylo bez zmian
odkrylem, ze robi sie to po podlaczeniu do sieci po jakims czasie a czasmi od razu.
zainstalowane programy sieciowe to: GG, Tlen, Messenger, Skype
wszystkie wylanczalem po kolei (myslac, ze ktorys broi) ale i tak sie wieszal
winlogon 99-100% zuzycie procka (odlaczenie sieci nic nie dawalo-tylko restart)
podaje LOG’a
Logfile of HijackThis v1.99.1
Scan saved at 18:42:29, on 2005-11-19
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS0\System32\smss.exe
C:\WINDOWS0\system32\winlogon.exe
C:\WINDOWS0\system32\services.exe
C:\WINDOWS0\system32\lsass.exe
C:\WINDOWS0\system32\svchost.exe
C:\WINDOWS0\System32\svchost.exe
C:\WINDOWS0\Explorer.EXE
C:\Program Files\Gadu-Gadu\gg.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS0\system32\spoolsv.exe
C:\WINDOWS0\System32\svchost.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe
C:\Instalki\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.onet.pl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: Onet Pilot - {22100CA4-363B-11D4-ACD0-0050BACFB446} - C:\Program Files\Onet\OnetPilot\onetpilot1_03_00.dll
O2 - BHO: (no name) - {78364D99-A640-4ddf-B91A-67EFF8373045} - C:\WINDOWS0\System32\appwiz.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS0\System32\msdxm.ocx
O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O9 - Extra button: Onet Pilot - {D7F938C0-45F7-11d4-ACED-0050BACFB446} - C:\Program Files\Onet\OnetPilot\onetpilot1_03_00.dll
O9 - Extra 'Tools' menuitem: Onet Pilot pokaż/ukryj - {D7F938C0-45F7-11d4-ACED-0050BACFB446} - C:\Program Files\Onet\OnetPilot\onetpilot1_03_00.dll
O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1131697137470
O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://skaner.mks.com.pl/SkanerOnline.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: msupdate - C:\WINDOWS0\SYSTEM32\msupdate32.dll
Gutek
(Gutek)
19 Listopad 2005 22:50
#4
Wyłączyć Przywracanie systemu w XP TU
Zastartować do trybu awaryjnego bez internetu(opis w linku wyżej).
Zaznaczyć wskazane wpisy w Hijacku i kliknąć Fix checked. Wpisy zostaną usunięte.
Skasować z dysku pliki, które podkreśliłem na czerwono
Dokończyć skanerami online - Scanery do wyboru
Pokazać nowy log
Poczytaj Usuwanie msupdate32.exe
Piwek25
(Piwek25)
20 Listopad 2005 10:48
#5
Niestety nie wytrzymałem i się poddałem (FORMAT)
Ale odpowiedź wnikliwie przeanalizuję.
Na kompie nie można było już w ogóle pracować.
Wiem, że źle zrobiłem poddając się, ale miałem b. mało czasu (i brak pomysłu) :oops:
Dziękuję b. za pomoc
Następnym razem się tak łatwo nie poddam
Gutek
(Gutek)
20 Listopad 2005 10:56
#6
Na przyszłość jak ktoś ma poblokowane z exe-ki:
mruz
(Mruz)
21 Listopad 2005 16:41
#7
Tez to miałem i zrobiłem format bo i tak juz musialem a tak przy okazji prosze o dokładne inf. jak sie tego pozbyć bo chyba 2 raz złapalem:( i ciągle mi chce jakies maile wysyłać i jakies połączenia: winlogon.exe. Proszę o dokładne inf. bo w powyższym linku zbyt duzo tego bylo
Pozdrawiam i z gory thanks :!:
Gutek
(Gutek)
21 Listopad 2005 16:52
#8
Nie doczepiaj sie do innego teamtu, wklej log z hijacka w nowym temacie