Powracający wirus winlogon i wyskakujące strony www


(K Malecki) #1

Witam,

Podczas używania przeglądarki (opera) wyskakują mi dziwne strony (wygląda jak fałszywe google). Po przeskanowaniu komputera programem SuperAntiSpyware wykrywa wirusa zidentyfikowanego jako Malware.Trace i wksazuje ścieżkę HKLM\SOFTWARE\Microsoft\WindowsNT\Current Version\Winlogon#Tackman (C:\Document and Settings\Kamil\Dane aplikacji\qmkin.exe). Po usunięciu do kwarantanny program wymusza restart. Po ponownym uruchomieniu komputera problem jednak powraca i SuperAntiSpyware wykrywa tego samego wirusa ponownie. Przeskanowałem komputer MAlwarebytes, ale ten ku mojemu zdziwieniu nic nie wykrył.

Zamieszczam login z Hijacka z prośbą o diagnozę

http://wklejto.pl/73395

Pozdrawiam


(deFco247) #2

HijackThis to narzędzie nieużywane od dawna w analizie tego typu problemów.

Pokaż logi z narzędzi OTL + GMER.

Z OTL pokazujesz dwa wynikowe logi OTL.txt + Extras.txt

Przed uruchomieniem powyższych narzędzi odinstaluj (jeśli posiadasz) wszelkie programy tworzące wirtualne napędy (Daemon Tools, Alcohol itp.) oraz usuń instalowany przez nie sterownik SPTD narzędziem SPTDInst z opcji Uninstall (jeśli będzie zszarzałe, to OK).


(K Malecki) #3

Poniżej logi:

GMER - http://wklejto.pl/73399

OTL - http://www.wklejto.pl/73400 + http://www.wklejto.pl/73401


(deFco247) #4

Nie ustawiaj w OTL-u wszystkiego na All, gdyż to tylko wprowadza niepotrzebny nadmiar informacji do logów. Ustawienia mają być takie, jak na obrazku w tutorialu.

W białe dolne okno Własne opcje skanowania/skrypt w OTL wklej:

Wykonaj skrypt i zatwierdź restart.

Potem log z usuwania (raport, który wyskoczy po usuwaniu OTL-em) oraz nowy log robiony opcją Skanuj.

Przed uruchomieniem ponownego skanu wklej w OTL to:


(K Malecki) #5

log z usuwania: http://wklejto.pl/73402

nowe logi z OTL: http://www.wklejto.pl/73403 + http://www.wklejto.pl/73404


(deFco247) #6

W logu już niczego nie widać, ale zastanawiają mnie te błędy w kluczu rejestru Winlogon Notify:

Przy tworzeniu skryptu poleciłem wklejenie ścieżki do tego klucza rejestru, by zobaczyć jego zawartość. OTL jednak nie pokazuje tego rekursywnie, więc trzeba będzie tego dokonać w inny sposób.

Pobierz SystemLook i uruchom.

Wklej w niego:

Klikasz Look i pokazujesz wynikowy log.


(K Malecki) #7

log wynikowy z systemlook: http://wklejto.pl/73406


(deFco247) #8

Start -> Uruchom... -> regedit

Przejdź pod ten klucz rejestru:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify

Co się dzieje, jak próbujesz wejść w któryś z podkluczy tego klucza?


(K Malecki) #9

Niestety nic się nie dzieje. W oknie po prawej w danych wszędzie widnieje "wartość nie ustalona".


(deFco247) #10

W takim razie będzie trzeba zresetować te wpisy.

Otwórz Notatnik i wklej do niego bez frazy Code:

Windows Registry Editor Version 5.00


[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\!SASWinLogon]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon]


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent]

"DLLName"="Ati2evxx.dll"

"Asynchronous"=dword:00000000

"Impersonate"=dword:00000001

"Lock"="AtiLockEvent"

"Logoff"="AtiLogoffEvent"

"Logon"="AtiLogonEvent"

"Disconnect"="AtiDisConnectEvent"

"Reconnect"="AtiReConnectEvent"

"Safe"=dword:00000000

"Shutdown"="AtiShutdownEvent"

"StartScreenSaver"="AtiStartScreenSaverEvent"

"StartShell"="AtiStartShellEvent"

"Startup"="AtiStartupEvent"

"StopScreenSaver"="AtiStopScreenSaverEvent"

"Unlock"="AtiUnLockEvent"


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain]

"Asynchronous"=dword:00000000

"Impersonate"=dword:00000000

"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,33,00,32,00,2e,00,64,00,6c,00,\

  6c,00,00,00

"Logoff"="ChainWlxLogoffEvent"


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet]

"Asynchronous"=dword:00000000

"Impersonate"=dword:00000000

"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,6e,00,65,00,74,00,2e,00,64,00,\

  6c,00,6c,00,00,00

"Logoff"="CryptnetWlxLogoffEvent"


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll]

"DLLName"="cscdll.dll"

"Logon"="WinlogonLogonEvent"

"Logoff"="WinlogonLogoffEvent"

"ScreenSaver"="WinlogonScreenSaverEvent"

"Startup"="WinlogonStartupEvent"

"Shutdown"="WinlogonShutdownEvent"

"StartShell"="WinlogonStartShellEvent"

"Impersonate"=dword:00000000

"Asynchronous"=dword:00000001


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp]

"DLLName"="wlnotify.dll"

"Logon"="SCardStartCertProp"

"Logoff"="SCardStopCertProp"

"Lock"="SCardSuspendCertProp"

"Unlock"="SCardResumeCertProp"

"Enabled"=dword:00000001

"Impersonate"=dword:00000001

"Asynchronous"=dword:00000001


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule]

"Asynchronous"=dword:00000000

"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\

  6c,00,6c,00,00,00

"Impersonate"=dword:00000000

"StartShell"="SchedStartShell"

"Logoff"="SchedEventLogOff"


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy]

"Logoff"="WLEventLogoff"

"Impersonate"=dword:00000000

"Asynchronous"=dword:00000001

"DllName"=hex(2):73,00,63,00,6c,00,67,00,6e,00,74,00,66,00,79,00,2e,00,64,00,\

  6c,00,6c,00,00,00


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn]

"DLLName"="WlNotify.dll"

"Lock"="SensLockEvent"

"Logon"="SensLogonEvent"

"Logoff"="SensLogoffEvent"

"Safe"=dword:00000001

"MaxWait"=dword:00000258

"StartScreenSaver"="SensStartScreenSaverEvent"

"StopScreenSaver"="SensStopScreenSaverEvent"

"Startup"="SensStartupEvent"

"Shutdown"="SensShutdownEvent"

"StartShell"="SensStartShellEvent"

"PostShell"="SensPostShellEvent"

"Disconnect"="SensDisconnectEvent"

"Reconnect"="SensReconnectEvent"

"Unlock"="SensUnlockEvent"

"Impersonate"=dword:00000001

"Asynchronous"=dword:00000001


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv]

"Asynchronous"=dword:00000000

"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\

  6c,00,6c,00,00,00

"Impersonate"=dword:00000000

"Logoff"="TSEventLogoff"

"Logon"="TSEventLogon"

"PostShell"="TSEventPostShell"

"Shutdown"="TSEventShutdown"

"StartShell"="TSEventStartShell"

"Startup"="TSEventStartup"

"MaxWait"=dword:00000258

"Reconnect"="TSEventReconnect"

"Disconnect"="TSEventDisconnect"


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon]

"DLLName"="wlnotify.dll"

"Logon"="RegisterTicketExpiredNotificationEvent"

"Logoff"="UnregisterTicketExpiredNotificationEvent"

"Impersonate"=dword:00000001

"Asynchronous"=dword:00000001

Plik zapisz jako typ wszystkie pliki pod nazwą plik.reg -> uruchom powstały plik, potwierdź chęć dodania do rejestru -> restart.


(K Malecki) #11

Przy próbie potwierdzenia pojawia się komunikat o treści: "Nie można zaimportować C:\plik.reg. Nie wszystkie dane zostały zapisane pomyślnie w rejestrze. Niektóre klucze są otwarte przez system lub inne rejestry".


(deFco247) #12

Do wykonania tego skryptu będziesz musiał raczej odinstalować SuperAntiSpyware.

Ewentualnie możesz wprowadzić ten skrypt do rejestru w trybie awaryjnym.

Ewentualnie możesz ze skryptu usunąć to:

I spróbować ponownie.


(K Malecki) #13

NIestety w żaden sposób nie można ruszyć tych wpisów. Odinstalowałem SAS, co po restarcie usunęło wszystkie ikony z pulpitu. Próbowałem uruchomić plik.reg w trybie awarajnym - komunikat taki jak poprzednio. Usunąć też się nia da - komunikat "błąd przy usuwaniu". Wymiękam. Czy te klucze są niezbędne to prawidłowej pracy systemu?