Powracający wirus winlogon i wyskakujące strony www

anon75460011 · 30 Lipiec 2010 19:41

Witam,

Podczas używania przeglądarki (opera) wyskakują mi dziwne strony (wygląda jak fałszywe google). Po przeskanowaniu komputera programem SuperAntiSpyware wykrywa wirusa zidentyfikowanego jako Malware.Trace i wksazuje ścieżkę HKLM\SOFTWARE\Microsoft\WindowsNT\Current Version\Winlogon#Tackman (C:\Document and Settings\Kamil\Dane aplikacji\qmkin.exe). Po usunięciu do kwarantanny program wymusza restart. Po ponownym uruchomieniu komputera problem jednak powraca i SuperAntiSpyware wykrywa tego samego wirusa ponownie. Przeskanowałem komputer MAlwarebytes, ale ten ku mojemu zdziwieniu nic nie wykrył.

Zamieszczam login z Hijacka z prośbą o diagnozę

http://wklejto.pl/73395

Pozdrawiam

deFco247 · 30 Lipiec 2010 19:58

HijackThis to narzędzie nieużywane od dawna w analizie tego typu problemów.

Pokaż logi z narzędzi OTL + GMER.

Z OTL pokazujesz dwa wynikowe logi OTL.txt + Extras.txt

Przed uruchomieniem powyższych narzędzi odinstaluj (jeśli posiadasz) wszelkie programy tworzące wirtualne napędy (Daemon Tools, Alcohol itp.) oraz usuń instalowany przez nie sterownik SPTD narzędziem SPTDInst z opcji Uninstall (jeśli będzie zszarzałe, to OK).

anon75460011 · 30 Lipiec 2010 20:24

Poniżej logi:

GMER - http://wklejto.pl/73399

OTL - http://www.wklejto.pl/73400 + http://www.wklejto.pl/73401

deFco247 · 30 Lipiec 2010 20:40

Nie ustawiaj w OTL-u wszystkiego na All, gdyż to tylko wprowadza niepotrzebny nadmiar informacji do logów. Ustawienia mają być takie, jak na obrazku w tutorialu.

W białe dolne okno Własne opcje skanowania/skrypt w OTL wklej:

:OTL O2 - BHO: (ZoneAlarm Spy Blocker BHO) - {F0D4B231-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Program Files\ZoneAlarmSB\bar\1.bin\SPYBLOCK.DLL (ZoneAlarm) O3 - HKLM…\Toolbar: (ZoneAlarm Spy Blocker) - {F0D4B239-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Program Files\ZoneAlarmSB\bar\1.bin\SPYBLOCK.DLL (ZoneAlarm) O3 - HKCU…\Toolbar\WebBrowser: (ZoneAlarm Spy Blocker) - {F0D4B239-DA4B-4DAF-81E4-DFEE4931A4AA} - C:\Program Files\ZoneAlarmSB\bar\1.bin\SPYBLOCK.DLL (ZoneAlarm) :Files C:\Documents and Settings\Kamil\Dane aplikacji\qmkin.exe :Reg [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] “TaskMan”=- [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] “C:\Program Files\Pinnacle\MediaCenter\PMC.exe”=- “C:\Program Files\Pinnacle\MediaCenter\PMSInstallInit.exe”=- “C:\Program Files\Pinnacle\MediaCenter\PSST.exe”=- “E:\program files2\Skype\Plugin Manager\skypePM.exe”=- :Commands [emptytemp]

Wykonaj skrypt i zatwierdź restart.

Potem log z usuwania (raport, który wyskoczy po usuwaniu OTL-em) oraz nowy log robiony opcją Skanuj.

Przed uruchomieniem ponownego skanu wklej w OTL to:

anon75460011 · 30 Lipiec 2010 21:08

log z usuwania: http://wklejto.pl/73402

nowe logi z OTL: http://www.wklejto.pl/73403 + http://www.wklejto.pl/73404

deFco247 · 30 Lipiec 2010 21:28

W logu już niczego nie widać, ale zastanawiają mnie te błędy w kluczu rejestru Winlogon Notify:

O20 - Winlogon\Notify!SASWinLogon: DllName - Reg Error: Key error. - Reg Error: Key error. File not found O20 - Winlogon\Notify\AtiExtEvent: DllName - Reg Error: Key error. - Reg Error: Key error. File not found O20 - Winlogon\Notify\crypt32chain: DllName - Reg Error: Key error. - Reg Error: Key error. File not found O20 - Winlogon\Notify\cryptnet: DllName - Reg Error: Key error. - Reg Error: Key error. File not found O20 - Winlogon\Notify\cscdll: DllName - Reg Error: Key error. - Reg Error: Key error. File not found O20 - Winlogon\Notify\ScCertProp: DllName - Reg Error: Key error. - Reg Error: Key error. File not found O20 - Winlogon\Notify\Schedule: DllName - Reg Error: Key error. - Reg Error: Key error. File not found O20 - Winlogon\Notify\sclgntfy: DllName - Reg Error: Key error. - Reg Error: Key error. File not found O20 - Winlogon\Notify\SensLogn: DllName - Reg Error: Key error. - Reg Error: Key error. File not found O20 - Winlogon\Notify\termsrv: DllName - Reg Error: Key error. - Reg Error: Key error. File not found O20 - Winlogon\Notify\WgaLogon: DllName - Reg Error: Value error. - Reg Error: Value error. File not found O20 - Winlogon\Notify\wlballoon: DllName - Reg Error: Key error. - Reg Error: Key error. File not found

Przy tworzeniu skryptu poleciłem wklejenie ścieżki do tego klucza rejestru, by zobaczyć jego zawartość. OTL jednak nie pokazuje tego rekursywnie, więc trzeba będzie tego dokonać w inny sposób.

Pobierz SystemLook i uruchom.

Wklej w niego:

Klikasz Look i pokazujesz wynikowy log.

anon75460011 · 30 Lipiec 2010 21:35

log wynikowy z systemlook: http://wklejto.pl/73406

deFco247 · 30 Lipiec 2010 21:38

Start -> Uruchom… -> regedit

Przejdź pod ten klucz rejestru:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify

Co się dzieje, jak próbujesz wejść w któryś z podkluczy tego klucza?

anon75460011 · 30 Lipiec 2010 21:47

Niestety nic się nie dzieje. W oknie po prawej w danych wszędzie widnieje “wartość nie ustalona”.

deFco247 · 30 Lipiec 2010 22:01

W takim razie będzie trzeba zresetować te wpisy.

Otwórz Notatnik i wklej do niego bez frazy Code:

Windows Registry Editor Version 5.00


[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\!SASWinLogon]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon]


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent]

"DLLName"="Ati2evxx.dll"

"Asynchronous"=dword:00000000

"Impersonate"=dword:00000001

"Lock"="AtiLockEvent"

"Logoff"="AtiLogoffEvent"

"Logon"="AtiLogonEvent"

"Disconnect"="AtiDisConnectEvent"

"Reconnect"="AtiReConnectEvent"

"Safe"=dword:00000000

"Shutdown"="AtiShutdownEvent"

"StartScreenSaver"="AtiStartScreenSaverEvent"

"StartShell"="AtiStartShellEvent"

"Startup"="AtiStartupEvent"

"StopScreenSaver"="AtiStopScreenSaverEvent"

"Unlock"="AtiUnLockEvent"


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain]

"Asynchronous"=dword:00000000

"Impersonate"=dword:00000000

"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,33,00,32,00,2e,00,64,00,6c,00,\

  6c,00,00,00

"Logoff"="ChainWlxLogoffEvent"


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet]

"Asynchronous"=dword:00000000

"Impersonate"=dword:00000000

"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,6e,00,65,00,74,00,2e,00,64,00,\

  6c,00,6c,00,00,00

"Logoff"="CryptnetWlxLogoffEvent"


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll]

"DLLName"="cscdll.dll"

"Logon"="WinlogonLogonEvent"

"Logoff"="WinlogonLogoffEvent"

"ScreenSaver"="WinlogonScreenSaverEvent"

"Startup"="WinlogonStartupEvent"

"Shutdown"="WinlogonShutdownEvent"

"StartShell"="WinlogonStartShellEvent"

"Impersonate"=dword:00000000

"Asynchronous"=dword:00000001


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp]

"DLLName"="wlnotify.dll"

"Logon"="SCardStartCertProp"

"Logoff"="SCardStopCertProp"

"Lock"="SCardSuspendCertProp"

"Unlock"="SCardResumeCertProp"

"Enabled"=dword:00000001

"Impersonate"=dword:00000001

"Asynchronous"=dword:00000001


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule]

"Asynchronous"=dword:00000000

"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\

  6c,00,6c,00,00,00

"Impersonate"=dword:00000000

"StartShell"="SchedStartShell"

"Logoff"="SchedEventLogOff"


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy]

"Logoff"="WLEventLogoff"

"Impersonate"=dword:00000000

"Asynchronous"=dword:00000001

"DllName"=hex(2):73,00,63,00,6c,00,67,00,6e,00,74,00,66,00,79,00,2e,00,64,00,\

  6c,00,6c,00,00,00


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn]

"DLLName"="WlNotify.dll"

"Lock"="SensLockEvent"

"Logon"="SensLogonEvent"

"Logoff"="SensLogoffEvent"

"Safe"=dword:00000001

"MaxWait"=dword:00000258

"StartScreenSaver"="SensStartScreenSaverEvent"

"StopScreenSaver"="SensStopScreenSaverEvent"

"Startup"="SensStartupEvent"

"Shutdown"="SensShutdownEvent"

"StartShell"="SensStartShellEvent"

"PostShell"="SensPostShellEvent"

"Disconnect"="SensDisconnectEvent"

"Reconnect"="SensReconnectEvent"

"Unlock"="SensUnlockEvent"

"Impersonate"=dword:00000001

"Asynchronous"=dword:00000001


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv]

"Asynchronous"=dword:00000000

"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\

  6c,00,6c,00,00,00

"Impersonate"=dword:00000000

"Logoff"="TSEventLogoff"

"Logon"="TSEventLogon"

"PostShell"="TSEventPostShell"

"Shutdown"="TSEventShutdown"

"StartShell"="TSEventStartShell"

"Startup"="TSEventStartup"

"MaxWait"=dword:00000258

"Reconnect"="TSEventReconnect"

"Disconnect"="TSEventDisconnect"


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon]

"DLLName"="wlnotify.dll"

"Logon"="RegisterTicketExpiredNotificationEvent"

"Logoff"="UnregisterTicketExpiredNotificationEvent"

"Impersonate"=dword:00000001

"Asynchronous"=dword:00000001

Plik zapisz jako typ wszystkie pliki pod nazwą plik.reg -> uruchom powstały plik, potwierdź chęć dodania do rejestru -> restart.

anon75460011 · 30 Lipiec 2010 22:20

Przy próbie potwierdzenia pojawia się komunikat o treści: “Nie można zaimportować C:\plik.reg. Nie wszystkie dane zostały zapisane pomyślnie w rejestrze. Niektóre klucze są otwarte przez system lub inne rejestry”.

deFco247 · 31 Lipiec 2010 09:50

Do wykonania tego skryptu będziesz musiał raczej odinstalować SuperAntiSpyware.

Ewentualnie możesz wprowadzić ten skrypt do rejestru w trybie awaryjnym.

Ewentualnie możesz ze skryptu usunąć to:

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify!SASWinLogon] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon]

I spróbować ponownie.

anon75460011 · 31 Lipiec 2010 22:10

NIestety w żaden sposób nie można ruszyć tych wpisów. Odinstalowałem SAS, co po restarcie usunęło wszystkie ikony z pulpitu. Próbowałem uruchomić plik.reg w trybie awarajnym - komunikat taki jak poprzednio. Usunąć też się nia da - komunikat “błąd przy usuwaniu”. Wymiękam. Czy te klucze są niezbędne to prawidłowej pracy systemu?