[Virus] Windows XP (Winlogon.exe?)


(Shunner) #1

Witam , od pewnego czasu mam poważny problem z komputerem , kilka razy juz formatowałem caly dysk , formata robiłem już z 500x , nic nie pomaga.

Komputer lubi się restartować , a procesy lubią go spowalniać. Problemem jest chyba proces winlogon.exe , o którym czytałem sporo i nigdzie nie znalazłem konkretnego rozwiązania. Wirus utworzył mi w C:\WINDOWS katalog WinSxS , do tego mam 5 procesów svchost.exe ;O Jako iż te forum jest dość popularne postanowiłem tu napisać może coś poradzicie :stuck_out_tongue: , bardzo bym prosił o przeniesienie tematu jeśli wybrałem zły dział , chciałem utworzyć temat w kategori problemy , lecz zalazłem tam taki post :

Log z HijackThis

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 12:04:06, on 2009-12-06

Platform: Windows XP Dodatek SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\savedump.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Eset\nod32kui.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe

C:\Program Files\Razer\DeathAdder\razerhid.exe

C:\Program Files\Google\Quick Search Box\GoogleQuickSearchBox.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Documents and Settings\ADMIN\Moje dokumenty\mxClock.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe

C:\Program Files\Eset\nod32krn.exe

C:\Program Files\Razer\DeathAdder\razertra.exe

C:\Program Files\Razer\DeathAdder\razerofa.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Documents and Settings\ADMIN\Pulpit\HijackThis.exe


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll

O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll

O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [DeathAdder] C:\Program Files\Razer\DeathAdder\razerhid.exe

O4 - HKLM\..\Run: [Google Quick Search Box] "C:\Program Files\Google\Quick Search Box\GoogleQuickSearchBox.exe" /autorun

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [mxClock] C:\Documents and Settings\ADMIN\Moje dokumenty\mxClock.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: Funkcja Google Sidewiki - res://C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_60D6097707281E79.dll/cmsidewiki.html

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O13 - Gopher Prefix: 

O20 - Winlogon Notify: LogonInit - logonInit.dll (file missing)

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe


--

End of file - 5004 bytes

Pozdrawiam Shunner


(deFco247) #2

To jest prawidłowy katalog zawierający kopie plików we wcześniejszych wersjach.

Normalne.

To już raczej wina sprzętu lub(i) wadliwych sterowników.

Ten temat nadaje się do działu Bezpieczeństwo i logi HijackThis.

Pokaż logi:

:arrow: OTL

Przestawiasz w nim Processes i Modules na All oraz wklejasz w dolne białe okienko Custom Scans/Fixes :

Klikasz Run Scan.

:arrow: System Repair Engineer

Smart Scan -> klikasz Scan.

Po skanie klikasz w okienku Save Reports i wklejasz zawartość powstałego logu.

:arrow: GMER

W GMER nic nie zmieniamy -> wciskamy Szukaj (skan potrwa kilkadziesiąt minut) -> po skanie Kopiuj.

Przed uruchomieniem odinstaluj wszelkie programy tworzące wirtualne napędy (Daemon Tools, Alcohol itp.) oraz usuń sterownik SPTD narzędziem SPTDInst z opcji Uninstall (jeśli będzie zszarzałe, to OK).

Zawartość logów wklejasz na wklej.org lub wklej.to, a w poście dajesz link.


(Shunner) #3

http://wklej.to/bjaT


(deFco247) #4

Zamiast loga HijackThis miałeś wstawić log OTL zgodnie z moimi instrukcjami.

Uruchom SREng -> System Repair -> zakładka Browser Addons -> odszukaj i usuń:


(Shunner) #5

Usunełem to co napisałeś , czy to rozwiązało już problem ? Gdyż proces winlogon.exe nadal istnieje.

Przepraszam , iż nie dałem logów z OTL , lecz przy jego pobieraniu , a raczej wejsciu w link wyświetla się okno iż plik został zareportowany [...] oraz dokonywano jakiś tam ataków [...] A , iż mam już syf na kompie podziękowałem i nie ściagałem. Pozdrawiam Shunner.

PS / Mam jeszcze jeden problem z :

Isntrukcja spod "0x5f1baed8" odwołuje się do pamięci pod adresem "0x00000564". Pamięć nie może być read.

Nie wiem czy piszę w odpowiednim dziale itd , lecz pisze to pobocznie , jeśli nie znasz rozwiązania założe oddzielny temat.

Jeśli to wszystko na temat tego syfu i problem rozwiązany , to z góry dziękuję i pozdrawiam.


(deFco247) #6

winlogon.exe jest prawidłowym procesem systemu Windows.

Zwykła nieprawda.

Na czas pobierania OTL-a wyłacz antywirusa.


(Shunner) #7

http://wklej.to/QCXp


(deFco247) #8

W logach nic nie ma.

W OTL kliknij CleanUp.

Wykonaj pełny skan Malwarebytes' Anti-Malware - znalezione obiekty usuń.

Gdy będą wirusy pokaż raport po usuwaniu.

Wyczyść rejestr i dysk CCleaner oraz wyłącz nim zbędniki z autostartu (Narzędzia -> Autostart).