Windows/system/winlogon.exe

skaut · 21 Sierpień 2008 00:22

Po starcie systemu, na obu partycjach pojawiają się pliki:

setup.exe
autorun.inf

[AutoRun]

OPEN=setup.exe

shellexecute=setup.exe

shell\´ňżŞ(&O)\command=setup.exe

W Menadżerze zadań i Process Explorerze, obok standardowego windows/system32/winlogon.exe pojawia się windows/system/winlogon.exe - plik ukryty, systemowy; starałem się coś wyszukać na jego temat, ale nic zrozumiałego nie znalazłem… nie potrafię go usunąć, a pliki setup.exe i autorun.inf po usunięciu pojawiają się na nowo

…próbowałem startu z CD-ROM; usunąłem plik windows/system/winlogon.exe, plik system32/winlogon.exe zastąpiłem czystym plikiem z innego komputera, wyczyściłm autostart, po restarcie - zero efektu - nie wiem co tworzy ten plik

log z HJT: http://www.wklej.org/id/42/ dziękuję za pomoc i pozdrawiam

system · 21 Sierpień 2008 03:08

Jak na moj gust wirus autorun:D

Przeskanuj PC skanerami on-line zazwyczaj pomaga, jesli mimo wszystko nie pomoze to wylacz aplikacje uruchamiane przy starce i powoli wlaczaj zobaczysz kiedy sie wgrywaja pliki:D

huber2t · 21 Sierpień 2008 04:02

fix w hijackthis

Podaj log z Combofix

skaut · 21 Sierpień 2008 11:34

log z combofixa: http://wklej.org/id/63/

log z HJT: http://wklej.org/id/62/

bez zmian

huber2t · 21 Sierpień 2008 11:52

Pobierz ComboFix, ale nie uruchamiaj

Otwórz notatnik i wklej do niego:

File::

C:\WINDOWS\system\_winlogon_.exe

Plik -> zapisz jako -> CFScript.txt.

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu->

Rozpocznie się usuwanie i powstanie log, który dasz na forum.

Logi dajesz na wklej.eu , http://wklejto.pl lub na http://wklej.org a w poście dajesz tylko link

skaut · 21 Sierpień 2008 12:31

nowy: http://wklej.org/id/112/

i log Kaspersky: http://wklej.org/id/122/ …jak sobie z tym poradzic?

http://www.threatexpert.com/report.aspx … 2328b70e9f

huber2t · 21 Sierpień 2008 13:43

Pobierz ComboFix, ale nie uruchamiaj

Otwórz notatnik i wklej do niego:

File::

C:\WINDOWS\system\winlogon.exe

C:\WINDOWS\system32\windrv.sys


Folder::

C:\WINDOWS\c2thdXQ

Plik -> zapisz jako -> CFScript.txt.

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu->

Rozpocznie się usuwanie i powstanie log, który dasz na forum.

Logi dajesz na wklej.eu , http://wklejto.pl lub na http://wklej.org a w poście dajesz tylko link

skaut · 21 Sierpień 2008 14:04

wynik: http://wklej.org/id/129/

huber2t · 21 Sierpień 2008 14:05

Log wyglada na czysty

usuń ręcznie folder C: \Qoobox , usuń instalkę Combofix z dysku.

Przeczyść komputer Ccleanerem

Wykonaj optymalizację autostartu

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum

lub

Dr.WEB CureIt!

skaut · 21 Sierpień 2008 20:51

dzieki za zaangazowanie, ale to co robimy nie przynosi na razie efektu…

po uruchomieniu komputera, w menadzerze zadan nie ma programu winlogon.exe; nie ma tez plikow setup.exe i autorun.inf na dysku…

w programie Process Explorer sledze kiedy pojawi sie winlogon.exe -> pojawia sie po urochomieniu wiekszosci z plikow *.exe z partycji E:/ np.:

uruchamiam TotalCommander
w Processexplorerze pod Totalcmd pojawia sie na moment proces 0_.ii (niczego takiego na dysku nie znalazlem do tej pory)
uruchamia się felerny /system/winlogon.exe
pod nim uruchamia sie na moment proces cmd - udalo mi sie go zatrzymac i wyczytac we wlasciwosciach, ze utworzyc ma plik windows/win.log a w nim, umiescic wszystkie pliki *.exe (sciezki do nich) z partycji E (cmd.exe /c dir E:*.exe /s /b >>C:\WINDOWS\win.log)
tworza sie pliki win.log, setup.exe i autorun.inf

po zabiciu procesu, wszystkie pliki mozna usunac; wyczyscic wskazanymi przez ciebie programami i otrzymac czysty log, po urochomieniu jakiegos pliku *.exe (wydaje mi sie. ze dotyczy to plikow z win.log - ale nie mam pewnosci czy tylko tych)) sytuacja sie powtarza

Leon1 · 21 Sierpień 2008 21:34

skaut:

dzieki za zaangazowanie, ale to co robimy nie przynosi na razie efektu… po uruchomieniu komputera, w menadzerze zadan nie ma programu winlogon.exe; nie ma tez plikow setup.exe i autorun.inf na dysku… w programie Process Explorer sledze kiedy pojawi sie winlogon.exe -> pojawia sie po urochomieniu wiekszosci z plikow *.exe z partycji E:/ np.: - uruchamiam TotalCommander - w Processexplorerze pod Totalcmd pojawia sie na moment proces 0_.ii (niczego takiego na dysku nie znalazlem do tej pory) - uruchamia się felerny /system/winlogon.exe - pod nim uruchamia sie na moment proces cmd - udalo mi sie go zatrzymac i wyczytac we wlasciwosciach, ze utworzyc ma plik windows/win.log a w nim, umiescic wszystkie pliki *.exe (sciezki do nich) z partycji E - tworza sie pliki win.log, setup.exe i autorun.inf po zabiciu procesu, wszystkie pliki mozna usunac; wyczyscic wskazanymi przez ciebie programami i otrzymac czysty log, po urochomieniu jakiegos pliku *.exe (wydaje mi sie. ze dotyczy to plikow z win.log - ale nie mam pewnosci czy tylko tych)) sytuacja sie powtarza

przeskanuj Kasperskim i daj raport

skaut · 22 Sierpień 2008 06:05

log z Kasperskiego: http://wklej.org/id/220/ …co to znaczy :co:

huber2t · 22 Sierpień 2008 06:16

Co to znaczy? hmm… Niezły z ciebie pirat

Pobierz The Avenger

wklej do niego ten tekst:

Files to delete:

C:\Program Files\Equation Grapher\PATCH.COM

C:\Program Files\RealVNC\VNC4\vncviewer.exe

C:\Program Files\Registry Medic 4\crack.exe

C:\Program Files\SlySoft\CloneCD\run.exe

C:\Program Files\Tweak-XP Pro 3\RegPatch.exe

C:\WINDOWS\system\winlogon.exe

E:\Install\ABBYY FineReader 7.0 Pro PL\Crack\Crack.exe

E:\Install\ABBYY FineReader 7.0 Pro PL\Crack\HGO-FR7P.EXE

E:\Install\ABBYY FineReader 7.0 Pro PL\Instalka\instmsiA.exe

E:\Install\ABBYY FineReader 7.0 Pro PL\Instalka\instmsiW.exe

E:\Install\ABBYY FineReader 7.0 Pro PL\Instalka\setup.exe

E:\Install\ChemOffice Ultra 2005 [for piratebay]\ChemOffice Ultra 2005 v9.0\Activation\ActivateProduct.exe

E:\Install\ChemOffice Ultra 2005 [for piratebay]\ChemOffice Ultra 2005 v9.0\BioAssay\BioAssaySetup.exe

E:\Install\ChemOffice Ultra 2005 [for piratebay]\crack\Chem3D\chem3d.exe

E:\Install\ChemOffice Ultra 2005 [for piratebay]\crack\ChemDraw\chemdraw.exe

E:\Install\ChemOffice Ultra 2005 [for piratebay]\crack\ChemFinder\cfword.exe

E:\Install\Cleaner.exe

E:\Install\CloneDVD 3.9.1.0\CloneDVDSetup v3.9.1.0.exe	

E:\Install\CloneDVD 3.9.1.0\DVD.X.Studios.CloneDVD.v3.9.0.0.Incl.Keygen-TSZ\Keygen.exe

E:\Install\Equation Grapher\PATCH.COM

E:\Install\Flash VideoPlayer.exe

E:\Install\Flash.

E:\Install\FoxitReader.exe

E:\Install\HJTInstall.exe

E:\Install\JPG cleaner\JPGCLN32.EXE

E:\Install\JPG cleaner\JPGCLN95.EXE

E:\Install\Mobile AMR converter.exe

E:\Install\napiprojekt1.0.6.0_(www.programs.pl).exe

E:\Install\Opera\Opera\opera.exe

E:\Install\Opera\Opera_9.52.exe	

E:\Install\Opera\Opera_wit\Opera.exe

E:\Install\Opera\Opera_wit\program\netscape.exe

E:\Install\Opera\Opera_wit\program\plugins\NPSWF32_FlashUtil.exe

E:\Install\Paintball2\paintball2_build016_update.exe

E:\Install\Paintball2\paintball2_build019_update.exe

E:\Install\Paintball2\paintball2_build021_update.exe

E:\Install\Players\ALLPlayer.exe

E:\Install\Players\AVIPreview.exe

E:\Install\Players\BESTplayer 1.0.exe

E:\Install\Players\CutOff.exe

E:\Install\Players\DIVIXFIX.EXE

E:\Install\Players\GSpot\GSpot.exe

E:\Install\Players\mplayerc.exe

E:\Install\Players\mplayerc_.exe

E:\Install\Players\SubtitleEditor.exe

E:\Install\Players\tnij.exe

E:\Install\Players\VirtualDub-1.5.3-P4\VeedubP4.exe

E:\Install\Players\VPlayer.exe

E:\Install\Reg Medic 4\5F0gO4Lx72.zip

E:\Install\Reg Medic 4\registrymedic.exe

E:\Install\XPserial\aktualny klucz.exe

E:\Install\XPserial\XP-SP2 keygen.exe

E:\Install\XPserial\XPKey.exe

E:\Install\XPserial\XPProCorp-keyChanger.exe

E:\Install\XPserial\zmiana klucza.exe

E:\Moje Dokumenty\ANDRZEJ\Bc2000\naziemie\0parter_d.exe

E:\Moje Dokumenty\ANDRZEJ\Bc2000\naziemie\2pietro-D.exe

E:\Moje Dokumenty\ANDRZEJ\Bc2000\naziemie\3pietro-Dex.exe

E:\Moje Dokumenty\ANDRZEJ\Bc2000\naziemie\AecObjExplody\28-29-30-31pietro_dx.exe

E:\Moje Dokumenty\ANDRZEJ\Bc2000\naziemie\AecObjExplody\6pietro_dx.exe

E:\Moje Dokumenty\ANDRZEJ\Bc2000\naziemie\przekrR14.exe

E:\Moje Dokumenty\ANDRZEJ\Bc2000\podziemie\1ug 2.exe

E:\Moje Dokumenty\Jacek\backup\Labirynt\labirynt.exe

E:\Moje Dokumenty\Jacek\backup\t39\t39.exe	

E:\Moje Dokumenty\Jacek\polsl\1.sem\pk\Pascal\Laboratorium\readkey.exe

E:\Moje Dokumenty\Jacek\polsl\1.sem\pk\Pascal\macierz_odwrotna\macierz_odwrotna.exe

E:\Moje Dokumenty\Jacek\polsl\1.sem\pk\Pascal\przegladanie_folderow\przegladanie_folderow.exe

E:\Moje Dokumenty\Jacek\polsl\1.sem\pk\Pascal\przeg_fold_drzewo\menadzer_plikow.exe

E:\Moje Dokumenty\Jacek\polsl\2.sem\fiza\vin32\install.exe

E:\Moje Dokumenty\Jacek\polsl\2.sem\fiza\vin32\Vin32.exey

E:\Moje Dokumenty\Jacek\polsl\2.sem\pk\C\Checkers\checkers.exe

E:\Moje Dokumenty\Jacek\polsl\2.sem\pk\C\Checkers\Project1.exe

E:\Moje Dokumenty\Jacek\polsl\2.sem\pk\C\cpp2html\cpp2html.exe

E:\Moje Dokumenty\Jacek\polsl\2.sem\pk\C\cpp2html\temp\plik.exe

E:\Moje Dokumenty\Jacek\polsl\2.sem\pk\C\cpp2html\temp\temp.exe

E:\Moje Dokumenty\Jacek\polsl\2.sem\pk\C\dict_lucass\dictionary.exe

E:\Moje Dokumenty\Jacek\polsl\2.sem\pk\C\globz\glob.exe

E:\Moje Dokumenty\Jacek\polsl\2.sem\pk\C\T39\t39.exe

E:\Moje Dokumenty\Jacek\polsl\2.sem\pk\C\T39\tmp\dobre\t39.exe

E:\Moje Dokumenty\Jacek\polsl\2.sem\pk\C\T39\tmp\jeszcze\test.exe

E:\Moje Dokumenty\Jacek\polsl\2.sem\pk\C\T39\tmp\tank\tank.exe

E:\Moje Dokumenty\Jacek\polsl\3.sem\ip\od simona\Bankomaty\Program\Projekt OSB\Program\OSB.exe

E:\Moje Dokumenty\Jacek\polsl\3.sem\ip\od simona\OP\Opt\Release\opt.exe

E:\Moje Dokumenty\Jacek\polsl\3.sem\ip\od simona\OP\OPTPAM.EXE

E:\Moje Dokumenty\Jacek\polsl\3.sem\ip\pamiecio\cw_dll\prog.exe

E:\Moje Dokumenty\Jacek\polsl\3.sem\ip\pamiecio\cw_dll\Project1.exe

E:\Moje Dokumenty\Jacek\polsl\3.sem\ip\testowanie i uruchamianie\drzewo\graf\graf.exe

E:\Moje Dokumenty\Jacek\polsl\3.sem\ip\testowanie i uruchamianie\drzewo\new\obwod1.exe

E:\Moje Dokumenty\Jacek\polsl\3.sem\ip\testowanie i uruchamianie\graf\GRAF.EXE

E:\Moje Dokumenty\Jacek\polsl\3.sem\ip\testowanie i uruchamianie\moj.exe

E:\Moje Dokumenty\Jacek\polsl\3.sem\ip\testowanie i uruchamianie\Project1.exe

E:\Moje Dokumenty\Jacek\polsl\3.sem\ip\testowanie i uruchamianie\s3ip.exe

E:\Moje Dokumenty\Jacek\polsl\3.sem\mn\aprox\gramm\Project2.exe

E:\Moje Dokumenty\Jacek\polsl\3.sem\mn\aprox\Project1.exe

E:\Moje Dokumenty\Jacek\polsl\3.sem\mn\liniowe\lab1\Project1.exe

E:\Moje Dokumenty\Jacek\polsl\3.sem\mn\liniowe\uklliniowe.exe

E:\Moje Dokumenty\Jacek\polsl\3.sem\pk\C++\czekery\Chinese Checkers\Debug\Chinese Checkers.exe

E:\Moje Dokumenty\Jacek\polsl\3.sem\pk\C++\Labirynt\labirynt.exe

E:\Moje Dokumenty\Jacek\polsl\3.sem\pk\C++\Laboratorium\ww\Debug\ww.exe

E:\Moje Dokumenty\Jacek\polsl\3.sem\pk\C++\Shortest Path Algorithm\SPath.exe

E:\Moje Dokumenty\Jacek\polsl\3.sem\pk\WinBGI\bgidemo.exe

E:\Moje Dokumenty\Jacek\polsl\4.sem\ip\nasz\telesprzedwaca - build\telesprzedawca.exe	

E:\Moje Dokumenty\Jacek\polsl\4.sem\pi\Maszyna W\MASZYNAW.EXE

E:\Moje Dokumenty\Jacek\polsl\4.sem\pi\mm1\MM1RNT.exe

E:\Moje Dokumenty\Jacek\polsl\4.sem\pi\mm1\Winplot\WINPLOT.EXE

E:\Moje Dokumenty\Jacek\polsl\5.sem\ja\4\filtinpt_asm.exe

E:\Moje Dokumenty\Jacek\polsl\5.sem\ja\4\filtinpt_c++.exe

E:\Moje Dokumenty\Jacek\polsl\5.sem\ja\stare\Iko -4\SIMPLE2.exe

E:\Moje Dokumenty\Jacek\polsl\5.sem\ja\stare\Iko-5\KopiaLab5\Lab5.exe

E:\Moje Dokumenty\Jacek\polsl\5.sem\ja\stare\Projekt JA\JA\ML.EXE

E:\Moje Dokumenty\Jacek\polsl\5.sem\sk\4\crc\crcwin.exe

E:\Moje Dokumenty\Jacek\polsl\5.sem\sk\4\hamming\hammingwin.exe	

E:\Moje Dokumenty\Jacek\polsl\8.sem\mc\darp\zadd.exe

E:\Moje Dokumenty\Jacek\polsl\8.sem\mc\simnon\SIMNON24.exe

E:\Moje Dokumenty\Jacek\polsl\8.sem\owsisk\lab1\costam\Debug\costam.exe	

E:\Moje Dokumenty\Jacek\strony\flash\projekty\banner.exe

E:\Moje Dokumenty\Jacek\strony\flash\projekty\jacek.exe

E:\Moje Dokumenty\Witek\gg\gg60.exe

E:\Moje Dokumenty\Witek\gg\ggbkiller2v1_5.exe

E:\Moje Dokumenty\Witek\gg\ggbkiller2v1_7.exe

E:\Moje Dokumenty\Witek\gg\Power Project 1.50 RC1.exe

E:\Share\C++\agsetup.exe

E:\Share\C++\moje\lista.exe

E:\Share\C++\moje\Project1.exe

E:\Share\C++\webkurs c++\zrodla\warsztat\unsplit.exe

E:\Software\Everest\everest.exe

E:\Software\Gadu-Gadu\gg.exe

E:\Software\Gadu-Gadu\gg60.exe

E:\Software\Gadu-Gadu\ggbkiller2v1_5.exe

E:\Software\Gadu-Gadu\GG_Serwer_Changer\GG Serwer Changer.exe

E:\Software\Gadu-Gadu\plugs\AsgardServer.exe

E:\Software\Gadu-Gadu\plugs\semsms.exe

E:\Software\Gadu-Gadu\plugs\semsmscfg.exe

E:\Software\Gadu-Gadu\PowerGG.exe

E:\Software\Gadu-Gadu\users\Jacek\gpr.exe

E:\Software\Gadu-Gadu\users\Jacek\tpr.exe

E:\Software\jv16PowerTools\Backups\RegEdit.exe

E:\Software\jv16PowerTools\jv16 PowerTools.exe

E:\Software\Madonote\AutoCln.exe

E:\Software\Madonote\ClnKeybd.exe

E:\Software\Madonote\ClnMouse.exe

E:\Software\Madonote\DelWiz.exe

E:\Software\Madonote\FolIco.exe

E:\Software\Madonote\UNINS000.EXE

E:\Software\Madonote\WinHand.exe

E:\Software\Madonote\WinHandXP.exe

E:\Software\Process Explorer\procexp.exe

E:\Software\proxomitron\Proxomitron.exe

E:\Software\reshacker\ResHacker.exe

E:\Software\rootkit\RootkitRevealer.exe

E:\Software\Wincmd\Totalcmd_.exe

E:\Software\Wincmd\Totalcmd__.exe


Folders to delete:

C:\System Volume Information\_restore{C6CDB6EE-18E8-4C6C-BED9-B8BEC299B734}\RP2

C:\System Volume Information\_restore{C6CDB6EE-18E8-4C6C-BED9-B8BEC299B734}\RP3

E:\System Volume Information\_restore{C6CDB6EE-18E8-4C6C-BED9-B8BEC299B734}\RP2

E:\System Volume Information\_restore{C6CDB6EE-18E8-4C6C-BED9-B8BEC299B734}\RP3

kopiuj to i klikasz na Paste Script from Clipboard wybierasz Execute oraz Potwierdzasz i zgadzasz się na restart klikając OK.

Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt

skaut · 22 Sierpień 2008 06:55

http://wklej.org/id/223/ winlogon pozostaje

huber2t · 22 Sierpień 2008 06:57

Pobierz ComboFix, ale nie uruchamiaj

Otwórz notatnik i wklej do niego:

File::

C:\WINDOWS\system\winlogon.exe

Plik -> zapisz jako -> CFScript.txt.

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu->

Rozpocznie się usuwanie i powstanie log, który dasz na forum.

Logi dajesz na wklej.eu , http://wklejto.pl lub na http://wklej.org a w poście dajesz tylko link

Przeskanuj ponownie Kasperskim i daj raport na forum

skaut · 22 Sierpień 2008 16:52

najnowszy log z Combofixa: http://wklej.org/id/360/

czy jesli nie mam juz ani jednego zainfekowanego pliku *.exe, a sam winlogon.exe usunieto to problem mozna uwazac za zamkniety? w jaki sposob te wszystkie pliki uruchamialy winlogona i czy np. na innym komputerze ich uruchamianie bedzie bezpieczne? to przeciez nie tylko wspomniane piraty tylko wlasne programy

PS. ktory z uzywanych przy czyszczeniu programow kasuje wartosc DefaultTTL z [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]?

Leon1 · 22 Sierpień 2008 17:10

siedzi jeszcze

przeskanuj Dr.WEB CureIt! http://dobreprogramy.pl/index.php?dz=2& … It!+4.44.5

potem

Kaspersky Virus Removal Tool http://www.searchengines.pl/Mini-skanery-i-szczepionki-t18695.html

potem nowy log Combofixa

skaut · 22 Sierpień 2008 20:32

dzieki zrobilem tak jak napisales, nie znaleziono zadnych wirusow

log: http://wklej.org/id/418/

huber2t · 23 Sierpień 2008 03:38

Log wyglada na czysty

usuń ręcznie folder C: \Qoobox , usuń instalkę Combofix z dysku.

Przeczyść komputer Ccleanerem

Wykonaj optymalizację autostartu

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum