Winlogon exe 100%


(Slawor) #1

Witam

Pop podłączeniu do sieci wyskakuje obciążenie procka 100% w procesie winlogon.exe. Po kilkunastu sekundach zwalnia i po kilkunastu następnych znowu 100%.

Następna dziwna sprawa to, że mój antywirus (Avast) podaje komunikat „ Czas oczekiwania na połączenie upłynął. Czy czekać dalej? (winlogon.exe-> ……)” w miejscach kropek są dziwne adresy email. Tych komunikatów w ciągu minuty jest kilka i każdy z innm adresem.Po odłączeniu siei jest ok.

Przeskanowałem system Avastem, Mks online. Ad-aware, Spybot, Drweb. Żaden z nich nie pomógł.

Proszę o pomoc.

Mój log:

Logfile of HijackThis v1.99.1

Scan saved at 20:22:04, on 2005-11-27

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\Explorer.EXE

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe

C:\Program Files\Creative\Desktop Wireless\mouse_2k.exe

C:\Program Files\Creative\Desktop Wireless\kb_2k.exe

C:\Program Files\Spik\Spik.exe

C:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe

C:\Program Files\22M WLAN Adapter\WLANMON.exe

C:\Program Files\Opera\Opera.exe

C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE

C:\WINDOWS\msagent\AgentSvr.exe

C:\Program Files\WinRAR\WinRAR.exe

C:\DOCUME~1\SAWOMI~1\USTAWI~1\Temp\Rar$EX00.735\HijackThis.exe


O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe

O4 - HKLM\..\Run: [CreativeMouse] C:\Program Files\Creative\Desktop Wireless\mouse_2k.exe

O4 - HKLM\..\Run: [CreativeKeyboard] C:\Program Files\Creative\Desktop Wireless\kb_2k.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [Spik] C:\Program Files\Spik\Spik.exe -autostart

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe"

O4 - Global Startup: 22M WLAN Adapter.lnk = ?

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://skaner.mks.com.pl/SkanerOnline.cab

O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C5} (GameDesire Snooker) - http://67.15.101.3/g_bin/pl/snooker_2_0_0_24.cab

O18 - Protocol: wpmsg - {2E0AC5A0-3597-11D6-B3ED-0001021DC1C3} - C:\Program Files\Spik\url_wpmsg.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe

(Edgarmks) #2

http://www.pogotovie.pl/encyklopedia_details.php?wirus_id=317&page=pelnyopis

Niestety masz prawdopodobnie robaka Netsky.C :frowning:


(Slawor) #3

Przeskanowałem i nic nie znalazł.


(L337 Crew) #4

eee… NestoR możesz napisać skąd wywnioskowałes, że ten systemowy proces to wir ?

Na logu widać tylko jeden proces winlogon’a !

Czyli każdy powinien teraz nie włączać kompa, bo sie rozprzestrzeni wir ?

:roll:


(Edgarmks) #5

Napisałem ze

wirusa

I poczytaj link który podałem

Złączono Posta : 27.11.2005 (Nie) 21:04

Zródło

http://www.pogotovie.pl/encyklopedia_details.php?wirus_id=317&page=pelnyopis

I nie mowie ze na 100% to jest wirus


(L337 Crew) #6

Te wpisy możesz ciachnąć, a reszta O.K.

Złączono Posta : 27.11.2005 (Nie) 21:10

O.K. ale nie ma nic o ewentualnej “podmianie” za proces systemowy !

A jeśli istnieje tylko jeden, to jest to ten właściwy :wink:


(Slawor) #7

Usunąłem te wpisy i nic sie nie zmieniło.


(L337 Crew) #8

A czy kasowałeś w trybie awaryjnym z wyłaczonym przywracaniem systemu ?


(Slawor) #9

Tak


(Gutek) #10

po co usuwałeś? :o

Prosze o LOG z Silent Runners


(Kuz5) #11

prezydent dostajesz ostrzeżenie za pisanie głupot (nie tylko w tym temacie)

Sprawdzanie logów zostaw komu innemu :evil: