Winlogon.exe zabiera 100% procesora


(Olekd5) #1

Witam

Mam pewien problem.

Od dłuższego czasu po odczkaniu około 10 min zurzycie procka skacze mi na 100%

najwięcej zabiera mi proces winlogon.exe bo ok. 98 %

bardzo prosze o pomoc bo męcze się z tym już 2 dni

mój log:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 11:59:36, on 2009-04-21

Platform: Windows XP Dodatek SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.5730.0013)

Boot mode: Normal


Running processes:

H:\WINDOWS\System32\smss.exe

H:\WINDOWS\system32\winlogon.exe

H:\WINDOWS\system32\services.exe

H:\WINDOWS\system32\lsass.exe

H:\WINDOWS\system32\svchost.exe

H:\WINDOWS\System32\svchost.exe

H:\WINDOWS\system32\spoolsv.exe

F:\nod\ekrn.exe

H:\Program Files\IR Server Suite\Input Service\Input Service.exe

H:\Program Files\Java\jre6\bin\jqs.exe

H:\WINDOWS\Explorer.EXE

H:\WINDOWS\system32\wuauclt.exe

H:\WINDOWS\SOUNDMAN.EXE

H:\Program Files\SyncroSoft\Pos\H2O\cledx.exe

H:\WINDOWS\winlogon.exe

H:\Program Files\Java\jre6\bin\jusched.exe

F:\nod\egui.exe

H:\WINDOWS\system32\ctfmon.exe

H:\Program Files\Messenger\msmsgs.exe

H:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

H:\Program Files\Internet Explorer\iexplore.exe

H:\Program Files\Trend Micro\HijackThis\HijackThis.exe

H:\WINDOWS\system32\taskmgr.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\a d\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - H:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - H:\Program Files\Google\Google Toolbar\GoogleToolbar.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - H:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll

O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - H:\Program Files\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - H:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - H:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - H:\Program Files\Google\Google Toolbar\GoogleToolbar.dll

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [H2O] H:\Program Files\SyncroSoft\Pos\H2O\cledx.exe

O4 - HKLM\..\Run: [winlogon] H:\WINDOWS\winlogon.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "H:\Program Files\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] H:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [egui] "F:\nod\egui.exe" /hide /waitservice

O4 - HKCU\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [cdoosoft] H:\WINDOWS\system32\olhrwef.exe

O4 - HKCU\..\Run: [Nowe Gadu-Gadu] "F:\gg\Nowe Gadu-Gadu\gg.exe"

O4 - HKCU\..\Run: [ares destiny] "C:\Program Files\Ares Destiny\Ares.exe" -h

O4 - HKCU\..\Run: [MSMSGS] "H:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [uTorrent] "F:\u\uTorrent.exe"

O4 - HKCU\..\Run: [Skype] "H:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [swg] H:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')

O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'USŁUGA LOKALNA')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')

O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'USŁUGA SIECIOWA')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')

O4 - Global Startup: Microsoft Office.lnk = F:\office\Office10\OSA.EXE

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://F:\office\Office10\EXCEL.EXE/3000

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1240153745687

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O16 - DPF: {FE0BD779-44EE-4A4B-AA2E-743C63F2E5E6} (IWinAmpActiveX Class) - http://pdl.stream.aol.com/downloads/aol/unagi/ampx_en_dl.cab

O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - F:\nod\EHttpSrv.exe

O23 - Service: ESET Service (ekrn) - ESET - F:\nod\ekrn.exe

O23 - Service: Google Updater Service (gusvc) - Google - H:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Input Service (InputService) - and-81 - H:\Program Files\IR Server Suite\Input Service\Input Service.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - H:\Program Files\Java\jre6\bin\jqs.exe


--

End of file - 5453 bytes

(Byadii22) #2

Spróbuj wyłączyć ten proces-zobacz czy się da i czy nie włącza się od nowa. Spróbuj przywrócić system do stanu sprzed 2 dni.


(Olekd5) #3

Procesu nieda się wyłączyć, po przywracaniu to samo.


(Byadii22) #4

Coś widzę, że przydało by się przeskanować to skanerem on-line. trochę to trwa, ale może dać to konkretne rezultaty. Zobacz, czy dzieje się tak w trybie awaryjnym :slight_smile:


(system) #5

Masz infekcję z pendriva. Przeskanuj system za pomocą ComboFix i daj log (przeczytaj instrukcję obsługi narzędzia).


(Olekd5) #6

ComboFix rozwiązało problem :smiley:

dziękuje wszystkim :wink:


(system) #7

ComboFix nie usuwa w 100% tej infekcji, więc Twoja radość jest przedwczesna.


(Olekd5) #8

To co muszę jeszcze zrobić ?

ComboFix 09-04-23.02 - momo 2009-04-21 19:58.1 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.3.1250.48.1045.18.511.266 [GMT 2:00]

Uruchomiony z: h:\documents and settings\momo\Pulpit\ComboFix.exe

Użyto następujących komend :: h:\documents and settings\momo\Pulpit\WindowsXP-KB310994-SP2-Pro-BootDisk-ENU.exe

AV: ESET NOD32 Antivirus 4.0 *On-access scanning disabled* (Updated)

 * Utworzono nowy punkt przywracania

.


((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))

.


C:\1utbfd.bat

C:\2.bat

C:\2fiy.bat

C:\a1agmur.cmd

C:\Autorun.inf

C:\cv22.cmd

C:\dbrxubcw.com

C:\ej10fkdo.bat

C:\em8tqm.cmd

C:\i.cmd

C:\i6g6x.cmd

C:\jm3cx96.bat

C:\m0vnonh.bat

C:\minm.cmd

C:\pook.com

C:\qxty9be.cmd

C:\u.com

C:\upw.bat

C:\uxkl0apt.bat

C:\xsia.bat

C:\yh.cmd

D:\1utbfd.bat

D:\2.bat

D:\2fiy.bat

D:\8.bat

D:\a1agmur.cmd

D:\Autorun.inf

D:\cv22.cmd

D:\dbrxubcw.com

D:\ej10fkdo.bat

D:\em8tqm.cmd

D:\i.cmd

D:\i6g6x.cmd

D:\iq.bat

D:\jm3cx96.bat

D:\m0vnonh.bat

D:\minm.cmd

D:\pook.com

D:\qoes.bat

D:\qxty9be.cmd

D:\r8.bat

D:\sq.com

D:\u.com

D:\upw.bat

D:\uvsqfgwd.cmd

D:\uxkl0apt.bat

D:\x0.com

D:\x2tpc.cmd

D:\xcisvxl.com

D:\xsia.bat

D:\yb12j.cmd

D:\yh.cmd

E:\1utbfd.bat

E:\2.bat

E:\2fiy.bat

E:\8.bat

E:\a1agmur.cmd

E:\Autorun.inf

E:\cv22.cmd

E:\dbrxubcw.com

E:\ej10fkdo.bat

E:\em8tqm.cmd

E:\i.cmd

E:\i6g6x.cmd

E:\iq.bat

E:\jm3cx96.bat

E:\m0vnonh.bat

E:\minm.cmd

E:\pook.com

E:\qoes.bat

E:\qxty9be.cmd

E:\r8.bat

E:\sq.com

E:\u.com

E:\upw.bat

E:\uvsqfgwd.cmd

E:\uxkl0apt.bat

E:\x0.com

E:\x2tpc.cmd

E:\xcisvxl.com

E:\xsia.bat

E:\yb12j.cmd

E:\yh.cmd

F:\1utbfd.bat

F:\2.bat

F:\2fiy.bat

F:\8.bat

F:\a1agmur.cmd

F:\Autorun.inf

F:\cv22.cmd

F:\dbrxubcw.com

F:\ej10fkdo.bat

F:\em8tqm.cmd

F:\i.cmd

F:\i6g6x.cmd

F:\iq.bat

F:\jm3cx96.bat

F:\m0vnonh.bat

F:\minm.cmd

F:\pook.com

F:\qoes.bat

F:\qxty9be.cmd

F:\r8.bat

F:\sq.com

F:\u.com

F:\upw.bat

F:\uvsqfgwd.cmd

F:\uxkl0apt.bat

F:\x0.com

F:\x2tpc.cmd

F:\xcisvxl.com

F:\xsia.bat

F:\yb12j.cmd

F:\yh.cmd

G:\1utbfd.bat

G:\2.bat

G:\2fiy.bat

G:\8.bat

G:\a1agmur.cmd

G:\Autorun.inf

G:\cv22.cmd

G:\dbrxubcw.com

G:\ej10fkdo.bat

G:\em8tqm.cmd

G:\i.cmd

G:\i6g6x.cmd

G:\iq.bat

G:\jm3cx96.bat

G:\m0vnonh.bat

G:\minm.cmd

G:\pook.com

G:\qoes.bat

G:\qxty9be.cmd

G:\r8.bat

G:\sq.com

G:\u.com

G:\upw.bat

G:\uvsqfgwd.cmd

G:\uxkl0apt.bat

G:\x0.com

G:\x2tpc.cmd

G:\xcisvxl.com

G:\xsia.bat

G:\yb12j.cmd

G:\yh.cmd

H:\autorun.inf

H:\ej10fkdo.bat

H:\em8tqm.cmd

H:\i.cmd

H:\jm3cx96.bat

H:\minm.cmd

H:\u.com

H:\upw.bat

H:\uxkl0apt.bat

h:\windows\system32\msvcsv60.dll

h:\windows\system32\nmdfgds0.dll

h:\windows\system32\nmdfgds1.dll

h:\windows\system32\olhrwef.exe

h:\windows\winlogon.exe

H:\xsia.bat

H:\yh.cmd

I:\Autorun.inf

I:\ej10fkdo.bat

I:\em8tqm.cmd

I:\i.cmd

I:\jm3cx96.bat

I:\minm.cmd

I:\u.com

I:\upw.bat

I:\uxkl0apt.bat

I:\xsia.bat

I:\yh.cmd

Z:\Autorun.inf

Z:\ej10fkdo.bat


.

((((((((((((((((((((((((( Pliki utworzone od 2009-03-23 do 2009-04-23 )))))))))))))))))))))))))))))))

.


2009-04-22 08:16 . 2008-04-14 22:51	510464	------w	h:\windows\system32\winlogon.exe

2009-04-21 12:33 . 2009-04-21 12:33	--------	d-----w	h:\documents and settings\momo\Dane aplikacji\Media Player Classic

2009-04-21 11:13 . 2009-04-21 11:13	--------	d-----w	h:\documents and settings\momo\Dane aplikacji\DivX

2009-04-21 11:12 . 2009-04-21 11:12	--------	d-----w	h:\documents and settings\momo\Ustawienia lokalne\Dane aplikacji\ESET

2009-04-21 11:12 . 2009-04-21 11:12	18248	----a-w	h:\documents and settings\momo\Ustawienia lokalne\Dane aplikacji\GDIPFONTCACHEV1.DAT

2009-04-21 11:10 . 2009-04-21 11:10	--------	d-----w	h:\documents and settings\momo\Ustawienia lokalne\Dane aplikacji\Native Instruments

2009-04-21 11:08 . 2009-04-21 11:13	--------	d-----w	h:\documents and settings\momo\Dane aplikacji\Steinberg

2009-04-21 10:59 . 2009-04-21 11:00	--------	d-----w	h:\documents and settings\momo\Ustawienia lokalne\Dane aplikacji\Google

2009-04-21 10:56 . 2008-04-14 20:51	221184	----a-w	h:\windows\system32\wmpns.dll

2009-04-21 09:29 . 2009-04-21 09:30	--------	d-----w	h:\documents and settings\All Users\Dane aplikacji\SecTaskMan

2009-04-20 16:14 . 2009-04-21 15:34	109601	--sh--r	H:\g1ljsm.com

2009-04-19 15:10 . 2008-10-16 12:09	43544	----a-w	h:\windows\system32\wups2.dll

2009-04-19 15:10 . 2008-10-16 12:08	35864	----a-w	h:\windows\system32\wucltui.dll.mui

2009-04-19 15:10 . 2008-10-16 12:07	19480	----a-w	h:\windows\system32\wuaueng.dll.mui

2009-04-19 15:09 . 2008-10-16 12:08	27672	----a-w	h:\windows\system32\wuaucpl.cpl.mui

2009-04-19 15:09 . 2008-10-16 12:08	27672	----a-w	h:\windows\system32\wuapi.dll.mui

2009-04-18 12:18 . 2009-04-18 12:18	--------	d-----w	h:\documents and settings\ddd\Ustawienia lokalne\Dane aplikacji\ESET

2009-04-18 12:16 . 2009-04-18 12:16	--------	d-----w	h:\documents and settings\All Users\Dane aplikacji\ESET

2009-04-18 09:08 . 2009-04-18 11:12	--------	d-----w	h:\windows\KConvert Logs

2009-04-18 09:08 . 2009-04-18 09:08	--------	d-----w	h:\windows\KConvert Temp

2009-04-17 18:34 . 2009-04-21 16:47	116	----a-w	h:\windows\NeroDigital.ini

2009-04-17 16:04 . 2009-04-17 17:48	--------	d-----w	h:\documents and settings\ddd\Dane aplikacji\Winamp

2009-04-17 16:03 . 2005-06-07 09:40	49655	------w	h:\windows\UNNMP.cfg

2009-04-17 16:03 . 2005-02-08 12:12	2670592	------w	h:\windows\UNNMP.exe

2009-04-17 16:01 . 2001-07-09 09:50	155648	----a-w	h:\windows\system32\NeroCheck.exe

2009-04-17 16:01 . 2005-06-07 09:40	154855	------w	h:\windows\UNNeroVision.cfg

2009-04-17 16:01 . 2005-04-20 11:32	2916352	------w	h:\windows\UNNeroVision.exe

2009-04-17 16:01 . 2001-03-08 17:30	24064	------w	h:\windows\system32\msxml3a.dll

2009-04-17 16:00 . 2009-04-17 16:00	--------	d-----w	h:\documents and settings\All Users\Dane aplikacji\Ahead

2009-04-17 16:00 . 2004-07-26 15:16	476320	------w	h:\windows\system32\ImagXpr7.dll

2009-04-17 16:00 . 2004-07-26 15:16	471040	------w	h:\windows\system32\ImagXRA7.dll

2009-04-17 16:00 . 2004-07-26 15:16	262144	------w	h:\windows\system32\ImagXR7.dll

2009-04-17 16:00 . 2004-07-09 07:43	364544	------w	h:\windows\system32\TwnLib4.dll

2009-04-17 16:00 . 2004-07-26 15:16	1568768	------w	h:\windows\system32\ImagX7.dll

2009-04-17 16:00 . 2001-06-26 06:15	38912	------w	h:\windows\system32\picn20.dll

2009-04-17 16:00 . 2000-06-26 09:45	106496	----a-w	h:\windows\system32\TwnLib20.dll

2009-04-17 07:23 . 2009-04-17 07:23	--------	d-----w	h:\documents and settings\ddd\Ustawienia lokalne\Dane aplikacji\Help

2009-04-16 05:02 . 2009-04-16 05:02	108169	--sh--r	H:\husyu8n.exe

2009-04-14 14:07 . 2009-04-21 11:09	16	----a-w	h:\windows\system32\w3data.vss

2009-04-14 14:07 . 2009-04-21 11:09	16	----a-w	h:\windows\msocreg32.dat

2009-04-14 14:06 . 2009-04-14 14:06	--------	d-----w	h:\documents and settings\ddd\Dane aplikacji\InstallShield

2009-04-14 06:30 . 2009-04-14 06:29	108514	--sh--r	H:\[u]0[/u]xuc.com

2009-04-13 07:44 . 2005-02-01 03:34	700416	----a-w	h:\windows\system32\SYNSOACC.dll

2009-04-12 19:42 . 2009-04-12 19:42	109163	--sh--r	H:\qwtb.com

2009-04-11 18:22 . 2009-04-11 18:22	--------	d-----w	h:\documents and settings\ddd\Ustawienia lokalne\Dane aplikacji\Google

2009-04-11 16:17 . 2009-04-21 15:49	--------	d-----w	h:\documents and settings\ddd\Dane aplikacji\Skype

2009-04-11 16:16 . 2009-04-11 16:16	--------	d-----w	h:\documents and settings\All Users\Dane aplikacji\Skype

2009-04-11 13:38 . 2009-04-11 13:38	73728	----a-w	h:\windows\system32\javacpl.cpl

2009-04-11 13:38 . 2009-04-11 13:38	410984	----a-w	h:\windows\system32\deploytk.dll

2009-04-11 09:52 . 2009-04-11 09:52	--------	d-----w	h:\documents and settings\ddd\Ustawienia lokalne\Dane aplikacji\{3248F0A6-6813-11D6-A77B-00B0D0150010}

2009-04-08 06:55 . 2009-04-08 20:04	110321	--sh--r	H:\1ogf.exe

2009-04-01 19:03 . 2009-04-02 17:53	110157	--sh--r	H:\cqxj.exe

2009-04-01 04:52 . 2009-04-01 04:51	108083	--sh--r	H:\o3n9k.com

2009-03-30 14:34 . 2005-01-12 20:18	163840	----a-w	h:\windows\system32\ArtFfct.dll

2009-03-29 06:08 . 2009-03-29 06:08	427	----a-w	h:\windows\ODBC.INI

2009-03-29 06:07 . 2009-03-29 06:08	--------	d-----w	h:\windows\ShellNew

2009-03-28 11:28 . 2009-03-31 06:01	108693	--sh--r	H:\[u]0[/u]bcobed.exe

2009-03-26 23:24 . 2009-04-04 12:22	38	----a-w	h:\windows\AviSplitter.INI

2009-03-26 10:49 . 2007-05-17 16:30	318976	----a-w	h:\windows\system32\avisynth.dll

2009-03-26 10:49 . 2007-05-14 14:24	394240	----a-w	h:\windows\system32\Smab.dll

2009-03-26 10:49 . 2006-10-07 16:43	502784	----a-w	h:\windows\x2.64.exe

2009-03-26 10:49 . 2006-04-12 08:47	217073	----a-w	h:\windows\meta4.exe

2009-03-26 10:49 . 2006-04-05 07:09	66560	----a-w	h:\windows\MOTA113.exe

2009-03-26 10:49 . 2005-07-14 11:31	27648	----a-w	h:\windows\system32\AVSredirect.dll

2009-03-26 10:49 . 2005-02-28 12:16	240128	----a-w	h:\windows\system32\x.264.exe

2009-03-26 10:49 . 2004-02-22 09:11	719872	----a-w	h:\windows\system32\devil.dll

2009-03-26 10:49 . 2004-01-24 23:00	70656	----a-w	h:\windows\system32\i420vfw.dll

2009-03-25 10:43 . 2009-04-21 15:49	--------	d-----w	h:\documents and settings\ddd\Dane aplikacji\uTorrent


.

(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-04-23 18:02 . 2009-03-09 15:39	127	----a-w	H:\MicrosoftMceTransceiver_DriverXP.log

2009-04-21 09:29 . 2009-04-21 09:29	--------	d-----w	h:\program files\Security Task Manager

2009-04-21 08:53 . 2009-04-21 08:53	--------	d-----w	h:\program files\Trend Micro

2009-04-17 16:04 . 2009-04-17 16:04	--------	d-----w	h:\program files\Winamp

2009-04-17 16:01 . 2009-04-17 16:01	--------	d-----w	h:\program files\Common Files\Nero

2009-04-17 16:00 . 2009-04-17 16:00	--------	d-----w	h:\program files\Common Files\Ahead

2009-04-16 13:28 . 2009-04-16 13:28	--------	d-----w	h:\program files\Audacity

2009-04-14 14:06 . 2009-03-08 17:47	--------	d--h--w	h:\program files\InstallShield Installation Information

2009-04-14 14:06 . 2009-04-14 14:06	--------	d-----w	h:\program files\IK Multimedia

2009-04-13 07:45 . 2009-04-13 07:45	--------	d-----w	h:\program files\Common Files\Digidesign

2009-04-11 16:17 . 2009-04-11 16:16	--------	d-----w	h:\program files\Google

2009-04-11 16:16 . 2009-04-11 16:16	--------	d-----r	h:\program files\Skype

2009-04-11 13:38 . 2009-04-11 13:19	--------	d-----w	h:\program files\Java

2009-04-11 13:19 . 2009-04-11 13:19	--------	d-----w	h:\program files\Common Files\Java

2009-04-08 20:28 . 2009-04-08 20:28	--------	d-----w	h:\program files\Switch Off

2009-04-01 16:01 . 2009-03-08 22:10	18248	----a-w	h:\documents and settings\ddd\Ustawienia lokalne\Dane aplikacji\GDIPFONTCACHEV1.DAT

2009-03-29 14:04 . 2001-10-26 16:15	83988	----a-w	h:\windows\system32\perfc015.dat

2009-03-29 14:04 . 2001-10-26 16:15	490808	----a-w	h:\windows\system32\perfh015.dat

2009-03-28 11:29 . 2009-03-08 20:01	--------	d-----w	h:\documents and settings\ddd\Dane aplikacji\Nowe Gadu-Gadu

2009-03-28 09:22 . 2009-03-08 14:35	--------	d-----w	h:\program files\microsoft frontpage

2009-03-26 10:49 . 2009-03-26 10:49	--------	d-----w	h:\program files\AviSynth 2.5

2009-03-23 11:55 . 2009-03-08 18:05	--------	d-----w	h:\program files\Common Files\Native Instruments

2009-03-23 11:32 . 2009-03-22 18:52	--------	d-----w	h:\program files\Native Instruments

2009-03-23 10:10 . 2009-03-23 10:10	1700352	----a-w	h:\windows\system32\gdiplus.dll

2009-03-22 16:30 . 2009-03-16 19:07	--------	d-----w	h:\documents and settings\ddd\Dane aplikacji\Steinberg

2009-03-22 16:23 . 2009-03-22 16:23	--------	d-----w	h:\program files\Syncrosoft

2009-03-22 09:30 . 2009-03-08 17:59	--------	d-----w	h:\documents and settings\ddd\Dane aplikacji\Propellerhead Software

2009-03-22 09:19 . 2009-03-22 09:06	--------	d-----w	h:\program files\Recycle

2009-03-22 09:16 . 2009-03-22 09:07	--------	d-----w	h:\program files\Propellerhead

2009-03-22 08:49 . 2009-03-22 08:49	--------	d-----w	h:\program files\Common Files\NSV

2009-03-22 08:49 . 2009-03-22 08:49	--------	d-----w	h:\program files\Common Files\Nullsoft

2009-03-20 17:27 . 2009-03-08 17:59	--------	d-----w	h:\documents and settings\All Users\Dane aplikacji\Propellerhead Software

2009-03-18 18:14 . 2009-03-18 18:14	--------	d-----w	h:\documents and settings\ddd\Dane aplikacji\Waves Preferences

2009-03-18 17:57 . 2009-03-18 17:57	--------	d-----w	h:\documents and settings\ddd\Dane aplikacji\Moyea

2009-03-17 16:51 . 2009-03-17 16:51	--------	d-----w	h:\documents and settings\ddd\Dane aplikacji\Media Player Classic

2009-03-17 15:22 . 2009-03-17 15:23	110053	--sh--r	H:\q0dhfjf.exe

2009-03-16 07:07 . 2009-03-08 19:52	--------	d-----w	h:\program files\Common Files\Adobe

2009-03-16 06:59 . 2009-03-15 06:18	111435	--sh--r	H:\luk1ylq.com

2009-03-13 16:08 . 2009-03-13 16:08	--------	d-----w	h:\program files\Ares

2009-03-11 20:42 . 2009-03-11 20:41	--------	d-----w	h:\program files\K-Lite Codec Pack

2009-03-11 16:35 . 2009-03-11 16:36	108968	--sh--r	H:\xdw.com

2009-03-09 17:54 . 2009-03-09 17:54	108313	--sh--r	H:\cb.exe

2009-03-09 15:39 . 2009-03-09 15:39	--------	d-----w	h:\documents and settings\All Users\Dane aplikacji\MediaPortal

2009-03-09 15:39 . 2009-03-09 15:39	--------	d-----w	h:\program files\IR Server Suite

2009-03-09 15:39 . 2009-03-09 15:39	--------	d-----w	h:\program files\Team MediaPortal

2009-03-09 15:39 . 2009-03-09 15:39	--------	d-----w	h:\documents and settings\All Users\Dane aplikacji\IR Server Suite

2009-03-09 10:14 . 2009-03-09 10:14	--------	d-----w	h:\program files\ASIO4ALL v2

2009-03-09 10:14 . 2009-03-09 10:14	--------	d-----w	h:\program files\Outsim

2009-03-08 22:07 . 2009-03-08 22:07	64200	----a-w	h:\documents and settings\LocalService\Ustawienia lokalne\Dane aplikacji\FontCache3.0.0.0.dat

2009-03-08 22:07 . 2009-03-08 22:07	--------	d-----w	h:\program files\MSBuild

2009-03-08 22:07 . 2009-03-08 22:07	--------	d-----w	h:\program files\Reference Assemblies

2009-03-08 20:59 . 2009-03-08 20:59	368640	----a-w	h:\windows\system32\ReWire.dll

2009-03-08 17:47 . 2009-03-08 17:47	--------	d-----w	h:\program files\Realtek Sound Manager

2009-03-08 17:47 . 2009-03-08 17:47	--------	d-----w	h:\program files\AvRack

2009-03-08 17:47 . 2009-03-08 17:42	--------	d-----w	h:\program files\Common Files\InstallShield

2009-03-08 17:42 . 2009-03-08 14:33	86327	----a-w	h:\windows\pchealth\helpctr\OfflineCache\index.dat

2009-03-08 17:41 . 2009-03-08 14:33	--------	d-----w	h:\program files\Usługi online

2009-03-08 14:31 . 2009-03-08 14:31	21856	----a-w	h:\windows\system32\emptyregdb.dat

2009-03-08 14:31 . 2009-03-08 14:31	--------	d-----w	h:\program files\Windows Media Connect 2

2009-03-08 12:06 . 2009-03-08 14:39	108664	--sh--r	H:\i.com

2009-02-09 18:56 . 2008-12-17 17:22	67584	----a-w	h:\windows\system32\ff_vfw.dll

2006-05-03 09:06 . 2009-03-26 10:48	163328	--sh--r	h:\windows\system32\flvDX.dll

2007-02-21 10:47 . 2009-03-26 10:48	31232	--sh--r	h:\windows\system32\msfDX.dll

.


------- Sigcheck -------


[-] 2008-05-08 18:02	361344	ACCF5A9A1FFAA490F33DBA1C632B95E1	h:\windows\system32\drivers\tcpip.sys


[-] 2008-05-08 18:02	1571840	9F02C1CF7C3100E4AEA7DD8B6A86A01B	h:\windows\system32\sfcfiles.dll

.

((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane  

REGEDIT4


[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="h:\windows\system32\ctfmon.exe" [2008-04-14 15360]

"swg"="h:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-04-11 39408]


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"H2O"="h:\program files\SyncroSoft\Pos\H2O\cledx.exe" [2005-05-11 200069]

"SunJavaUpdateSched"="h:\program files\Java\jre6\bin\jusched.exe" [2009-04-11 148888]

"NeroFilterCheck"="h:\windows\system32\NeroCheck.exe" [2001-07-09 155648]

"egui"="f:\nod\egui.exe" [2009-02-06 2021400]

"SoundMan"="SOUNDMAN.EXE" - h:\windows\SOUNDMAN.EXE [2005-01-20 77824]


[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="h:\windows\system32\CTFMON.EXE" [2008-04-14 15360]


[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]

"nltide_2"="shell32" [X]


h:\documents and settings\All Users\Menu Start\Programy\Autostart\

Microsoft Office.lnk - f:\office\Office10\OSA.EXE [2001-2-13 83360]


HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32

"MIDI1"= myokent.dll


[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)


[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"%windir%\\system32\\sessmgr.exe"=

"h:\\Program Files\\Ares\\Ares.exe"=

"f:\\u\\uTorrent.exe"=

"h:\\Program Files\\Skype\\Phone\\Skype.exe"=


S1 ehdrv;ehdrv;h:\windows\system32\DRIVERS\ehdrv.sys [2009-02-06 106208]

S1 epfwtdir;epfwtdir;h:\windows\system32\DRIVERS\epfwtdir.sys [2009-02-06 93336]

S2 ekrn;ESET Service;f:\nod\ekrn.exe [2009-02-06 727720]

S2 InputService;Input Service;h:\program files\IR Server Suite\Input Service\Input Service.exe [2007-12-17 40960]

S3 3xHybrid;TV-Station DVR service;h:\windows\system32\DRIVERS\3xHybrid.sys [2006-11-22 1121536]

S3 CLEDX;Team H2O CLEDX service;h:\windows\system32\DRIVERS\cledx.sys [2005-05-09 33792]



[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{18B0E5C2-99CB-11CF-AYX5-00401C648513}]

c:\recycler\S-1-5-21-1482476501-1644491937-682003330-1013\iuhi64.exe

.

- - - - USUNIĘTO PUSTE WPISY - - - -


HKCU-Run-cdoosoft - h:\windows\system32\olhrwef.exe




**************************************************************************


catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-04-23 20:06

Windows 5.1.2600 Dodatek Service Pack 3 NTFS


skanowanie ukrytych procesów ...  


skanowanie ukrytych wpisów autostartu ... 


skanowanie ukrytych plików ...  


skanowanie pomyślnie ukończone

ukryte pliki: 0


**************************************************************************

.

--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------


- - - - - - - > 'winlogon.exe'(788)

h:\windows\system32\myokent.dll


- - - - - - - > 'lsass.exe'(844)

h:\windows\system32\myokent.dll


- - - - - - - > 'explorer.exe'(1116)

h:\windows\system32\myokent.dll

h:\windows\system32\ieframe.dll

h:\windows\system32\wpdshserviceobj.dll

h:\windows\system32\portabledevicetypes.dll

h:\windows\system32\portabledeviceapi.dll

.

------------------------ Pozostałe uruchomione procesy ------------------------

.

h:\program files\Java\jre6\bin\jqs.exe

h:\windows\system32\wscntfy.exe

.

**************************************************************************

.

Czas ukończenia: 2009-04-23 20:07 - komputer został uruchomiony ponownie

ComboFix-quarantined-files.txt 2009-04-23 18:07


Przed: 365 129 728 bajtów wolnych

Po: 974 692 352 bajtów wolnych


WindowsXP-KB310994-SP2-Pro-BootDisk-ENU.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(6)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(6)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Windows XP Media Center Edition" /noexecute=optin /fastdetect

multi(0)disk(0)rdisk(0)partition(7)\WINDOWS="windows przeruba" /noexecute=optin /fastdetect


409

(dethloe123) #9

Przeskanuj tym skanerem online http://www.kaspersky.pl/virusscanner.html/ i daj log na forum.


(system) #10

Skopiuj i wklej do notatnika:

File::

H:\g1ljsm.com

H:\husyu8n.exe

H:\[u]0[/u]xuc.com

H:\qwtb.com

H:\1ogf.exe

H:\cqxj.exe

H:\o3n9k.com

H:\[u]0[/u]bcobed.exe

H:\q0dhfjf.exe

H:\luk1ylq.com

H:\xdw.com

H:\cb.exe

H:\i.com


Registry::

[-HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{18B0E5C2-99CB-11CF-AYX5-00401C648513}]

zapisz jako CFScript.txt (zapisz tak, by ikonka CFScript.txt była obok ikonki ComboFix.exe) następnie przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe

Rozpocznie się usuwanie, potem dajesz log z usuwania Combofix

W logu jeszcze to:

Bardzo nie podoba mi się data utworzenia jak i wielkość pliku winlogon.exe.

Przeskanuj plik winlogon.exe na VirusTotal i podaj wyniki skanowania, ponieważ istnieje duże prawdopodobieństwo, że winlogon.exe jest zainfekowany.