Wirus w winlogon.exe (brak pomyslu)


(Gcetnarski) #1

czesc.

od jakiegos czasu borykam sie z kilkoma syfkami na kompie.

zaczelo sie od jakiegos bzdurnego pliku ktory byl zainfekowany. niby nod32 poradzil sobie bez problemu, a jednak system zaczal sie sypac.

1 stadium opieralo sie o bluescreen'y. poszukalem u pani w google i zmienilem stery nvidii na omegi. przy okazji podkrecilem karte, wyczyscilem system, pousuwalem syfki etc.

od jakiegos tygodnia znow sie cos przyplatalo. hijackthis wyglada czysto (dla pewnosci go wkleje), zaczely sie od czasu do czasu bluescreeny, zwlaszcza podczas gdy probuje zrobic skan gmer'em. oprocz tego, choc nie wiem czy to zwiazane jest ze sprawa, jesli ktos chce cos ode mnnie sciagnac w lanie rowniez ukazuje mi sie niebieski ekran. nod32 za kazdym razem gdy robie cos polaczonego z kozystaniem z internetu informuje ze mam wira, ale sobie nie poradzi:

informacje o wirusie: c:\windows\system32\winlogon.exe

wirus: win32/wigon.I trojan

gmer tylko raz przeszedl caly skan i w zakladce rootkit otrzymalem:

service c:\windows\system32:lzx32.sys(***hidden***) [sYSTEM}pe386

w uslugach zas na czerwono jest:

pe386 system \??\c:\windows\system32:lzx32.sys win32 lzx files loader

kozystalem tez z Spybot - Search & Destroy ktory cos znalazl ale raczej nic szczegolnego.

aha i jeszcze 1. po przeczytaniu tematu http://forum.dobreprogramy.pl/viewtopic ... 6b27531a4c probowalem cos poradzic, ale zakonczylo sie to rowniez fiaskiem. bluescreen'a nie moge spisac gdyz od razu jest reset, pomimo odznaczenia ptaszka przy opcji resetowania po awarii systemu

szczerze wam powiem, ze mam juz dosc i napewno sie gdzies po drodze pogubilem miedzy roznymi forami radami itd... ale reinstall mi sie nie usmiecha, wiec moze wy mi pomozecie??

Logfile of HijackThis v1.99.1

Scan saved at 16:26:37, on 2010-03-19

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\windows\System32\smss.exe

C:\windows\system32\winlogon.exe

C:\windows\system32\services.exe

C:\windows\system32\lsass.exe

C:\windows\system32\Ati2evxx.exe

C:\windows\system32\svchost.exe

C:\windows\system32\svchost.exe

C:\windows\system32\Ati2evxx.exe

C:\windows\Explorer.EXE

C:\windows\system32\spoolsv.exe

C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe

D:\Programy zainstalowane\nod\nod32kui.exe

D:\GRY i save\Gry\cs\Steam.exe

D:\Programy zainstalowane\hddlife\HDDlifePro.exe

D:\Programy zainstalowane\Speedfan\speedfan.exe

D:\Programy zainstalowane\nod\nod32krn.exe

C:\windows\system32\svchost.exe

C:\windows\system32\wscntfy.exe

C:\windows\System32\svchost.exe

C:\Program Files\Gadu-Gadu\gg.exe

D:\Programy zainstalowane\azureus\Azureus.exe

C:\Program Files\Mozilla Firefox\firefox.exe

E:\D duzy\Progsy\Win 98 progsy instalacyjne\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = w3cache.dami-rz.pl:8080

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - D:\Programy zainstalowane\GetRight\xx2gr.dll

O4 - HKLM..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe"

O4 - HKLM..\Run: [NVMixerTray] "C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe"

O4 - HKLM..\Run: [QuickTime Task] "D:\Programy zainstalowane\quicktimeplayer\qttask.exe" -atboottime

O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM..\Run: [ATITool] "C:\Program Files\ATITool\ATITool.exe" -s

O4 - HKLM..\Run: [nod32kui] "D:\Programy zainstalowane\nod\nod32kui.exe" /WAITSERVICE

O4 - HKLM..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM..\Run: [AtiPTA] atiptaxx.exe

O4 - HKCU..\Run: [Gadu-Gadu] "C:\PROGRA~1\GADU-G~1\gg.exe" /tray

O4 - HKCU..\Run: [steam] D:\GRY i save\Gry\cs\Steam.exe -silent

O4 - Startup: HDDlife.lnk = D:\Programy zainstalowane\hddlife\HDDlifePro.exe

O4 - Startup: SpeedFan.lnk = D:\Programy zainstalowane\Speedfan\speedfan.exe

O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MksSkanerOnline Class) - http://www.mks.com.pl/skaner/SkanerOnline.cab

O17 - HKLM\System\CCS\Services\Tcpip..{06576A93-FC67-47AD-A003-A0220D647D6B}: NameServer = 88.156.160.4,88.139.8.7

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\windows\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - D:\Programy zainstalowane\nod\nod32krn.exe

O23 - Service: RadClock - Unknown owner - C:\windows\system32\RadClock.exe

O23 - Service: CLCV0 (UTSCSI) - Unknown owner - C:\windows\system32\UTSCSI.EXE


(adam9870) #2

Log z hijacka jest w porządku.

Masz rootkita pe386. Jego głównymi objawami są właśnie takie rzeczy jak samoczynne resety, czy pojawianie się BSOD.

Użyj narzędzia Rustock.b-fix, a następnie dla pewności wklej raport plus log z Gmer'a:

  • Zakładka Rootkit >>> zaznaczone wszystko oprócz Pokazuj wszystko >>> kliknij Szukaj >>> czekaj cierpliwie aż skończy >>> Kopiuj >>> wklej do posta

(Gcetnarski) #3

niestety wirusik dalej sobie siedzi i nod wywala bledy

petlog.txt

************************* Rustock.b-fix -- By ejvindh *************************

2010-03-19 17:10:50,98

******************* Pre-run Status of system *******************

Rootkit driver PE386 is found. Starting the unload-procedure....

Rustock.b-ADS attached to the System32-folder:

:lzx32.sys 72864

Total size: 72864 bytes.

Attempting to remove ADS...

system32: deleted 72864 bytes in 1 streams.

Looking for Rustock.b-files in the System32-folder:

No Rustock.b-files found in system32

******************* Post-run Status of system *******************

Rustock.b-driver on the system: NONE!

Rustock.b-ADS attached to the System32-folder:

No System32-ADS found.

Looking for Rustock.b-files in the System32-folder:

No Rustock.b-files found in system32

******************************* End of Logfile ********************************

avenger.txt

Logfile of The Avenger version 1, by Swandog46

Running from registry key:

\Registry\Machine\System\CurrentControlSet\Services\gqipcctk

*******************

Script file located at: \??\C:\Program Files\xtvbswwg.txt

Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Driver PE386 unloaded successfully.

Program C:\Rustbfix\2run.bat successfully set up to run once on reboot.

Completed script processing.

*******************

Finished! Terminate.


(adam9870) #4

Gdzie log z Gmer'a?

Uruchom Konsolę odzyskiwania CD i wydaj następujące polecenia:


(Gcetnarski) #5

log z gmera (sorry za opoznienie)


(Mirfi2) #6

Próbowałeś NOD32 v2.7 ,który wykrywa rootkity,w trybie awaryjnym?


(Gcetnarski) #7

nie. a czy na niego trzeba miec licencje albo cos podobnego??


(Gutek) #8

Jest Ok

Uwaga: Jak wklejasz loga to obejmuj go znacznikiem (tagiem) CODE lub QUOTE - POPRAW!

Pozdrawiam Gutek2222