Po shlédnutí ostatních úspěšně vyřešených přřípadů se na vás obracím jako na odborníky s prosbou o pomoc. Včera mi zahlásilo AVG 7 trojana v souboru winlogon.exe, dal jsem ho léčit, ale po restartu už mi nenaběhly XP s vážnou chybou systému a byly vypnuty do modré obrazovky. Jediné co jede je nouzový režim. PC jsem zkontrolovat Ad-Awarem a Spybotem, odinstaloval AVG a dal tam NOD32, který to otestoval bez nálezu viru. Posílám log na kontrolu, jestli je možnost to rozchodit. Ď za info.
Logfile of HijackThis v1.99.1
Scan saved at 18:02:00, on 7.12.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\Explorer.EXE
D:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe
C:\Program Files\Firefox\firefox.exe
D:\Pracovní\USB Disk\usb\HijackThis 1.99.1\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - E:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O3 - Toolbar: &Rádio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ATIPTA] "E:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [ATICCC] "E:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [WinampAgent] c:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "E:\Program Files\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [nod32kui] "E:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\RunOnce: [EVGclean] D:\DOCUME~1\Milza\LOCALS~1\Temp\EVGclean.bat
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "D:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe"
O4 - Startup: Winamp.lnk = C:\Program Files\Winamp\winamp.exe
O4 - Startup: Průzkumník.scf
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Office Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Program Files\Java\jre1.5.0_09\bin\npjpi150_09.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Program Files\Java\jre1.5.0_09\bin\npjpi150_09.dll
O9 - Extra button: Zdroje informací - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O17 - HKLM\System\CCS\Services\Tcpip\..\{F199D070-7AC3-450B-AF05-0E5F73F0B7B7}: NameServer = 195.128.203.2,195.128.203.3
O20 - Winlogon Notify: MCPClient - D:\PROGRA~1\COMMON~1\Stardock\mcpstub.dll (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - D:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - D:\WINDOWS\system32\ati2sgag.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - D:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - E:\Program Files\Eset\nod32krn.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - D:\WINDOWS\System32\UAService7.exe
winlogon.exe trojan a nejedou XP
-
mijaja
- Tvůrce článků
-
Level 6.5
- Příspěvky: 4136
- Registrován: září 05
- Bydliště: Zlín
- Pohlaví:
- Stav:
Offline
- Kontakt:
Zatím jak koukám tak ti tam winlogon jede. Otázkou je jestli je to ten původní, nebo nějaký natažený ze zálohy, nebo obnovy systému.
Tohle je citace ze serveru mrkvosoftu
Osobně se domnívám (ale nemusím mít pravdu), že ten napadený winlogon ti po léčení zablokoval účty. A po smazání AVGčka odešel s ním. Pokud by sis AVG tehdy nechal, možná by to z karantény šlo obnovit. Ten nový, který ti tam běží, nejspíše nemá o tvých starých účtech ani ponětí a je možné, že tě proto do nich nepustí. Pokud se dostaneš do nouzáku, vyzkoušej Obnovu systému k době před infekcí winlogonu.
Nevím, jestli to funguje i v nouzáku, ale zkus automatické přihlášení :
Dej Start a Spustit a do okénka zkopíruj toto: control userpasswords2 a dej Enter.
Ten log dej potom nový, až se dostaneš do normálu. A pokud se ti obnoví AVGčko a komp pojede, tak to AVG zlikviduj a dej si tam NODa.
Jinak chybí ti SP2 a firewall. S nimi bys tohle vůbec řešit nemusel.
Tohle je citace ze serveru mrkvosoftu
Omezení: Možnosti záchrany přes Konzolu pro zotavení jsou omezeny, konstatuje pan Novák poté, co se mu nepodařilo spustit Windows XP. Domnívá se, že chyba je někde v registru v klíči Winlogon, neboť na něm naposledy prováděl nějaké změny. Takže nyní nevidí prakticky žádnou možnost, jak špatnou hodnotu v registru opravit. Konzola pro zotavení nedokáže prakticky nic, neumí spustit žádný externí program, nedokáže načíst soubor se zálohou registru, ani neumí připojit další disky – jedinou možností tak zůstává disketa.
Řešení: Od té doby, co se objevil PE Builder (viz tip č. 2), můžeme směle prohlásit, že Microsoftem vymyšlená Konzola pro zotavení dosloužila. Bootovací CD s mini Windows PE nabízí prostřednictvím jednoduchého rozhraní s podporou myši přístup ke všem souborům, podporuje USB, Firewire, diskety a umí spustit libovolný externí program.
Osobně se domnívám (ale nemusím mít pravdu), že ten napadený winlogon ti po léčení zablokoval účty. A po smazání AVGčka odešel s ním. Pokud by sis AVG tehdy nechal, možná by to z karantény šlo obnovit. Ten nový, který ti tam běží, nejspíše nemá o tvých starých účtech ani ponětí a je možné, že tě proto do nich nepustí. Pokud se dostaneš do nouzáku, vyzkoušej Obnovu systému k době před infekcí winlogonu.
Nevím, jestli to funguje i v nouzáku, ale zkus automatické přihlášení :
Dej Start a Spustit a do okénka zkopíruj toto: control userpasswords2 a dej Enter.
Ten log dej potom nový, až se dostaneš do normálu. A pokud se ti obnoví AVGčko a komp pojede, tak to AVG zlikviduj a dej si tam NODa.
Jinak chybí ti SP2 a firewall. S nimi bys tohle vůbec řešit nemusel.
No tak ten "živočich" se teď záhadně rozjel ze zálohy. Předtím nejel ani z poslední známé konfigurace, z ladění, z backupu, dokonce se mi zasekla i přeinstalace na měkko.
Ten winlogon jsem si po napadení a označení AVG vyláhl bokem a než jsem to AVG odinstaloval, tak jsem ho z karantény odstranil a pak dal zpátky a nic až nyní.
Takže teď už mi zbývá jen udržet tento setrvalý stav a zbavit se při bootování ve výběru systému-toho backupu a instalace XP-neboť to teď upřednostňuje.
O absenci SP2 a firewallu vím. Snaha s SP2 byla, ale jaxi se opět instalace zasekla, neboť něco nemohl nahradit-teď mě napadlo, že snad možná přes nouzový režim by se tam dal vecpat. A jaký firewall doporučit?
Kerio? Díval jsem se co se ti osvědčilo a mám znám/používám tak čtvrtinu....
Velké Ď za info.
Ten winlogon jsem si po napadení a označení AVG vyláhl bokem a než jsem to AVG odinstaloval, tak jsem ho z karantény odstranil a pak dal zpátky a nic až nyní.
Takže teď už mi zbývá jen udržet tento setrvalý stav a zbavit se při bootování ve výběru systému-toho backupu a instalace XP-neboť to teď upřednostňuje.
O absenci SP2 a firewallu vím. Snaha s SP2 byla, ale jaxi se opět instalace zasekla, neboť něco nemohl nahradit-teď mě napadlo, že snad možná přes nouzový režim by se tam dal vecpat. A jaký firewall doporučit?
Kerio? Díval jsem se co se ti osvědčilo a mám znám/používám tak čtvrtinu....
Velké Ď za info.
Zpět na “Viry, antiviry, firewally…”
Kdo je online
Uživatelé prohlížející si toto fórum: Majestic-12 [Bot] a 3 hosti