Gość: Paula IP: *.neoplus.adsl.tpnet.pl 30.03.08, 23:40 Podczas uruchamiania komputera wyskaują mi okna "mój komputer" i "winlog.exe" dlaczego tak się dzieje i jak mogę to zmienić ? Proszę o pomoc ! Link Zgłoś czytaj wygodnie posty
Gość: Kolobos Re: Uporczywe okienka !! IP: *.escom.net.pl 31.03.08, 00:05 Daj log z Dss -> www.techsupportforum.com/sectools/Deckard/dss.exe , log wklej na wklej.org i podaj link. Link Zgłoś
Gość: paula Re: Uporczywe okienka !! IP: *.neoplus.adsl.tpnet.pl 31.03.08, 00:10 wklej.org/id/34b70007ac Link Zgłoś
Gość: Kolobos Re: Uporczywe okienka !! IP: *.escom.net.pl 31.03.08, 07:53 Widze spore zarobaczenie. Nie obejdzie sie bez log'a z SDFix zrobionego w trybie awaryjnym, zapewne winlogon jest zainfekowany. W hijackthis usun: F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,userinit.exe O4 - HKLM\..\Run: [winpvc] C:\WINDOWS\system32\winpvc.exe O4 - HKLM\..\Run: [autoload] C:\Documents and Settings\admin\Local Settings\Application Data\cftmon.exe O4 - HKLM\..\Run: [runwinlogon] C:\WINDOWS\winlogon.exe O4 - HKCU\..\Run: [autoload] C:\Documents and Settings\admin\Local Settings\Application Data\cftmon.exe Sciagnij combofix, utworz na pulpicie plik CFScript.txt, wklej do niego: Driver:: msupdate CcEvtSvc FCI File:: C:\WINDOWS\system32\vhosts.exe C:\WINDOWS\system32\winpvc.exe C:\WINDOWS\system32\CcEvtSvc.exe C:\Documents and Settings\admin\Local Settings\Application Data\cftmon.exe C:\WINDOWS\system32\mssrv32.exe Registry:: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "winpvc"=- "autoload"=- "runwinlogon"=- [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "autoload"=- [HKEY_USERS\.default\software\microsoft\windows\currentversion\run] "autoload"=- Plik zapisz i przeciagnij go na ikone combofix.exe. Nastepnie uzyj SDFix w trybie awaryjnym. Oba logi (z combofix oraz sdfix) wklej na wklej.org i podaj link. Link Zgłoś
Gość: Paula Re: Uporczywe okienka !! IP: *.neoplus.adsl.tpnet.pl 31.03.08, 11:26 wklej.org/id/f73cc191d2 Link Zgłoś
Gość: Paula Re: Uporczywe okienka !! IP: *.neoplus.adsl.tpnet.pl 31.03.08, 11:30 wklej.org/id/52844f04af Link Zgłoś
Gość: Paula Re: Uporczywe okienka !! IP: *.neoplus.adsl.tpnet.pl 31.03.08, 11:48 atchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, www.gmer.net Rootkit scan 2008-03-31 11:43:38 Windows 5.1.2600 Dodatek Service Pack 2 NTFS scanning hidden processes ... scanning hidden services & system hive ... scanning hidden registry entries ... [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "AppInit_DLLs"="" "DeviceNotSelectedTimeout"="15" "GDIProcessHandleQuota"=dword:00002710 "Spooler"="yes" "swapdisk"="" "TransmissionRetryTimeout"="90" "USERProcessHandleQuota"=dword:00002710 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer \MenuOrder\Favorites\A\1\5\1c] "Order"=hex:08,00,00,00,02,00,00,00,b8,01,00,00,01,00,00,00,04,00,00, 00,8c,.. scanning hidden files ... scan completed successfully hidden processes: 0 hidden services: 0 hidden files: 0 Ten jest robiony w trybie awaryjnym Link Zgłoś
Gość: Paula Re: Uporczywe okienka !! IP: *.neoplus.adsl.tpnet.pl 31.03.08, 11:37 catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, www.gmer.net Rootkit scan 2008-03-31 11:35:49 Windows 5.1.2600 Dodatek Service Pack 2 NTFS scanning hidden processes ... scanning hidden services & system hive ... scanning hidden registry entries ... [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "AppInit_DLLs"="" "DeviceNotSelectedTimeout"="15" "GDIProcessHandleQuota"=dword:00002710 "Spooler"="yes" "swapdisk"="" "TransmissionRetryTimeout"="90" "USERProcessHandleQuota"=dword:00002710 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer \MenuOrder\Favorites\A\1\5\1c] "Order"=hex:08,00,00,00,02,00,00,00,b8,01,00,00,01,00,00,00,04,00,00, 00,8c,.. scanning hidden files ... scan completed successfully hidden processes: 0 hidden services: 0 hidden files: 0 Link Zgłoś
Gość: Kolobos Re: Uporczywe okienka !! IP: *.escom.net.pl 31.03.08, 12:31 Prosilem o log z SDFix zrobiony w trybie awaryjnym, a nie jakies scinki z catchme. Tutaj masz opis i program: cybertrash.pl/images/tata/SDFix.html Przy okazji utworz nowy CFScript.txt: File:: C:\4.tmp C:\16.tmp C:\15.tmp C:\14.tmp C:\13.tmp C:\20.tmp C:\WINDOWS\system32\uafddqiu.tmp C:\E.tmp Zapisz i przeciagnij na combofix jak poprzednio. Link Zgłoś
Gość: Paula Re: Uporczywe okienka !! IP: *.neoplus.adsl.tpnet.pl 31.03.08, 12:52 Już się za to biorę porzadnie proszę o cierpliwość dziękuję Link Zgłoś
Gość: "winlog.exe" Re: Uporczywe okienka !! IP: *.neoplus.adsl.tpnet.pl 31.03.08, 00:06 "winlog.exe" to chyba kontrola rodzicielska program bezpieczeństwa Link Zgłoś
Gość: Paula Re: Uporczywe okienka !! IP: *.neoplus.adsl.tpnet.pl 31.03.08, 13:08 SDFix: Version 1.165 Run by admin on 2008-03-31 at 13:00 Microsoft Windows XP [Wersja 5.1.2600] Running From: C:\SDFix Checking Services : Restoring Windows Registry Values Restoring Windows Default Hosts File Rebooting Checking Files : Trojan Files Found: C:\13.TMP - Deleted C:\14.TMP - Deleted C:\15.TMP - Deleted C:\16.TMP - Deleted C:\20.TMP - Deleted C:\4.TMP - Deleted C:\E.TMP - Deleted Removing Temp Files ADS Check : Final Check : catchme 0.3.1344.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, www.gmer.net Rootkit scan 2008-03-31 13:05:10 Windows 5.1.2600 Dodatek Service Pack 2 NTFS scanning hidden processes ... scanning hidden services & system hive ... scanning hidden registry entries ... [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "AppInit_DLLs"="" "DeviceNotSelectedTimeout"="15" "GDIProcessHandleQuota"=dword:00002710 "Spooler"="yes" "swapdisk"="" "TransmissionRetryTimeout"="90" "USERProcessHandleQuota"=dword:00002710 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer \MenuOrder\Favorites\A\1\5\1c] "Order"=hex:08,00,00,00,02,00,00,00,b8,01,00,00,01,00,00,00,04,00,00, 00,8c,.. scanning hidden files ... scan completed successfully hidden processes: 0 hidden services: 0 hidden files: 0 Remaining Services : Authorized Application Key Export: [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\pa rameters\firewallpolicy\standardprofile\authorizedapplications\list] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32 \\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\\Program Files\\Gadu-Gadu\\gg.exe"="C:\\Program Files\\Gadu- Gadu\\gg.exe:*:Enabled:Gadu-Gadu - program g?˘wny" "C:\\Program Files\\LimeWire\\LimeWire.exe"="C:\\Program Files\\LimeWire\\LimeWire.exe:*:Enabled:LimeWire" "C:\\Program Files\\Nero\\Nero 7\\Nero ShowTime\\ShowTime.exe"="C:\\Program Files\\Nero\\Nero 7\\Nero ShowTime\\ShowTime.exe:*:Enabled:Nero ShowTime Essentials" "%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\pa rameters\firewallpolicy\domainprofile\authorizedapplications\list] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32 \\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" Remaining Files : File Backups: - C:\SDFix\backups\backups.zip Files with Hidden Attributes : Finished! Link Zgłoś
Gość: Paula Re: Uporczywe okienka !! IP: *.neoplus.adsl.tpnet.pl 31.03.08, 13:22 wklej.org/id/48eed50ac0 Link Zgłoś
Gość: Kolobos Re: Uporczywe okienka !! IP: *.escom.net.pl 31.03.08, 13:39 Juz wszystko wyglada ok. Link Zgłoś
Gość: Paula Re: Uporczywe okienka !! IP: *.neoplus.adsl.tpnet.pl 31.03.08, 13:40 Zastanawiam się skąd te robale jak ja nie wchodzę na żadne strony poza domenami jak onet wp jedynie co to szukam jakiś informacji może stąd a komputer jest nowy ma niecały miesiąc i nie ma kto go okupować :| no ale musiałam nabroić bo ewidentnie coś się dzieje ! Dziękuję za pomoc mam nadzieje że tym razem wszystko dobrze zrobiłam łatki nie wiem czy mam dobrze i wszystkie zainstalowane ostatnio z nimi trochę zaszałałam może stąd problem Link Zgłoś
Gość: Kolobos Re: Uporczywe okienka !! IP: *.escom.net.pl 31.03.08, 13:44 Widze, ze masz limeware, wiec to nie problem sciagnac z niego jakis "program". Link Zgłoś