Uporczywe okienka !!

IP: *.neoplus.adsl.tpnet.pl 30.03.08, 23:40
Podczas uruchamiania komputera wyskaują mi okna "mój komputer"
i "winlog.exe" dlaczego tak się dzieje i jak mogę to zmienić ?
Proszę o pomoc !
    • Gość: Kolobos Re: Uporczywe okienka !! IP: *.escom.net.pl 31.03.08, 00:05
      Daj log z Dss -> www.techsupportforum.com/sectools/Deckard/dss.exe , log wklej na wklej.org i podaj link.
      • Gość: paula Re: Uporczywe okienka !! IP: *.neoplus.adsl.tpnet.pl 31.03.08, 00:10
        wklej.org/id/34b70007ac
        • Gość: Kolobos Re: Uporczywe okienka !! IP: *.escom.net.pl 31.03.08, 07:53
          Widze spore zarobaczenie. Nie obejdzie sie bez log'a z SDFix zrobionego w trybie awaryjnym, zapewne winlogon jest zainfekowany.

          W hijackthis usun:
          F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,userinit.exe
          O4 - HKLM\..\Run: [winpvc] C:\WINDOWS\system32\winpvc.exe
          O4 - HKLM\..\Run: [autoload] C:\Documents and Settings\admin\Local Settings\Application Data\cftmon.exe
          O4 - HKLM\..\Run: [runwinlogon] C:\WINDOWS\winlogon.exe
          O4 - HKCU\..\Run: [autoload] C:\Documents and Settings\admin\Local Settings\Application Data\cftmon.exe

          Sciagnij combofix, utworz na pulpicie plik CFScript.txt, wklej do niego:

          Driver::
          msupdate
          CcEvtSvc
          FCI

          File::
          C:\WINDOWS\system32\vhosts.exe
          C:\WINDOWS\system32\winpvc.exe
          C:\WINDOWS\system32\CcEvtSvc.exe
          C:\Documents and Settings\admin\Local Settings\Application Data\cftmon.exe
          C:\WINDOWS\system32\mssrv32.exe

          Registry::
          [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
          "winpvc"=-
          "autoload"=-
          "runwinlogon"=-

          [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
          "autoload"=-

          [HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
          "autoload"=-

          Plik zapisz i przeciagnij go na ikone combofix.exe.
          Nastepnie uzyj SDFix w trybie awaryjnym.
          Oba logi (z combofix oraz sdfix) wklej na wklej.org i podaj link.
          • Gość: Paula Re: Uporczywe okienka !! IP: *.neoplus.adsl.tpnet.pl 31.03.08, 11:26
            wklej.org/id/f73cc191d2
            • Gość: Paula Re: Uporczywe okienka !! IP: *.neoplus.adsl.tpnet.pl 31.03.08, 11:30
              wklej.org/id/52844f04af
              • Gość: Paula Re: Uporczywe okienka !! IP: *.neoplus.adsl.tpnet.pl 31.03.08, 11:48
                atchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by
                Gmer, www.gmer.net
                Rootkit scan 2008-03-31 11:43:38
                Windows 5.1.2600 Dodatek Service Pack 2 NTFS

                scanning hidden processes ...

                scanning hidden services & system hive ...

                scanning hidden registry entries ...

                [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
                NT\CurrentVersion\Windows]
                "AppInit_DLLs"=""
                "DeviceNotSelectedTimeout"="15"
                "GDIProcessHandleQuota"=dword:00002710
                "Spooler"="yes"
                "swapdisk"=""
                "TransmissionRetryTimeout"="90"
                "USERProcessHandleQuota"=dword:00002710
                [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer
                \MenuOrder\Favorites\A\1\5\1c]
                "Order"=hex:08,00,00,00,02,00,00,00,b8,01,00,00,01,00,00,00,04,00,00,
                00,8c,..

                scanning hidden files ...

                scan completed successfully
                hidden processes: 0
                hidden services: 0
                hidden files: 0

                Ten jest robiony w trybie awaryjnym
            • Gość: Paula Re: Uporczywe okienka !! IP: *.neoplus.adsl.tpnet.pl 31.03.08, 11:37
              catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by
              Gmer, www.gmer.net
              Rootkit scan 2008-03-31 11:35:49
              Windows 5.1.2600 Dodatek Service Pack 2 NTFS

              scanning hidden processes ...

              scanning hidden services & system hive ...

              scanning hidden registry entries ...

              [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
              NT\CurrentVersion\Windows]
              "AppInit_DLLs"=""
              "DeviceNotSelectedTimeout"="15"
              "GDIProcessHandleQuota"=dword:00002710
              "Spooler"="yes"
              "swapdisk"=""
              "TransmissionRetryTimeout"="90"
              "USERProcessHandleQuota"=dword:00002710
              [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer
              \MenuOrder\Favorites\A\1\5\1c]
              "Order"=hex:08,00,00,00,02,00,00,00,b8,01,00,00,01,00,00,00,04,00,00,
              00,8c,..

              scanning hidden files ...

              scan completed successfully
              hidden processes: 0
              hidden services: 0
              hidden files: 0

              • Gość: Kolobos Re: Uporczywe okienka !! IP: *.escom.net.pl 31.03.08, 12:31
                Prosilem o log z SDFix zrobiony w trybie awaryjnym, a nie jakies scinki z catchme. Tutaj masz opis i program: cybertrash.pl/images/tata/SDFix.html

                Przy okazji utworz nowy CFScript.txt:

                File::
                C:\4.tmp
                C:\16.tmp
                C:\15.tmp
                C:\14.tmp
                C:\13.tmp
                C:\20.tmp
                C:\WINDOWS\system32\uafddqiu.tmp
                C:\E.tmp

                Zapisz i przeciagnij na combofix jak poprzednio.
                • Gość: Paula Re: Uporczywe okienka !! IP: *.neoplus.adsl.tpnet.pl 31.03.08, 12:52
                  Już się za to biorę porzadnie proszę o cierpliwość dziękuję
    • Gość: "winlog.exe" Re: Uporczywe okienka !! IP: *.neoplus.adsl.tpnet.pl 31.03.08, 00:06
      "winlog.exe" to chyba kontrola rodzicielska program bezpieczeństwa
    • Gość: Paula Re: Uporczywe okienka !! IP: *.neoplus.adsl.tpnet.pl 31.03.08, 13:08
      SDFix: Version 1.165

      Run by admin on 2008-03-31 at 13:00

      Microsoft Windows XP [Wersja 5.1.2600]
      Running From: C:\SDFix

      Checking Services :


      Restoring Windows Registry Values
      Restoring Windows Default Hosts File

      Rebooting


      Checking Files :

      Trojan Files Found:

      C:\13.TMP - Deleted
      C:\14.TMP - Deleted
      C:\15.TMP - Deleted
      C:\16.TMP - Deleted
      C:\20.TMP - Deleted
      C:\4.TMP - Deleted
      C:\E.TMP - Deleted





      Removing Temp Files

      ADS Check :



      Final Check :

      catchme 0.3.1344.2 W2K/XP/Vista - rootkit/stealth malware detector
      by Gmer, www.gmer.net
      Rootkit scan 2008-03-31 13:05:10
      Windows 5.1.2600 Dodatek Service Pack 2 NTFS

      scanning hidden processes ...

      scanning hidden services & system hive ...

      scanning hidden registry entries ...

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
      NT\CurrentVersion\Windows]
      "AppInit_DLLs"=""
      "DeviceNotSelectedTimeout"="15"
      "GDIProcessHandleQuota"=dword:00002710
      "Spooler"="yes"
      "swapdisk"=""
      "TransmissionRetryTimeout"="90"
      "USERProcessHandleQuota"=dword:00002710
      [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer
      \MenuOrder\Favorites\A\1\5\1c]
      "Order"=hex:08,00,00,00,02,00,00,00,b8,01,00,00,01,00,00,00,04,00,00,
      00,8c,..

      scanning hidden files ...

      scan completed successfully
      hidden processes: 0
      hidden services: 0
      hidden files: 0


      Remaining Services :



      Authorized Application Key Export:

      [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\pa
      rameters\firewallpolicy\standardprofile\authorizedapplications\list]
      "%windir%\\system32\\sessmgr.exe"="%windir%\\system32
      \\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
      "C:\\Program Files\\Gadu-Gadu\\gg.exe"="C:\\Program Files\\Gadu-
      Gadu\\gg.exe:*:Enabled:Gadu-Gadu - program g?˘wny"
      "C:\\Program Files\\LimeWire\\LimeWire.exe"="C:\\Program
      Files\\LimeWire\\LimeWire.exe:*:Enabled:LimeWire"
      "C:\\Program Files\\Nero\\Nero 7\\Nero
      ShowTime\\ShowTime.exe"="C:\\Program Files\\Nero\\Nero 7\\Nero
      ShowTime\\ShowTime.exe:*:Enabled:Nero ShowTime Essentials"
      "%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network
      Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

      [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\pa
      rameters\firewallpolicy\domainprofile\authorizedapplications\list]
      "%windir%\\system32\\sessmgr.exe"="%windir%\\system32
      \\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
      "%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network
      Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

      Remaining Files :


      File Backups: - C:\SDFix\backups\backups.zip

      Files with Hidden Attributes :


      Finished!

    • Gość: Paula Re: Uporczywe okienka !! IP: *.neoplus.adsl.tpnet.pl 31.03.08, 13:22
      wklej.org/id/48eed50ac0
      • Gość: Kolobos Re: Uporczywe okienka !! IP: *.escom.net.pl 31.03.08, 13:39
        Juz wszystko wyglada ok.
    • Gość: Paula Re: Uporczywe okienka !! IP: *.neoplus.adsl.tpnet.pl 31.03.08, 13:40
      Zastanawiam się skąd te robale jak ja nie wchodzę na żadne strony
      poza domenami jak onet wp jedynie co to szukam jakiś informacji może
      stąd a komputer jest nowy ma niecały miesiąc i nie ma kto go
      okupować :| no ale musiałam nabroić bo ewidentnie coś się dzieje !
      Dziękuję za pomoc mam nadzieje że tym razem wszystko dobrze zrobiłam

      łatki nie wiem czy mam dobrze i wszystkie zainstalowane ostatnio z
      nimi trochę zaszałałam może stąd problem
      • Gość: Kolobos Re: Uporczywe okienka !! IP: *.escom.net.pl 31.03.08, 13:44
        Widze, ze masz limeware, wiec to nie problem sciagnac z niego jakis "program".
Inne wątki na temat:
Pełna wersja