[Axegrinder]

Karbon göre, bir virüs olabilir.

Logfile Trend Micro HijackThis v2.0.2 ve
Tarama 16:49:26 at 14/02/2008 kaydedilmiş
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot modu: Normal
Çalışan süreçleri:
C: \ WINDOWS \ System32 \ Smss.exe
C: \ WINDOWS \ system32 \ winlogon.exe
C: \ WINDOWS \ system32 \ Services.exe
C: \ WINDOWS \ system32 \ lsass.exe
C: \ WINDOWS \ system32 \ svchost.exe
C: \ WINDOWS \ System32 \ svchost.exe
C: \ WINDOWS \ system32 \ spoolsv.exe
C: \ progra ~ 1 \ intern Grisoft \ AVG7 \ avgamsvr.exe
C: \ progra ~ 1 \ intern Grisoft \ AVG7 \ avgupsvc.exe
C: \ progra ~ 1 \ intern Grisoft \ AVG7 \ avgemc.exe
C: \ Program Files \ Common \ Google Updater \ googleupdaterservice.exe
C: \ WINDOWS \ system32 \ nvsvc32.exe
C: \ WINDOWS \ system32 \ svchost.exe
C: \ Program Files \ Linksys Wireless-G USB Kablosuz Ağ İzleyicisi \ WLService.exe
C: \ Program Files \ Linksys Wireless-G USB Kablosuz Ağ İzleyicisi \ WUSB54GSv2.exe
C: \ WINDOWS \ Explorer.EXE
C: \ WINDOWS \ RTHDCPL.EXE
C: \ Program Files \ Java \ jre1.6.0_03 \ bin \ jusched.exe
C: \ WINDOWS \ tsnp2std.exe
C: \ WINDOWS \ vsnp2std.exe
C: \ progra ~ 1 \ intern Grisoft \ AVG7 \ avgcc.exe
C: \ WINDOWS \ system32 \ Rundll32.exe
C: \ Program Files \ MSN Messenger \ msnmsgr.exe
C: \ WINDOWS \ system32 \ ctfmon.exe
C: \ Program Files \ Google Updater \ GoogleUpdater.exe
C: \ Program Files \ MessengerDiscovery \ MessengerDiscovery Live.exe
C: \ WINDOWS \ System32 \ svchost.exe
C: \ Program Files \ MSN Messenger \ usnsvc.exe
C: \ Program Files \ Internet Explorer \ iexplore.exe
C: \ Program Files \ Common Files \ Microsoft Shared \ Windows Live \ WLLoginProxy.exe
C: \ Program Files \ Trend Micro \ HijackThis \ sniper.exe

R0 - HKCU \ Software \ Microsoft \ Internet Explorer \ Main, Start Page = http://www.google.co.uk/
R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Int ernet Ayarlar, ProxyServer = webcache.virginmedia.com: 3.128
O2 - BHO: Adobe PDF Reader Link Helper - (06849E9F-C8D7-4D59-B87D-784B7D6BE0B3) - C: \ Program Files \ Common Files \ Adobe \ Acrobat \ ActiveX \ AcroIEHelper.dll
O2 - BHO: Spybot-S & D IE Protection - (53707962-6F74-2D53-2644-206D7942484F) - C: \ progra ~ 1 \ intern Spybot ~ 1 \ SDHelper.dll
O2 - BHO: SSVHelper Sınıf - (761497BB-D6F0-462C-B6EB-D4DAF1D92D43) - C: \ Program Files \ Java \ jre1.6.0_03 \ bin \ ssv.dll
O2 - BHO: Windows Live Sign-Yardımcı yılında - (9030D464-4C02-4ABF-8ECC-5164760863C6) - C: \ Program Files \ Common Files \ Microsoft Shared \ Windows Live \ WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - (AA58ED58-01DD-4d91-8333-CF10577473F7) - c: \ Program Files \ googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - (AF69DE43-7D58-4638-B6FA-CE66B5AD205D) - C: \ Program Files \ GoogleToolbarNotifier \ 2.1.1119.1736 \ wg.dll var
O3 - Toolbar: & Google - (2318C2B1-4965-11D4-9B18-009027A5CD4F) - c: \ Program Files \ googletoolbar1.dll
O4 - HKLM \ .. \ Run: [NvCplDaemon] Rundll32.exe C: \ WINDOWS \ system32 \ NvCpl.dll, NvStartup
O4 - HKLM \ .. \ Run: [nwiz] nwiz.exe / yüklemek
O4 - HKLM \ .. \ Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM \ .. \ Run: [Alcmtr] alcmtr.exe
O4 - HKLM \ .. \ Run: [SunJavaUpdateSched] "C: \ Program Files \ Java \ jre1.6.0_03 \ bin \ jusched.exe"
O4 - HKLM \ .. \ Run: [] tsnp2std C: \ Windows \ tsnp2std.exe
O4 - HKLM \ .. \ Run: [] snp2std C: \ Windows \ vsnp2std.exe
O4 - HKLM \ .. \ Run: [QuickTime Task] "C: \ Program Files \ QuickTime \ qttask.exe"-atboottime
O4 - HKLM \ .. \ Run: [NeroFilterCheck] C: \ WINDOWS \ system32 \ NeroCheck.exe
O4 - HKLM \ .. \ Run: [AVG7_CC] C: \ progra ~ 1 \ intern Grisoft \ AVG7 \ avgcc.exe / Başlangıç
O4 - HKLM \ .. \ Run: [NvMediaCenter] Rundll32.exe C: \ WINDOWS \ system32 \ NvMcTray.dll, NvTaskbarInit
O4 - HKLM \ .. \ Run: [Adobe Reader Speed Launcher] "C: \ Program Files \ Adobe \ Reader 8,0 \ Reader \ Reader_sl.exe"
O4 - HKCU \ .. \ Run: [MsnMsgr] "C: \ Program Files \ MSN Messenger \ msnmsgr.exe" / arka plan
O4 - HKCU \ .. \ Run: [ctfmon.exe] C: \ WINDOWS \ system32 \ ctfmon.exe
O4 - HKCU \ .. \ Run: [SWG] C: \ Program Files \ GoogleToolbarNotifier \ GoogleToolbarNo tifier.exe
O4 - HKUS \ S-1-5-19 \ .. \ Run: [Ctfmon.exe] C: \ WINDOWS \ system32 \ Ctfmon.exe (User 'LOCAL SERVICE')
O4 - HKUS \ S-1-5-19 \ .. \ Run: [AVG7_Run] C: \ progra ~ 1 \ intern Grisoft \ AVG7 \ avgw.exe / RunOnce (User 'LOCAL SERVICE')
O4 - HKUS \ S-1-5-20 \ .. \ Run: [Ctfmon.exe] C: \ WINDOWS \ system32 \ Ctfmon.exe (User 'NETWORK SERVICE')
O4 - HKUS \ S-1-5-18 \ .. \ Run: [Ctfmon.exe] C: \ WINDOWS \ system32 \ Ctfmon.exe (Kullanıcı 'SİSTEM')
O4 - HKUS \. DEFAULT \ .. \ Run: [Ctfmon.exe] C: \ WINDOWS \ system32 \ Ctfmon.exe (Kullanıcı 'Varsayılan kullanıcı')
O4 - Global Startup: Google Updater.lnk = C: \ Program Files \ Google Updater \ GoogleUpdater.exe
O4 - Global Startup: Microsoft Office.lnk = C: \ Program Files \ Microsoft Office \ Office \ OSA9.EXE
O9 - Extra düğmesi: (no name) - (08B0E5C0-4FCB-11CF-AAA5-00401C608501) - C: \ Program Files \ Java \ jre1.6.0_03 \ bin \ ssv.dll
O9 - Extra 'Tools' MENUITEM: Sun Java Console - (08B0E5C0-4FCB-11CF-AAA5-00401C608501) - C: \ Program Files \ Java \ jre1.6.0_03 \ bin \ ssv.dll
O9 - Extra button: Paltalk - (4EAFEF58-EEFA-4116-983D-03B49BCBFFFE) - C: \ Program Files \ Paltalk Messenger \ Paltalk.exe
O9 - Extra düğmesi: (no name) - (DFB852A3-47F8-48C4-A200-58CAB36FD2A2) - C: \ progra ~ 1 \ intern Spybot ~ 1 \ SDHelper.dll
O9 - Extra 'Tools' MENUITEM: Spybot - Search & Destroy Configuration - (DFB852A3-47F8-48C4-A200-58CAB36FD2A2) - C: \ progra ~ 1 \ intern Spybot ~ 1 \ SDHelper.dll
O9 - Extra düğmesi: (no name) - (e2e2dd38-d088-4134-82b7-f2ba38496583) - C: \ WINDOWS \ Network Diagnostic \ xpnetdiag.exe
O9 - Extra 'Tools' MENUITEM: @ xpsp3res.dll, -20001 - (e2e2dd38-d088-4134-82b7-f2ba38496583) - C: \ WINDOWS \ Network Diagnostic \ xpnetdiag.exe
O9 - Extra düğmesi: Messenger - (FB5F1910-F110-11D2-BB9E-00C04F795683) - C: \ Program Files \ Messenger \ msmsgs.exe
O9 - Extra 'Tools' MENUITEM: Windows Messenger - (FB5F1910-F110-11D2-BB9E-00C04F795683) - C: \ Program Files \ Messenger \ msmsgs.exe
O16 - DPF: (0E5F0222-96B9-11D3-8997-00104BD12D94) (PCPitstop Utility) -- http://pcpitstop.com/pcpitstop/PCPitStop.CAB
O16 - DPF: (48DD0448-9209-4F81-9F6D-D83562940134) (YouTube Yükleyiciyi Kontrol) -- http://lads.myspace.com/upload/MySpaceUploader1005.cab
O16 - DPF: (A90A5822-F108-45AD-8482-9BC8B12DD539) (Crucial cpcScan) -- http://www.crucial.com/controls/cpcScanner.cab
O16 - DPF: (C3F79A2B-B9B4-4A66-B012-3EE46475B072) (MessengerStatsClient Sınıf) -- http://messenger.zone.msn.com/binary...t.cab56907.cab
O16 - DPF: (DF780F87-FF2B-4DF8-92D0-73DB16A1543A) (PopCapLoader Nesne) -- http://www.shockwave.com/content/bej...loader_v10.cab
O16 - DPF: (E8F628B5-259A-4734-97EE-BA914D7BE941) (Driver Agent ActiveX Control) -- http://driveragent.com/files/driveragent.cab
O16 - DPF: (F5A7706B-B9C0-4C89-A715-7A0C6B05DD48) (mayın tarama gemisi Flags Class) -- http://messenger.zone.msn.com/binary...r.cab56986.cab
O17 - HKLM \ System \ CCS \ Services \ Tcpip \ .. \ (5DE0FB69-1D9B-48DC-83CC-D71DA02E6BAB): NameServer = 208.67.222.222,208.67.220.220
O23 - Service: AVG7 Uyarısı Müdürü Server (Avg7Alrt) - GRISOFT, sro - C: \ progra ~ 1 \ intern Grisoft \ AVG7 \ avgamsvr.exe
O23 - Service: AVG7 Güncelleme Servisi (Avg7UpdSvc) - GRISOFT, sro - C: \ progra ~ 1 \ intern Grisoft \ AVG7 \ avgupsvc.exe
O23 - Service: AVG E-posta Tarayıcısı (AVGEMS) - GRISOFT, sro - C: \ progra ~ 1 \ intern Grisoft \ AVG7 \ avgemc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C: \ Program Files \ Common \ Google Updater \ googleupdaterservice.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C: \ WINDOWS \ system32 \ nvsvc32.exe
O23 - Service: WUSB54GSv2SVC - GEMTEKS - C: \ Program Files \ Linksys Wireless-G USB Kablosuz Ağ İzleyicisi \ WLService.exe
--
Dosya sonu - 7.776 bayt

[evilfantasy]

Windows hataları winlogon.exe ilgili?

winlogon.exe bir süreç Windows oturum yöneticisi ait. Sizin sisteminize giriş ve çıkış işlemleri ele alır. Bu program, istikrarlı ve bilgisayarınızın çalışan güvenli ve sona gerektiğini için önemlidir.


Ben günlük bir şey görmüyorum ama çift kontrol için SUPERAntiSpyware çalışmalıdır.

[Axegrinder]

Iyi SAS hiç bir tanımlama izleme sadece bir sürü şey büyük algılar.

[evilfantasy]

Sana her zaman daha fazla durabilmek biliyorum. bu yüzden de görünebilir winlogon.exe malware tarafından explioted olduğunu.

Lütfen indirmek Combofix subs tarafından birini bağlantılar altı.
() Her üç gerekirse deneyin

• Bağlantı # 1
• Bağlantı # 2
• Bağlantı # 3

Önemli! Combofix.exe MUST kaydedilir ve gelen koştum Masaüstü.

• Kapat açık Web tarayıcıları. (Firefox, Internet Explorer vb) Combofix başlamadan önce.
• Önemli! Geçici devre dışı bırakmak senin antivirüs, script engelleme ve AntiSpyware gerçek zamanlı koruma önce bir tarama yapmak.
  • Tıklayın Bu bağlantıyı güvenlik programları ve engelli gerektiğini nasıl devre dışı bırakmak için bir listesini görebilirsiniz.
  • Sizinki listelenmemişse ve nasıl devre dışı bırakmak için bilmiyorsanız, lütfen rica ediyoruz.
• Uyarı: Combofix internetten bilgisayarınıza bırakır. Bağlantı otomatik olarak Combofix kendi çalıştırmak tamamlar önce geri yüklenir.
• Combofix.exe çift tıklayın ve talimatları izleyin.
  • Klavye Gönderen seçin 1 ve Girin
• Bittiğinde, bu sizin için bir giriş oluşturur.
• Post ki gelecek cevap giriş.

Uyarı: Do mouseclick değil combofix pencere iken çalışıyor. İşte bu geciktirmek neden olabilir

• Eğer Combofix zorluk olarak çalışır ve erken fesholur, bağlantı el bilgisayarınızı yeniden başlatarak geri yüklenebilir.
• Önemli: Yeniden hatırla etkinleştirmek virüsten koruma ve AntiSpyware Internet'e yeniden önce.

----------

Sonraki yazı
Combofix giriş

[Axegrinder]

Üzgünüz.

Yanlış bir şey yaptım

Bear with me

[evilfantasy]

Sen ComboFix yanlış yüklenmiş. It ZORUNLU masaüstüne kaydedilir.
Lütfen bunu.
Başlat> Çalıştır> kopya ve kutu ve tıkırtı yapıştırın ComboFix / u Tamam.
ComboFix Masaüstü için kurtarma konsolu yüklemek için doğru indirin.

• Bağlantı # 1
• Bağlantı # 2
• Bağlantı # 3

Artık, Windows Kurtarma Konsolu'nu yüklemek olduğunu gösteriyor. Windows kurtarma konsolu bizi halinde bilgisayarınıza kötü amaçlı yazılım bir çalıştığınız kaldırma sonra bir sorun size yardım sağlayan bir özel kurtarma moduna size önyükleme kadar sağlar.

Microsoft'un web sitesi buradan git -> http://support.microsoft.com/kb/310994

Seçin indirmek sizin İşletim Sistemi uygun



Yükleme dosya ve kaydetmek olarak orijinal adlı, ComboFix.exe yanında.



Şimdi tüm açık pencereleri ve programları kapatın.
ComboFix.exe üzerine kurulum paketi Sürükle ve bırak.
Ve ComboFix başlamak için zaman istenir istemleri, izleyin Son Kullanıcı Lisans Anlaşması, Microsoft Kurtarma Konsolu'nu yüklemek için kabul ediyorum.
Ne zaman, bir günlük isimli tam CF_RC.txt açılacaktır.
Lütfen bir sonraki yanıtınıza günlük bulunmayan sonrası.

Rehber için Bleeping Bilgisayar teşekkürler.


Ayrıca, ben bir malware sanmıyorum.

[Axegrinder]

Bu mu?


WindowsXP-KB310994-SP2-Ev-Bootdisk-TRK.exe
[boot loader]
timeout = 2
default = multi (0) disk (0) rdisk (0) partition (1) \ WINDOW S
[operating systems]
multi (0) disk (0) rdisk (0) partition (1) \ WINDOWS = "Micro yumuşak, Windows XP Home Edition" / noexecute = OptIn / fastdetect
C: \ Cmdcons \ BOOTSECT.DAT = "Microsoft Windows Kurtarma Konsolu" / cmdcons

[evilfantasy]

Thats it. Şimdi kurtarma yüklü yapabilmektedirler.