|
Pop up ikkunat pomppii silmille ja kone varottelee viruksesta...Hjt loki
|
|
AfterDawn Addict
|
11. maaliskuuta 2006 @ 15:18 |
Linkki tähän viestiin
|
|
Winlogon.exe on windowsin oma tiedosto, voi päästää nettiin.
|
|
sg552
Suspended due to non-functional email address
|
11. maaliskuuta 2006 @ 15:21 |
Linkki tähän viestiin
|
|
mut mistäs kaikki ylimääräset ohjelmat ilmesty työpöydälle? ja miten joku käytti konetta netin kautta...mun mielestä sen winlogon kautta...
siis kun mää hyväksyin lopullisesti sen winlogon.exe:n niin sen jälkeen alko tuleen viruksia ja niitä ohjelmia
|
Senior Member
|
11. maaliskuuta 2006 @ 15:30 |
Linkki tähän viestiin
|
|
Näkyykö winlogonin pyrkiessä nettiin sen sijaintia? Sais siitä pääteltyy voiko päästää..
ASAP & UNITE member since 2006
 |
|
sg552
Suspended due to non-functional email address
|
12. maaliskuuta 2006 @ 04:27 |
Linkki tähän viestiin
|
|
File Version : 5.1.2600.1557
File Description : Windows NT -kirjaus (winlogon.exe)
File Path : C:\WINDOWS\system32\winlogon.exe
Process ID : 0x2F0 (Heximal) 752 (Decimal)
Connection origin : local initiated
Protocol : TCP
Local Address : 81.197.10.56
Local Port : 1792
Remote Name : kitehosting.com
Remote Address : 85.255.113.234
Remote Port : 80 (HTTP - World Wide Web)
|
|
viljami22
Newbie
|
12. maaliskuuta 2006 @ 05:32 |
Linkki tähän viestiin
|
|
Mun mielestä sitä winlogon.exe ei saa päästää nettiin. Kun mullakaan ei koskaan ole halunnu ko exe mennä nettiin, mutta nyt kun tuli spyfalcon alko se halaan nettiin. Enkä kyllä päästäny. Mietin tossa sellasta että jos toi mato on ottanu ja tehny sulle uuden käyttäjän, ja piilottanu sen, ja kun winlogon.exe päästetään nettiin, niin sitä kauttahan on mahdollista vaikka piilomapata sun c:/>
Eli jos tuo winlogon exe viellä hakkaa ulos, niin koneella täytyy olla viellä jotain joka käskettää ko exe:ä nettiin...
Iteltä kun sain läppäriltä örkit pois, heitti ko filu haluamasta nettiin... Joten minä en kyllä tuota filua nettiin päästäis.
|
AfterDawn Addict
|
12. maaliskuuta 2006 @ 06:25 |
Linkki tähän viestiin
|
Hmmm tuo mihin se pyrkii viittaa wareouttiin.
Tee varoiksi näin:
Hae fixwareout -> http://downloads.subratam.org/Fixwareout.exe
Tallenna johonkin hakemistoon ja käynnistä se. Seuraa ohjeita, käynnistä kone uudestaan kun fixi pyytää sitä. Fixi avaa HjT:n. Sulje se.
Lähetä uusi HjT-loki ja C:\fixwareout\report.txt-tiedoston sisältö tänne.
|
|
sg552
Suspended due to non-functional email address
|
12. maaliskuuta 2006 @ 06:58 |
Linkki tähän viestiin
|
|
laitoin ton fixin päälle ja käynnistin koneen uudelleen...sitten kun pääsin työpöydälle niin huomasin että roskakoriin oli ilmestyny jotain...sielä oli fixin report.txt ?
Fixwareout ver 1.003
Last edited 2/15/2006
Post this report in the forums please
Reg Entries that were deleted
...
Random Runs removed from HKLM
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
...
|
|
sg552
Suspended due to non-functional email address
|
12. maaliskuuta 2006 @ 07:00 |
Linkki tähän viestiin
|
tässä on vielä uusi hjt loki
Logfile of HijackThis v1.99.1
Scan saved at 11:58:49, on 12.3.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sygate\SPF\smc.exe
C:\Program Files\DigitalPersona\Bin\DPWinLct.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Symantec AntiVirus\DefWatch.exe
C:\Program Files\DigitalPersona\Bin\DpHost.exe
C:\Program Files\ewido\security suite\ewidoctrl.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\oodag.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Symantec AntiVirus\Rtvscan.exe
C:\Program Files\DigitalPersona\Bin\DPFUSMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
D:\Plus!\MsgPlus.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\Program Files\PeerGuardian2\pg2.exe
D:\Program Files\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\Hjt\HijackThis.exe
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [MessengerPlus3] "D:\Plus!\MsgPlus.exe"
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKCU\..\Run: [PeerGuardian] C:\Program Files\PeerGuardian2\pg2.exe
O4 - HKCU\..\Run: [AWMON] "D:\Program Files\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe"
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O8 - Extra context menu item: Vie Microsoft E&xceliin - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Oheistiedot - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/cl...
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O20 - Winlogon Notify: DPWLN - C:\WINDOWS\System32\DPWLEvHd.dll
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
O23 - Service: Windows XP FUS Manager (DPFUSMgr) - DigitalPersona, Inc. - C:\Program Files\DigitalPersona\Bin\DPFUSMgr.exe
O23 - Service: Biometric Authentication Service (DpHost) - DigitalPersona, Inc. - C:\Program Files\DigitalPersona\Bin\DpHost.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\System32\oodag.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2005.SR3\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2005.SR3\RpcSandraSrv.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\SSScsiSV.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe
|
AfterDawn Addict
|
12. maaliskuuta 2006 @ 07:15 |
Linkki tähän viestiin
|
|
Nuo on ok. Sen takia vaan varmistin, kun winlogon.exe pyrkii ip:hen, mistä tulee wareouttia.
|
|
sg552
Suspended due to non-functional email address
|
12. maaliskuuta 2006 @ 07:23 |
Linkki tähän viestiin
|
|
mitä on wareout?
|
AfterDawn Addict
|
12. maaliskuuta 2006 @ 07:28 |
Linkki tähän viestiin
|
|
|
|
sg552
Suspended due to non-functional email address
|
12. maaliskuuta 2006 @ 07:33 |
Linkki tähän viestiin
|
|
onnistuko muutes se fixi? onko enään mitään koneella?
|
AfterDawn Addict
|
12. maaliskuuta 2006 @ 07:39 |
Linkki tähän viestiin
|
|
Tuon mukaan sitä wareouttia ei ollut koneellasi :) Molemmat lokit on ok.
Tuolla kitehosting.comissa on vaan örkkejä, jota joku toinen örkki voi yrittää ladata.
|
|
sg552
Suspended due to non-functional email address
|
12. maaliskuuta 2006 @ 07:42 |
Linkki tähän viestiin
|
|
hyvä juttu...pitäs ladata escan, mutta en vaan saa sitä mbnetin sivulta...lataa vaan sitä sivua ja mitään ei tapahdu?
|
AfterDawn Addict
|
12. maaliskuuta 2006 @ 07:44 |
Linkki tähän viestiin
|
|
|
|
Mainos
|
|
|
|
sg552
Suspended due to non-functional email address
|
12. maaliskuuta 2006 @ 07:52 |
Linkki tähän viestiin
|
|
skannaan viel kaikilla ohjelmilla tän koneen, jos tulee viel jotain niin
tuun sitten kertoon asiasta
Kiitos kaikille! :)
|
