--> Archiwum Forum
J0lo [ Legendarny Culé ]
Błąd winlogon.exe.
na rysunku przedstawiam błąd mojego windowsa. po kliknięciu kilkukrotnym ok system się resetuje. nie mam pojęcia co to może być, proszę o pomoc. oto co zrobiłem JUŻ:
1) kompa przeskanowałem ad-awar'em, avastem, mks-online i wszystkie żyjątka skasowałem po czym w konsoli odzyskiwania systemu z płyty winxp rozpakowałem podstawowy winlogon.exe.
2) skanowałem pamięć memtestem najnowszym. nic nie wykazało.
3) reinstalowałem system
oczywiście te trzy czynności nie przyniosły efektu. co to do jasnej cholery jest?
Adam9870 [ ]
Przeskanuj programem ewidp:
on jest skuteczniejszy niż te inne... ;-)
Daj log na forum z HijackThis. Po logu zobaczy sie co dokładnie gdzie siedzi i powie sie jak usunąć to :)
J0lo [ Legendarny Culé ]
tu log z hijakthis ( jak błąd jest już aktywny, jeśli to ma jakiekolwiek znaczenie. w razie czego wrzucę zanim wyskakuje jak ktoś stwierdzi że potrzebny )
Logfile of HijackThis v1.99.1
Scan saved at 12:43:54, on 2006-06-04
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Winamp\Winampa.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\Unlocker\UnlockerAssistant.exe
C:\WINDOWS\System32\rpcc.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Konnekt\konnekt.exe
C:\Program Files\Xfire\Xfire.exe
C:\WINDOWS\System32\mdm.exe
C:\WINDOWS\System32\devldr32.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\svchost.exe
C:\totalcmd\TOTALCMD.EXE
C:\DOCUME~1\mateusz\USTAWI~1\Temp\_tc\HIJACK~1.EXE
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: AcroIEHlprObj Class - ‹06849E9F-C8D7-4D59-B87D-784B7D6BE0B3› - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - ‹761497BB-D6F0-462C-B6EB-D4DAF1D92D43› - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: &Radio - ‹8E718888-423F-11D2-876E-00A0C9082467› - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [rpcc] rpcc.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Konnekt] "C:\Program Files\Konnekt\konnekt.exe" /autostart
O4 - Startup: Xfire.lnk = C:\Program Files\Xfire\Xfire.exe
O9 - Extra button: (no name) - ‹08B0E5C0-4FCB-11CF-AAA5-00401C608501› - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - ‹08B0E5C0-4FCB-11CF-AAA5-00401C608501› - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O16 - DPF: ‹6414512B-B978-451D-A0D8-FCFDF33E833C› (WUWebControl Class) -
O16 - DPF: ‹6E32070A-766D-4EE6-879C-DC1FA91D2FC3› (MUWebControl Class) -
O16 - DPF: ‹E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7› (MainControl Class) -
O20 - Winlogon Notify: mszsrn32 - C:\WINDOWS\system32\mszsrn32.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
Adam9870 [ ]
Błąd co wyskoczył możesz podać. A najlepiej sam sprawdź tutaj co on oznacza:
O4 - HKLM\..\Run: [rpcc] rpcc.exe
1. Wyłącz przywracanie systemu
2. Uruchom kompa w awaryjnym
3. Skasuj plik rpcc.exe. Jest on chyba w C:\WINDOWS\System32\. Potem wchodzisz do hijacka wybierasz "Do a system scan only". Pokaże się lista wpisów, zaznaczasz wpis który podałem i klikasz na "Fix checked". Wpis zostanie usunięty.
4. Już w normalnym robisz nowy log i pokazujesz na forum.
Znasz to:
O20 - Winlogon Notify: mszsrn32 - C:\WINDOWS\system32\mszsrn32.dll
bo ja nie znam a informacji w necie o tym nie znalazłem.
Skanowałeś ewido?? Jak nie to przeskauj po zrobieniu tego co wyżej napisałem.
maciek_ssi [ Frets on Fire ]
Znasz to:
O20 - Winlogon Notify: mszsrn32 - C:\WINDOWS\system32\mszsrn32.dll
bo ja nie znam a informacji w necie o tym nie znalazłem.
Serio? oraz
J0lo [ Legendarny Culé ]
Logfile of HijackThis v1.99.1
Scan saved at 14:11:24, on 2006-06-04
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Winamp\Winampa.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\Unlocker\UnlockerAssistant.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Konnekt\konnekt.exe
C:\Program Files\Xfire\Xfire.exe
C:\WINDOWS\System32\mdm.exe
C:\WINDOWS\System32\devldr32.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\ewido anti-malware\ewidoguard.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\totalcmd\TOTALCMD.EXE
C:\DOCUME~1\mateusz\USTAWI~1\Temp\_tc\HIJACK~1.EXE
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: AcroIEHlprObj Class - ‹06849E9F-C8D7-4D59-B87D-784B7D6BE0B3› - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - ‹761497BB-D6F0-462C-B6EB-D4DAF1D92D43› - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: &Radio - ‹8E718888-423F-11D2-876E-00A0C9082467› - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Konnekt] "C:\Program Files\Konnekt\konnekt.exe" /autostart
O4 - Startup: Xfire.lnk = C:\Program Files\Xfire\Xfire.exe
O9 - Extra button: (no name) - ‹08B0E5C0-4FCB-11CF-AAA5-00401C608501› - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - ‹08B0E5C0-4FCB-11CF-AAA5-00401C608501› - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O16 - DPF: ‹6414512B-B978-451D-A0D8-FCFDF33E833C› (WUWebControl Class) -
O16 - DPF: ‹6E32070A-766D-4EE6-879C-DC1FA91D2FC3› (MUWebControl Class) -
O16 - DPF: ‹E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7› (MainControl Class) -
O20 - Winlogon Notify: mszsrn32 - C:\WINDOWS\system32\mszsrn32.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
przeskanowane, nic nie pokazało...
Adam9870 [ ]
maciek_ssi => Na google szukałem całego wpisu a nie pliku i nic wtedy nie znalazło.
Na tej stronie do której podałes link jest napisane, że ten plik to jakiś malware a dokładnie to jest od Worm Banwarum.
J0lo => W logu widze, że już nie ma tamtego pliku i wpisu co mówiłem usunąć. Usuń jeszcze ten wpis O20 oraz plik co tam jest. Instrukcje usuwania masz we wcześniejszym moim poście.
Jak usuniesz to sprawdź czy znowu będą te błędy się pokazywać...
J0lo [ Legendarny Culé ]
po restarcie ( nie w trakcie skanowania ) ewido sam znalazł to coś jako worm'a.
działa chyba już godzinę bez błędu winlogon'a więc chyba sobie poradziłem... ale nie mówię hop...
Adam9870 [ ]
Ewido jest głównie do wykrywania malware, a inne programy takie jak ad-aware to nie wykrywają raczej tego. A ewido jest bardzo skuteczny ;-)
Myślę, że te wszystkie błędy właśnie ten worm powodował więc po usunięciu jego powinno być juz ok. Jak nie będzie (w co wątpię :P) to pozostaje chyba tylko podmiana pliku przez konsolę odzyskiwania na orginalny. Ale myślę, że to nie będzie potrzebne :-)