Uszkodzony tryb awaryjny, podmieniony lub zainfekowany winlogon.exe

[atasuke]

Witam

Przechodzę od razu do rzeczy. Od dłuższego czasu w przeglądarce Firefox  panoszyła się infekcja sweet - page. Kiedy stała się bardzo uciążliwa  zacząłem szukać na Google jak ją usunąć.

Znalazłem poradnik http://malwaretips.com/blogs/sweet-page-com-removal/  i postępowałem wedle kroków tam opisanych. ale gdy chciałem wykonać step 4 ,3 razy zawieszał się Adwcleaner.

I dałem sobie spokój i zrobiłem logi z FRST coś było nie tak bo zauważyłem  że przy sprawdzaniu sum kontrolnych pliku :

 

C:\Windows\system32\winlogon.exe
[2014-05-15 14:44] - [2014-03-04 11:17] - 0304128 ____A (Microsoft Corporation) 998507B046BA314CE8245364C686FA67

 

stąd nawiązanie w temacie.

Po resecie komputera zauważyłem że wyskoczył ekran o który normalnie służy do włączenia trybu awaryjnego ale on był jakiś inny. Wszystko pisało po angielsku oraz nie dało się wybrać żadnej z opcji którą prezentował szedł tylko licznik na dole ekranu. I gdy doszedł do zera Windows uruchomił się normalnie ale na czas wykonania odliczania brak możliwości jakiejkolwiek reakcji.

Prezentuje logi które sporządziłem oraz dołączę logi z Adwcleanera którego nie potrzebnie pewnie uruchomiałem. Ale myślałem że to tylko prosta infekcja sweet page o ile można ją nazwać prostą.

OTL

OTL.Txt

Extras.Txt

FRST

FRST.txt

Addition.txt

Shortcut.txt

 

Gmer tu pojawia się dość poważny problem ponieważ  preskan przechodzi ładnie nie zgłasza modyfikacji ale gdy dam szukaj zaczyna  zaważyłem duża ilość pytajników po czym od razu wywala blue screen. Nie mogę zrobić w awaryjnym skanowania bo nie działa a preskan nic nie zgłasza. Dlatego nie dołączam tego loga.

oraz

Adwcleaner 

AdwCleanerR0.txt

AdwCleanerR1.txt

AdwCleanerR2.txt

 

 

 

 

 

[picasso]

coś było nie tak bo zauważyłem że przy sprawdzaniu sum kontrolnych pliku

Winlogon jest w porządku, to plik pochodzący z jednej z ostatnich aktualizacji (KB2871997). FRST ma statycznie aktualizowaną bazę sum kontrolnych MD5, więc każda aktualizacja Windows to kłopot i przymus uzupełniania danych. Te znaczniki "MD5 is legit" to tylko drobna pomoc dla mniej obeznanych pomocników, którzy nie potrafią ocenić samodzielnie sumy i określić skąd pochodzi ta szczególna wersja pliku. I jeszcze porównaj polskie systemy XP - tam żaden z plików nie ma potwierdzenia "MD5 is legit", bo XP w przeciwieństwie do nowszych platform ma różne pliki zależne od języka edycji (na systemach Vista + pliki są identyczne). Autor uwględniał tylko anglojęzyczny system. A ja się nawet nie kłopoczę, by zgłaszać sumy kontrolne XP PL, bo widzę bezsens tej roboty, XP jest na wylocie.

 

 

Po resecie komputera zauważyłem że wyskoczył ekran o który normalnie służy do włączenia trybu awaryjnego ale on był jakiś inny. Wszystko pisało po angielsku oraz nie dało się wybrać żadnej z opcji którą prezentował szedł tylko licznik na dole ekranu. I gdy doszedł do zera Windows uruchomił się normalnie ale na czas wykonania odliczania brak możliwości jakiejkolwiek reakcji.

Nic mi to nie mówi. Ale przemiana polskojęzycznego ekranu w anglojęzyczny sugerowałaby podmianę plików bootloadera. Czy ponowna próba startu do Trybu awaryjnego wykazuje te same cechy?

 

 

Od dłuższego czasu w przeglądarce Firefox panoszyła się infekcja sweet - page. (...) gdy chciałem wykonać step 4 ,3 razy zawieszał się Adwcleaner.

Te dostarczone logi AdwCleaner nie zgadzają się z tym co jest w raportach FRST/OTL. Określonych rzeczy już nie ma. Ale tu jest więcej niepożądanych elementów. Pomijając odpadkowy czynny sterownik adware ({55685567-4840-4a91-962b-49a412e9485a}Gw.sys), w systemie działa niechciane proxy SysTLP zainstalowane wraz z downloaderem sterowników i sypie błędami:

 

Application errors:

==================

Error: (05/29/2014 05:20:15 PM) (Source: Application Error) (EventID: 1000) (User: )

Description: Nazwa aplikacji powodującej błąd: sysTPLService.exe, wersja: 1.4.1.7, sygnatura czasowa: 0x5348ed87

Nazwa modułu powodującego błąd: KERNELBASE.dll, wersja: 6.1.7601.18409, sygnatura czasowa: 0x531599f6

Kod wyjątku: 0xe0434f4d

Przesunięcie błędu: 0x0000812f

Identyfikator procesu powodującego błąd: 0x%9

Godzina uruchomienia aplikacji powodującej błąd: 0xsysTPLService.exe0

Ścieżka aplikacji powodującej błąd: sysTPLService.exe1

Ścieżka modułu powodującego błąd: sysTPLService.exe2

Identyfikator raportu: sysTPLService.exe3
 

System errors:

=============

Error: (05/29/2014 05:20:18 PM) (Source: Service Control Manager) (EventID: 7009) (User: )

Description: Upłynął limit czasu (120000 ms) podczas oczekiwania na połączenie się z usługą sysTPLService.

 

Czyli na teraz do wykonania:

 

1. Zaktualizuj FRST (jest nowsza wersja). Otwórz Notatnik i wklej w nim:

 

(Tlapia) C:\Program Files\sysTPL\sysTPLMonitor.exe
R2 sysTPLMonitor.exe; C:\Program Files\sysTPL\sysTPLMonitor.exe [392984 2014-04-13] (Tlapia)
S2 sysTPLService.exe; C:\Program Files\sysTPL\sysTPLService.exe [394520 2014-04-13] (Tlapia)
R1 {55685567-4840-4a91-962b-49a412e9485a}Gw; C:\Windows\System32\drivers\{55685567-4840-4a91-962b-49a412e9485a}Gw.sys [52920 2014-05-26] (StdLib)
S3 BRSptSvc; "C:\programdata\bitraider\BRSptSvc.exe" [X]
S3 BRDriver; \??\C:\programdata\bitraider\BRDriver.sys [X]
HKU\S-1-5-21-3471368258-3413815123-251901639-1000\...\Run: [MyCuteBuddy] => "C:\Program Files\My Cute Buddy\myCuteBuddy.exe" "file:///C:/Program Files/My Cute Buddy/Content/Cute Kitty/piticho.buddy" /m /u
HKU\S-1-5-21-3471368258-3413815123-251901639-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\Run: [MyCuteBuddy] => "C:\Program Files\My Cute Buddy\myCuteBuddy.exe" "file:///C:/Program Files/My Cute Buddy/Content/Cute Kitty/piticho.buddy" /m /u
SearchScopes: HKLM - DefaultScope value is missing.
C:\Windows\System32\drivers\{55685567-4840-4a91-962b-49a412e9485a}Gw.sys
C:\Users\Albert\Downloads\IrfanView(12867).exe
Task: {0AE8B980-6440-4479-9289-6A4566173F9D} - System32\Tasks\WOT WFRI1 => Firefox.exe http://mmotraffic.com/catalog/goplay/1327/MTE3NjYvLy8xMzI3/
Task: {2592DD56-6669-4DFD-8D2B-ABDDE888A886} - System32\Tasks\WOT WW1 => Firefox.exe http://mmotraffic.com/catalog/goplay/1327/MTE3NjYvLy8xMzI3/
Task: {2626E990-FCD6-4F2F-8D58-55FB486E5A26} - System32\Tasks\WOT W1 => Firefox.exe http://mmotraffic.com/catalog/goplay/1327/MTE3NjYvLy8xMzI3/
Task: {4400D820-6067-425D-9967-5306C514F7E7} - System32\Tasks\WOT WTHUR1 => Firefox.exe http://mmotraffic.com/catalog/goplay/1327/MTE3NjYvLy8xMzI3/
Task: {5295F8A2-2C50-43BC-8344-41E6A7C65F64} - System32\Tasks\WOT WMON1 => Firefox.exe http://mmotraffic.com/catalog/goplay/1327/MTE3NjYvLy8xMzI3/
Task: {9E094C02-1E32-482D-B884-262C520D8245} - System32\Tasks\WOT T => Firefox.exe http://mmotraffic.com/catalog/goplay/1327/MTE3NjYvLy8xMzI3/
Task: {A0E780B5-9010-4403-BC90-25B8B34517A8} - System32\Tasks\WOT WW2 => Firefox.exe http://mmotraffic.com/catalog/goplay/1327/MTE3NjYvLy8xMzI3/
Task: {EFBAB020-B459-4CDC-8F4C-8F0205513500} - System32\Tasks\WOT WTUE1 => Firefox.exe http://mmotraffic.com/catalog/goplay/1327/MTE3NjYvLy8xMzI3/
Task: {F2F49C7B-29B1-4A6F-9D46-4B1242ED3A7E} - System32\Tasks\WOT WWED1 => Firefox.exe http://mmotraffic.com/catalog/goplay/1327/MTE3NjYvLy8xMzI3/
Task: {FEE3A67C-A0F7-4011-8D70-77BB8A348D3C} - System32\Tasks\WOT W2 => Firefox.exe http://mmotraffic.com/catalog/goplay/1327/MTE3NjYvLy8xMzI3/
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
CMD: netsh advfirewall reset
Reboot:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Przez Panel sterowania odinstaluj te niepożądane lewizny Download your driver, sysTPL (zainstalowane razem) oraz zbędnik Akamai NetSession Interface.

 

3. AdwCleaner błędnie naprawił poniższy skrót (utrata specjalnego atrybutu):

 

Shortcut: C:\Users\Albert\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation)

 

W pasku adresów eksploratora wklej ścieżkę C:\Users\Albert\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff

 

4. Uruchom TFC - Temp Cleaner.

 

5. Zrób nowy log FRST z opcji Scan, ale zaznacz opcje List BCD i Addition. Dołącz też plik fixlog.txt.

 

 

 

.

[atasuke]

Czy ponowna próba startu do Trybu awaryjnego wykazuje te same cechy?

Tak wykazuje takie same cechy . Na dowód załączam foto tego  menu:

http://zapodaj.net/03ca05e0e3aa3.png.html

Wyskakuje to za każdym razem jak naciskam F8 by wejść w tryb awaryjny.

Dodaje logi z FRST

FRST.txt

Addition.txt

Fixlog.txt

 

resztę podpunktów wykonałem i nie było żadnych problemów z ich wykonaniem.

[picasso]

Zadania wykonane, minimalne cyzelowanie potem. W kwestii ekranu odzyskiwania po błędzie:

 

1. Jeśli chodzi o niemożność wyboru opcji na tym ekranie, to czy kiedykolwiek wcześniej opcje trybów Windows były wybieralne z poziomu standardowego ekranu bez błędu? Jeśli nie, to problem jest brak ładowanych sterowników klawiatury na złączu USB. W takim przypadku należy spróbować w BIOS wyszukać i uaktywnić opcję w stylu "Enable USB Legacy Support". Lub podpiąć klawiaturę PS/2.

 

2. Jeśli chodzi o przemianę językową dialogów, to podaj skan na sumy kontrolne pliku BOOTMGR i jego kopii. Wg wyciągu jest tu tylko jedna aktywna partycja 100MB (Zastrzeżone przez system) i tam powinien być główny plik boot menedżera. Partycja jest jednak ukryta w normalnych okolicznościach, więc tymczasowo ją podmontuj za pomocą MountStorPE. Następnie wejdź na nią i skopiuj z niej plik BOOTMGR oraz folder pl-PL (leży w folderze Boot) do tymczasowo utworzonego folderu C:\Tmp. Otwórz Notatnik i wklej w nim:

 

File: C:\Tmp\bootmgr
File: C:\Tmp\pl-PL\bootmgr.exe.mui
File: C:\Tmp\pl-PL\memtest.exe.mui
File: C:\Windows\Boot\PCAT\bootmgr
File: C:\Windows\Boot\PCAT\pl-PL\bootmgr.exe.mui
File: C:\Windows\Boot\PCAT\pl-PL\memtest.exe.mui

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw fixlog.txt.

 

3. Dostarcz też te pliki:

 

==================== One Month Created Files and Folders ========
 

2014-05-29 19:36 - 2014-05-29 19:36 - 00143000 _____ () C:\Windows\Minidump\052914-11232-01.dmp

2014-05-29 19:23 - 2014-05-29 19:23 - 00143000 _____ () C:\Windows\Minidump\052914-10280-01.dmp

 

 

.

[atasuke]

Jeśli chodzi o niemożność wyboru opcji na tym ekranie, to czy kiedykolwiek wcześniej opcje trybów Windows były wybieralne z poziomu standardowego ekranu bez błędu?

 

 

Osobiście nie używam tego komputera ale spytałem i dowiedziałem się ze około 4 miesięcy temu została zakupiona klawiatura pod USB. Brat nigdy nie grzebał w trzewiach swojego systemu więc nie miał prawa zauważyć nic  niepokojącego.  Dopiero ja zauważyłem że w polskiej wersji językowej Windowsa  coś jest nie tak.

Spostrzegłem że klawiatura pod USB nie działa w biosie. Ba nie da się go nawet uruchomić (BIOS). (z klawiatury pod USB)   

Postanowiłem zmienić klawiaturę pod PS/2 (po twojej sugestii )i od tej pory te problemy zniknęły nawet to angielskie menu uruchamiające tryb awaryjny stało się używalne w sensie mogę wybierać opcję. Czyli moim zdaniem sprawę z klawiaturą możemy zamknąć. Wiem co w trawie piszczy. Natomiast sama treść  menu dalej jest w angielskiej wersji.

 

Podaje w logu sumy kontrolne plików BOOTMGR ,pl-PL

Fixlog.txt

oraz dwa minidumpy

http://host1gb.net.pl/download.php?file=f43a45f3e73723e90fcd6f2efc6536ef

http://host1gb.net.pl/download.php?file=3718e76019768a6a3f575e70d8a0c6f2

Edytowane 1 Czerwca 2014 przez Nuriel