winlogon.exe sospetto dopo infezione via MSN [era:Need help]

[darkevil]

Il mio fratellino per sbaglio ha accettato uno di quei famosi malaware di msn e fin qui nessun problema, avvio la scansione lo rimuovo e il problema apparentemente sembra risolto.
Riavvio il pc e mi compare un messaggio di errore con su scritto che il file winlogon.exe non è nel percorso specificato, chiudo la finestra e se ne apre un'altra con su scritto che se il file non viene utulizzato è possibile cancellarlo dal registro di sistema....., chiudo anche questa finestra e il mio AV mi dice che C:\DOCUME~1\PROPRI~1\IMPOST~1\Temp\winlogon.exe sta tentando di compiere un'azione ad alto rischio e pertanto verrà bloccato. Il risultato è che il sistema è instabile ed esce un'errore critico dietro l'altro, qualcuno può darmi una mano?


Logfile of HijackThis v1.99.1
Scan saved at 18.56.00, on 31/07/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Panda Software\Panda Internet Security 2007\pavsrv51.exe
C:\Programmi\Panda Software\Panda Internet Security 2007\AVENGINE.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Panda Software\Panda Internet Security 2007\TPSrv.exe
c:\programmi\panda software\panda internet security 2007\firewall\PNMSRV.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\McAfee\Managed VirusScan\Agent\myAgtSvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programmi\Panda Software\Panda Internet Security 2007\PavFnSvr.exe
C:\Programmi\File comuni\Panda Software\PavShld\pavprsrv.exe
C:\Programmi\Panda Software\Panda Internet Security 2007\AntiSpam\pskmssvc.exe
C:\Programmi\Panda Software\Panda Internet Security 2007\PsImSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Panda Software\Panda Internet Security 2007\apvxdwin.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Panda Software\Panda Internet Security 2007\SRVLOAD.EXE
c:\programmi\panda software\panda internet security 2007\WebProxy.exe
C:\DOCUME~1\PROPRI~1\IMPOST~1\Temp\winlogon.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\Programmi\InterVideo\WinDVR\WinScheduler.exe
C:\Programmi\Nikon\PictureProject\NkbMonitor.exe
C:\Programmi\MSN Messenger\usnsvc.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\Internet Explorer\iexplore.exe
C:\DOCUME~1\PROPRI~1\IMPOST~1\Temp\Directory temporanea 1 per hijackthis.zip\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://it.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://it.rd.yahoo.com/customize/ie/...arch.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
F3 - REG:win.ini: run=C:\WINDOWS\ServicePackFiles\winlogon.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: bho3 Class - {58FB2CBB-C874-45FC-A1C9-B62CC9E3BED9} - C:\WINDOWS\system32\730145928.dll (file missing)
O2 - BHO: WsftpBrowserHelper Class - {601ED020-FB6C-11D3-87D8-0050DA59922B} - C:\Programmi\WS_FTP Pro\wsbho2k0.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {CBBB0A82-64DA-4141-B2A5-0B59683480F9} - C:\Programmi\Microsoft Picture It! 7\meso83122.dll (file missing)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [APVXDWIN] "C:\Programmi\Panda Software\Panda Internet Security 2007\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [SCANINICIO] "C:\Programmi\Panda Software\Panda Internet Security 2007\Inicio.exe"
O4 - HKCU\..\Run: [xem] C:\WINDOWS\ServicePackFiles\winlogon.exe
O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\PROPRI~1\IMPOST~1\Temp\winlogon.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programmi\InterVideo\Common\Bin\WinCinemaMgr.ex e
O4 - Global Startup: InterVideo WinScheduler.lnk = C:\Programmi\InterVideo\WinDVR\WinScheduler.exe
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Programmi\Nikon\PictureProject\NkbMonitor.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programmi\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://darkevil1981.spaces.live.com/...d/MsnPUpld.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/res...scbase8300.cab
O16 - DPF: {85D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin class) - http://secure2.comned.com/signuptemp...ogin-devel.cab
O16 - DPF: {8F2B3E96-94B3-4CA0-919A-531DDC9ABE92} (XUploadPhotos Class) - http://www.hi5.com/friend/photoshare...oUploadLib.dll
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/actives...ree/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/Ms...Downloader.cab
O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697519} (NsvPlayX Control) - http://www.nullsoft.com/nsv/embed/nsvplayx_vp6_aac.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0ED36890-48FC-4510-928E-98FC8371BBF3}: NameServer = 202.171.32.38
O17 - HKLM\System\CCS\Services\Tcpip\..\{6C8F140C-CA37-4FD0-A539-9A4D085F6DEB}: NameServer = 202.171.32.38
O17 - HKLM\System\CCS\Services\Tcpip\..\{7A7DF4BC-2675-4671-A7A9-D571904420C9}: NameServer = 202.171.32.38
O17 - HKLM\System\CCS\Services\Tcpip\..\{BB8D2CD9-E27B-40F9-ADD2-DB1E51B8091C}: NameServer = 202.171.32.38
O17 - HKLM\System\CS1\Services\Tcpip\..\{0ED36890-48FC-4510-928E-98FC8371BBF3}: NameServer = 202.171.32.38
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: myrm - {4D034FC3-013F-4B95-B544-44D49ABE3E76} - C:\Programmi\McAfee\Managed VirusScan\Agent\MyRmProt4.5.0.464.dll
O20 - AppInit_DLLs: c:\windows\system32\ldcore.dll
O20 - Winlogon Notify: avldr - C:\WINDOWS\SYSTEM32\avldr.dll
O20 - Winlogon Notify: botreg - C:\Documents and Settings\All Users\Documenti\Settings\bot.dll (file missing)
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: winszr32 - winszr32.dll (file missing)
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O21 - SSODL: printers - {852A671C-3C79-4520-96F9-5E942226C53C} - libcintles3.dll (file missing)
O21 - SSODL: tyscRioNBP - {543983B7-FE93-291D-E66F-7A1E73B2C4AD} - C:\WINDOWS\system32\zwrt.dll (file missing)
O23 - Service: Servizio di protezione antivirus e antispyware di McAfee (myAgtSvc) - McAfee, Inc. - C:\Programmi\McAfee\Managed VirusScan\Agent\myAgtSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software International - C:\Programmi\Panda Software\Panda Internet Security 2007\PavFnSvr.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Programmi\File comuni\Panda Software\PavShld\pavprsrv.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software International - C:\Programmi\Panda Software\Panda Internet Security 2007\pavsrv51.exe
O23 - Service: Panda Antispam Engine (pmshellsrv) - Panda Software International - C:\Programmi\Panda Software\Panda Internet Security 2007\AntiSpam\pskmssvc.exe
O23 - Service: Panda Network Manager (PNMSRV) - Panda Software International - c:\programmi\panda software\panda internet security 2007\firewall\PNMSRV.EXE
O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software - C:\Programmi\Panda Software\Panda Internet Security 2007\PsImSvc.exe
O23 - Service: Panda TPSrv (TPSrv) - Panda Software - C:\Programmi\Panda Software\Panda Internet Security 2007\TPSrv.exe

[ste_95]

fixa queste voci:

F3 - REG:win.ini: run=C:\WINDOWS\ServicePackFiles\winlogon.exe

O4 - HKCU\..\Run: [xem] C:\WINDOWS\ServicePackFiles\winlogon.exe

O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\PROPRI~1\IMPOST~1\Temp\winlogon.exe

O20 - Winlogon Notify: botreg - C:\Documents and Settings\All Users\Documenti\Settings\bot.dll (file missing)

O20 - Winlogon Notify: winszr32 - winszr32.dll (file missing)


queste voci, sono invece sospette:

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

O17 - HKLM\System\CCS\Services\Tcpip\..\{0ED36890-48FC-4510-928E-98FC8371BBF3}: NameServer = 202.171.32.38

O17 - HKLM\System\CCS\Services\Tcpip\..\{6C8F140C-CA37-4FD0-A539-9A4D085F6DEB}: NameServer = 202.171.32.38

O17 - HKLM\System\CCS\Services\Tcpip\..\{7A7DF4BC-2675-4671-A7A9-D571904420C9}: NameServer = 202.171.32.38

O17 - HKLM\System\CCS\Services\Tcpip\..\{BB8D2CD9-E27B-40F9-ADD2-DB1E51B8091C}: NameServer = 202.171.32.38

O17 - HKLM\System\CS1\Services\Tcpip\..\{0ED36890-48FC-4510-928E-98FC8371BBF3}: NameServer = 202.171.32.38

O20 - AppInit_DLLs: c:\windows\system32\ldcore.dll


poi scarica avenger, aprilo, vai su input script manually, poi sulla lente e copia queste righe...:

Files to delete:
C:\WINDOWS\ServicePackFiles\winlogon.exe
C:\DOCUME~1\PROPRI~1\IMPOST~1\Temp\winlogon.exe
C:\Documents and Settings\All Users\Documenti\Settings\bot.dll
C:\WINDOWS\SYSTEM32\winszr32.dll

poi su done, sul semaforino, acconsenti, poi il computer dovrebbe riavviarsi, altrimenti fallo tu...

ps..: sono abbastanza sicuro di quello che faccio, ma aspetterei una conferma prima di agire...è meglio...

alla fine delle operazioni, vai in C:\avenger e trova il file avenger.txt, aprilo e postane il contenuto...

[darkevil]

uhm quindi aspetto a fare quanto hai scritto allora

[ste_95]

uhm sarebbe meglio...non vorrei mai combinarti qualche casino... specie quel winlogon, non l'ho mai visto in quel percorso, però magari è originale...

meglio aspettare

[Habanero]

dakevil come nuovo utente ti esorto a leggere il regolamento. Per questa volta ho modificato io il titolo.

[darkevil]

ops, chiedo scusa

[ste_95]

ho conferma delle mie indicazioni, puoi andare... fixa inoltre questo:

O2 - BHO: bho3 Class - {58FB2CBB-C874-45FC-A1C9-B62CC9E3BED9} - C:\WINDOWS\system32\730145928.dll (file missing)

[ste_95]

ora che riguardo il log puoi fixare anche questo:

O16 - DPF: {85D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin class) - http://secure2.comned.com/signuptem...login-devel.cab


risolvi..?