Здравствуйте. Проблема с winlogon.exe, который появляется в system32\drivers, ставит себя в автозагрузку как service1 и прописывается в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Из автозагрузки и реестра удалить невозможно. Удаляется только winlogon.exe(подчеркиваю-из system32\DRIVERS).Антивирусы,антишпионы и т.п. ничего не находят,только Ad-Watch ругается на изменения в реестре. Кто знает - что это и насколько опасно, объясните, please.
Ось - WindowsXP SR2+обнова. Заранее благодарен.

system32\drivers - тут его быть не должно
C:\WINDOWS\system32\winlogon.exe - это первый
C:\WINDOWS\system32\dllcache\winlogon.exe - вот тут ещё один есть ;)
Скорее всего у тебя троянец или червь в системе. Какой антивирус используешь?
Можешь загрузится с ВООТ-диска ХР или Реаниматора и удалить его там смело.

однозначно - троян, Ronald прав.

winlogon.exe из system\drivers как раз удаляется легко, отсутствует какое-то время, даже до неск. дней, а в реестре запись service1(value name)=C:\WINDOWS\system32\drivers\winlogon.exe(value)появляется тут же после удаления.
Только что нашел на сайте Kompunet.com следующее:
"Лаборатория Касперского" предупреждает об обнаружении новой вирусной эпидемии, вызванной четвертой модификацией сетевого червя "Netsky" - "Netsky.D" (Также известен как "Moodown.D" ). На данный момент уже получено несколько десятков сообщений о случаях заражения компьютеров...При установке "Netsky.D" копирует себя с именем WINLOGON.EXE в каталог Windows и регистрирует этот файл в ключе авто-запуска системного реестра. Таким образом он обеспечивает свою активизацию при каждой загрузке операционной системы".
Так что теперь надо думать и работать. Наверное надо менять антивирь NOD32,хотя и жаль, антитрояны и антишпионы все от известных разработчиков, с посл. обновами.
А компу нет и года- Athlon64 3000+, MSI K8N Neo4, PCIe Sapphire Radeon x600, дрова все последние. Спасибо за помощь.

Поставь Касперского и прогони им. Мож, это не единственный вир, пропущенный НОДом.

http://www.processlibrary.com/directory/files/Winlogon/index.php
Note: winlogon.exe is also a process which is registered as Trojan.W32.Netsky and the Backdoor.w32.Prorat Trojans...

Все получилось! А нашел Outpost!!! с последними базами.
Всем СПАСИБО!!!

нашел Outpost ... с последними базами
Какие базы ты имеешь в виду ? Нельзя ли линк на эту страницу ?

Tigr
В Outpost`е есть антишпионский модуль. Мне не удалось найти на сайте производителя данные о его сигнатурах.

Outpost Firewall Pro ver. 3.51.748.6419 (462) с обновлениями базы AntiSpyware в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon шпионский модуль WinlogonShell. Может, надо было его сохранить,но я сразу удалил из карантина.