Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Хочу все знать (http://forum.oszone.net/forumdisplay.php?f=23)
-   -   Решено | Winlogon.exe запускается из system32\drivers (http://forum.oszone.net/showthread.php?t=64601)

Awild 19-04-2006 12:45 429498
Winlogon.exe запускается из system32\drivers
 
Здравствуйте. Проблема с winlogon.exe, который появляется в system32\drivers, ставит себя в автозагрузку как service1 и прописывается в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Из автозагрузки и реестра удалить невозможно. Удаляется только winlogon.exe(подчеркиваю-из system32\DRIVERS).Антивирусы,антишпионы и т.п. ничего не находят,только Ad-Watch ругается на изменения в реестре. Кто знает - что это и насколько опасно, объясните, please.
Ось - WindowsXP SR2+обнова. Заранее благодарен.

Ronald 19-04-2006 13:33 429522
Цитата:
system32\drivers
- тут его быть не должно
C:\WINDOWS\system32\winlogon.exe - это первый
C:\WINDOWS\system32\dllcache\winlogon.exe - вот тут ещё один есть ;)
Скорее всего у тебя троянец или червь в системе. Какой антивирус используешь?
Можешь загрузится с ВООТ-диска ХР или Реаниматора и удалить его там смело.

ShaddyR 19-04-2006 14:29 429550
однозначно - троян, Ronald прав.

Awild 19-04-2006 19:10 429648
winlogon.exe из system\drivers как раз удаляется легко, отсутствует какое-то время, даже до неск. дней, а в реестре запись service1(value name)=C:\WINDOWS\system32\drivers\winlogon.exe(value)появляется тут же после удаления.
Только что нашел на сайте Kompunet.com следующее:
"Лаборатория Касперского" предупреждает об обнаружении новой вирусной эпидемии, вызванной четвертой модификацией сетевого червя "Netsky" - "Netsky.D" (Также известен как "Moodown.D" ). На данный момент уже получено несколько десятков сообщений о случаях заражения компьютеров...При установке "Netsky.D" копирует себя с именем WINLOGON.EXE в каталог Windows и регистрирует этот файл в ключе авто-запуска системного реестра. Таким образом он обеспечивает свою активизацию при каждой загрузке операционной системы".
Так что теперь надо думать и работать. Наверное надо менять антивирь NOD32,хотя и жаль, антитрояны и антишпионы все от известных разработчиков, с посл. обновами.
А компу нет и года- Athlon64 3000+, MSI K8N Neo4, PCIe Sapphire Radeon x600, дрова все последние. Спасибо за помощь.

ShaddyR 19-04-2006 19:38 429659
Поставь Касперского и прогони им. Мож, это не единственный вир, пропущенный НОДом.

Tigr 19-04-2006 23:10 429765
http://www.processlibrary.com/direct...ogon/index.php
Цитата:
Note: winlogon.exe is also a process which is registered as Trojan.W32.Netsky and the Backdoor.w32.Prorat Trojans...

Awild 22-04-2006 05:09 430619
Все получилось! А нашел Outpost!!! с последними базами.
Всем СПАСИБО!!!

Tigr 22-04-2006 21:26 430798
Цитата:
нашел Outpost ... с последними базами
Какие базы ты имеешь в виду ? Нельзя ли линк на эту страницу ?

Blast 22-04-2006 21:32 430799
Tigr
В Outpost`е есть антишпионский модуль. Мне не удалось найти на сайте производителя данные о его сигнатурах.

Awild 23-04-2006 07:35 430896
Outpost Firewall Pro ver. 3.51.748.6419 (462) с обновлениями базы AntiSpyware в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon шпионский модуль WinlogonShell. Может, надо было его сохранить,но я сразу удалил из карантина.


Время: 05:14.

Время: 05:14.
© OSzone.net 2001-