читать дальше »
Вопрос №1 задает Татьяна:
После установки программы(условно бесплатной) появился шпион. В процессах определяется как winlogon.exe, расположился в папке system32 Известными мне способами не удаляется( чистила реестр- появляется снова), пыталась удалить в безопасном режиме -не удаляется, пыталась программой WinPatrol -бесполезно. И той же датой как появилась эта программа, появился процесс explorer.exe lsass.exe.Не связаны ли они? Система Windows XP SP2, установлен NAV2005, Ad-aware.Все с последними базами.
Отвечает Lesnoy_chelovek:
Здраствуйте, Татьяна.
Ну, для начала объясню, что winlogon.exe - это стандартный файл и есть он у всех и отвечает за показ заставки. explorer.exe - оболочка среды Windows, т.е. это точ то мы видим. А вот lsas.exe вполне может быть вирусом, хотя это тоже системный файл. Итак, что я могу вам предложить - ну, во-первых, удалите программу, которую вы установили. Во-вторых, поставьте наш отчечественный антивирус, потому как вы всегда можете связаться с службой поддержки. В-третьих, давайте не будем паниковать, этот процесс вам мешает? Если нет, то оставайтесь спкойными. А лучше посавьте какой-нибудь файрвол - ZoneAlarm, Kaspepskiy AntiHacker и др.
Отвечает Tery:
Существует несколько "разновидностей" этих приложений:
Winlog0n.exe ------ Spyware ------ Adware.Nafaoz
winlogin.exe ------ Spyware ------ TrojanDropper.Win32.Small
winlogin_unpacked.exe ------ Spyware ------
TrojanDropper.Win32.Small
winlogon.exe ------ Системный процесс ------ Microsoft
Windows Logon Process ------ Этот процесс управляет входом пользователей в систему и выходом из нее. Winlogon активируется только при нажатии клавиш CTRL+ALT+DEL, после чего появляется окно «Безопасность Windows». Файл winlogon.exe находится в %Windir%\system32\
winlogon.exe ------ Вирус ------ I-Worm.NetSky.c,
W32.Mydoom.BI@mm, W32.Neveg.A@mm ------ Файл червя I-Worm.NetSky.c
winlogon.exe находится в %Windir%\, Файл червя W32.Neveg.A@mm лежит в %Windir%\system\
winlogonn.exe ------ Вирус ------ W32.Randex.FC
lsass.exe ------ Системный процесс ------ Local Security Authority Service ------ Это локальный сервер проверки подлинности, порождающий процесс, ответственный за проверку пользователей в службе Winlogon. Процесс проверки производится такими библиотеками, как Msgina.dll, используемая по умолчанию. В случае успеха процесс Lsass порождает маркер доступа пользователя, который затем используется для запуска начальной пользовательской оболочки. Процессы, запускаемые пользователем, наследуют этот маркер.
lsass.exe ------ Вирус ------ Backdoor.IRC.Aladinz.F, W32.Ahker.G@mm
lsass.exe ------ Spyware ------ OnTarget 1.2.1
exploer.exe ------ Вирус ------ W32.HLLW.Gaobot.BV
explore.exe ------ Вирус ------ Worm.ExploreZip(pack), Trojan.Win32.Glitch, W32.Gaobot.ADW, W32.Wozer.Worm, W32.Galil.C@mm, Backdoor.Graybird.G, I-Worm.ZippedFiles.a, W32.Hawawi.Worm, CWS
explore32.exe ------ Вирус ------ W32.Spybot.CYM
explored.exe ------ Вирус ------ W32.Gaobot.SY, W32.HLLW.Gaobot.RF
explorer.exe ------ Системный процесс ------ Microsoft Windows Explorer ------ Проводник. Пользовательская оболочка, отображающая панель задач, рабочий стол и т.д. Этот процесс не так важен для работы Windows, как может показаться, и его можно остановить (и перезапустить) с помощью диспетчера задач, что обычно не оказывает негативного воздействия на работу системы.
explorer.exe ------ Вирус ------ W32.HLLW.Spirit, W32.Mytob.BB@mm, Trojan.Mumuboy.C, Trojan.PSW.Linage ------ W32.HLLW.Spirit - файл Explorer.exe лежит в %Windir%\System32\, Trojan.Mumuboy.C - %ProgramFiles%\explorer.exe, Trojan.PSW.Linage - файл explorer.exe лежит в Program Files
explorere.exe ------ Вирус ------ W32.Yaha.AB@mm, Win32.Yaha.W Под такими названиями существуют и системные процессы и вирусы.
