Troijalainen

hermostunut

Hei!

a-squared löysi tälläisen:

C:\WINDOWS\$NtServicePackUninstall$\winlogon.exe

ja väittää sitä (tällaiseksi Trojan.Win32.Agent.gq )troijalaiseksi.

Katsoin resurssien hallinnasta sitä ja sen mukaan se on microsoftin luoma, tosin sitä on käytetty tänään...

Mitä tehdä? Onko kyseessä väärähälytys vai pitäisikö tehdä jotain??

tässä vielä varuulta hijackthis-logi jos siitä jotain apua on:
Logfile of HijackThis v1.99.1
Scan saved at 15:19:34, on 7.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Tablet.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Microsoft AntiSpyware\gcasServ.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\Wtablet\TabUserW.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
D:\Program Files\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=33568
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: TabUserW.exe.lnk = C:\WINDOWS\system32\Wtablet\TabUserW.exe
O8 - Extra context menu item: Vie Microsoft E&xceliin - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Oheistiedot - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\system32\Tablet.exe

Kiitos vasutauksista jo etukäteen!

6

4905

    Vastaukset

    Anonyymi (Kirjaudu / Rekisteröidy)
    5000
    • Rauhallinen..
      • ei enää niin hermostunut

        Tutkin asiaa, sen mitä nyt osaan ja kyllä se aika vahvasti alkaa näyttää väärältä hälytykseltä...

        ja sen hijack-login pitäs olla kohtuu puhdas.

        Poistin sen kuitenkin varmuuden vuoksi, kun kyseessä on käytännössä turha tiedosto. Tuskin tarttee poistaa sp2:sta.


      • Vastaukseta!

        toi unohtu!


    • Sama juttu

      Huomasin eilen että www-sivut avautuivat tavallista hitaammin ja jollain tavalla eri tavalla kuin yleensä.

      Tänään skannasin konetta ja a-squered löysi tuon
      C:\WINDOWS\$NtServicePackUninstall$\winlogon.exe

      Nyt poistin sen ja nyt www-sivut avautuvat normaalisti.

      • Sama juttu

        Täällä on jotain tuosta winlogon.exe jutusta:

        http://koti.mbnet.fi/pattaya1/hjt8.htm

        Sen mukaan jos winlogon sijaitsee system32 kansiossa niin asia on ok.

        Mutta se minkä a-squered löysi EI sijaitse system32 kansiosta.

        Joten jotain hämärää lienee a-squeredin löytämässä winlogon.exe:ssä.

        Mitäs mieltä olette?


      • Ekan viestin kirjoittaja
        Sama juttu kirjoitti:

        Täällä on jotain tuosta winlogon.exe jutusta:

        http://koti.mbnet.fi/pattaya1/hjt8.htm

        Sen mukaan jos winlogon sijaitsee system32 kansiossa niin asia on ok.

        Mutta se minkä a-squered löysi EI sijaitse system32 kansiosta.

        Joten jotain hämärää lienee a-squeredin löytämässä winlogon.exe:ssä.

        Mitäs mieltä olette?

        Tuolla sivulla on kyseessä runnig processes, jotka ovat taustalla käynnissä olevia ohjelmia. Kun taas toi a2:n löytämä ohjelma ei ainakaan minun koneessa ollut käynnissä...

        kuten logista näkyy niin koneeni pyörittämä winlogon.exe sijaitsi system32 kansiossa ja on windowsin oma prosessi, mihin ei tule koskea.

        ja kansio missä a2:n löytämä winlogon oli on paikka mihin windows laittoi tiedostoja talteen sp2:n poistamisen varalta. Toki kyseiseen kansioon piiloutuu paljon ei toivottuja vieraita...


    Ketjusta on poistettu 0 sääntöjenvastaista viestiä.

    Luetuimmat keskustelut

    1. Riikan kukkaronnyöri on umpisolmussa

      Kulutus ei lähde liikkeelle, koska kansalaiset eivät usko, että: – työpaikka säilyy – tulot eivät romahda – talous ei h
      Maailman menoa
      65
      4242
    2. Kuka paiskasi vauvan betoniin Oulussa?

      Nimi esiin.....
      Oulu
      67
      4241
    3. Jos vedetään mutkat suoraksi?

      Niin kumpaan ryhmään kuulut? A) Niihin, jotka menevät edellä ja tekevät? Vai B) Niihin, jotka kulkevat perässä ja ar
      Sinkut
      109
      2905
    4. Tanskan malli perustuu korkeaan ansioturvaan

      Ja vahvoihin työllisyys- ja kotoutumispalveluihin. Suomessa Riikka on leikannut juuri näitä: palkkatukea, työttömyysturv
      Maailman menoa
      58
      2796
    5. Epäily: Räppäri yritti tappaa vauvansa.

      https://www.mtvuutiset.fi/artikkeli/epaily-mies-yritti-tappaa-vauvansa/9300728 Tämä on erittäin järkyttävä teko täysin p
      Maailman menoa
      21
      2029
    6. Vain vasemmistolaiset ovat aitoja suomalaisia

      Esimerkiksi persut ovat ulkomaalaisen pääomasijoittajan edunvalvojia, eivät auta köyhiä suomalaisia.
      Maailman menoa
      55
      1992
    7. Anteeksipyyntöni

      Jätän tähän anteeksipyyntöni sinulle, koska en voi sanoa sitä missään muuallakaan. Pyydän anteeksi, jos purkamani tuska
      Järki ja tunteet
      15
      1679
    8. Miten must tuntuu

      et sä ajattelet mua just nyt
      Ikävä
      32
      1503
    9. Sydämeni valtiaalle

      En täältä aio asioita kysellä. Haluan tuoda tiedoksesi, että pohjimmiltani en ihmisiä tahdo satuttaa ja ajattelen muiden
      Ikävä
      109
      1353
    10. Kun et vain tajua että

      sua lähestytään feikkiprofiililla :D Hanki aivot :D m-n
      Ikävä
      180
      1281
    Aihe