Troijalainen

hermostunut

Hei!

a-squared löysi tälläisen:

C:\WINDOWS\$NtServicePackUninstall$\winlogon.exe

ja väittää sitä (tällaiseksi Trojan.Win32.Agent.gq )troijalaiseksi.

Katsoin resurssien hallinnasta sitä ja sen mukaan se on microsoftin luoma, tosin sitä on käytetty tänään...

Mitä tehdä? Onko kyseessä väärähälytys vai pitäisikö tehdä jotain??

tässä vielä varuulta hijackthis-logi jos siitä jotain apua on:
Logfile of HijackThis v1.99.1
Scan saved at 15:19:34, on 7.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Tablet.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Microsoft AntiSpyware\gcasServ.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\Wtablet\TabUserW.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
D:\Program Files\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=33568
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: TabUserW.exe.lnk = C:\WINDOWS\system32\Wtablet\TabUserW.exe
O8 - Extra context menu item: Vie Microsoft E&xceliin - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Oheistiedot - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\system32\Tablet.exe

Kiitos vasutauksista jo etukäteen!

6

4858

    Vastaukset

    Anonyymi (Kirjaudu / Rekisteröidy)
    5000
    • Rauhallinen..
      • ei enää niin hermostunut

        Tutkin asiaa, sen mitä nyt osaan ja kyllä se aika vahvasti alkaa näyttää väärältä hälytykseltä...

        ja sen hijack-login pitäs olla kohtuu puhdas.

        Poistin sen kuitenkin varmuuden vuoksi, kun kyseessä on käytännössä turha tiedosto. Tuskin tarttee poistaa sp2:sta.


      • Vastaukseta!

        toi unohtu!


    • Sama juttu

      Huomasin eilen että www-sivut avautuivat tavallista hitaammin ja jollain tavalla eri tavalla kuin yleensä.

      Tänään skannasin konetta ja a-squered löysi tuon
      C:\WINDOWS\$NtServicePackUninstall$\winlogon.exe

      Nyt poistin sen ja nyt www-sivut avautuvat normaalisti.

      • Sama juttu

        Täällä on jotain tuosta winlogon.exe jutusta:

        http://koti.mbnet.fi/pattaya1/hjt8.htm

        Sen mukaan jos winlogon sijaitsee system32 kansiossa niin asia on ok.

        Mutta se minkä a-squered löysi EI sijaitse system32 kansiosta.

        Joten jotain hämärää lienee a-squeredin löytämässä winlogon.exe:ssä.

        Mitäs mieltä olette?


      • Ekan viestin kirjoittaja
        Sama juttu kirjoitti:

        Täällä on jotain tuosta winlogon.exe jutusta:

        http://koti.mbnet.fi/pattaya1/hjt8.htm

        Sen mukaan jos winlogon sijaitsee system32 kansiossa niin asia on ok.

        Mutta se minkä a-squered löysi EI sijaitse system32 kansiosta.

        Joten jotain hämärää lienee a-squeredin löytämässä winlogon.exe:ssä.

        Mitäs mieltä olette?

        Tuolla sivulla on kyseessä runnig processes, jotka ovat taustalla käynnissä olevia ohjelmia. Kun taas toi a2:n löytämä ohjelma ei ainakaan minun koneessa ollut käynnissä...

        kuten logista näkyy niin koneeni pyörittämä winlogon.exe sijaitsi system32 kansiossa ja on windowsin oma prosessi, mihin ei tule koskea.

        ja kansio missä a2:n löytämä winlogon oli on paikka mihin windows laittoi tiedostoja talteen sp2:n poistamisen varalta. Toki kyseiseen kansioon piiloutuu paljon ei toivottuja vieraita...


    Ketjusta on poistettu 0 sääntöjenvastaista viestiä.

    Luetuimmat keskustelut

    1. Stefu LOISTAVAA!

      Ilmeisesti joku vedonlyönti tms, selvinpäin-elämästä👍👍👍 ilmankos ei ole Sofiaa näkynyt. Miten tän parin nyt käy, kun viimi ei maksettuna enää virta
      Kotimaiset julkkisjuorut
      133
      1925
    2. Missä sinuun mies voisi

      näin pääsiäisenä vahingossa törmätä? Ei ilmeisesti missään?
      Ikävä
      69
      842
    3. Msisa on eronnut

      Mies ei kestänyt jatkuvia syrjähyppyjä eikä totuutta Turun yöstä.
      Kotimaiset julkkisjuorut
      28
      812
    4. Venäläisiä keksintöjä?

      Kun tässä nyt yritän miettiä venäläisiä keksintöjä, niin ei äkkiseltään tule oikein yhtään mieleen. Onko niitä edes?
      Maailman menoa
      259
      724
    5. Tiedän että on aika luovuttaa

      En vaan osaa. Liian kauan toivonut jotain, mikä ei koskaan tule toteutumaan. Olo ei ole mitenkään hyvä, mutta itken vähemmän kuin silloin kun sinuun r
      Ikävä
      64
      703
    6. Katumuksesta

      Pitkäperjantaina eräässä seurueessa puhuttiin katumisesta ja mitä itse kukin katuu. Yleisintä tuntui olevan pahasti sanominen jollekin läheiselle ja t
      Sinkut
      132
      670
    7. Raviskalla tappo?

      Huhuja liikkuu et raviskalla ois joku laitettu kylymäksi?
      Oulainen
      10
      664
    8. Et arvaa nainen, miten ikävä mulla on sinua.

      Sinua ei voi unohtaa. Pusu sulle musulle!
      Ikävä
      26
      639
    9. Sun mies on mun

      Sinun mies on yksin minun ja sinä et voi sille mitään.
      Ikävä
      77
      637
    10. Sisällissota kiihtyy Ruotsissa

      KaupunkiTaistelut koraanin puolesta kiihtyneet Linköpingissä ja Malmössä. Ruotsin poliisi joutunut vetäytymään suojiin. Päätän raporttini Ruotsista.
      Maailman menoa
      200
      627
    Aihe