Hei!
a-squared löysi tälläisen:
C:\WINDOWS\$NtServicePackUninstall$\winlogon.exe
ja väittää sitä (tällaiseksi Trojan.Win32.Agent.gq )troijalaiseksi.
Katsoin resurssien hallinnasta sitä ja sen mukaan se on microsoftin luoma, tosin sitä on käytetty tänään...
Mitä tehdä? Onko kyseessä väärähälytys vai pitäisikö tehdä jotain??
tässä vielä varuulta hijackthis-logi jos siitä jotain apua on:
Logfile of HijackThis v1.99.1
Scan saved at 15:19:34, on 7.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Tablet.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Microsoft AntiSpyware\gcasServ.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\Wtablet\TabUserW.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
D:\Program Files\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=33568
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: TabUserW.exe.lnk = C:\WINDOWS\system32\Wtablet\TabUserW.exe
O8 - Extra context menu item: Vie Microsoft E&xceliin - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Oheistiedot - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\system32\Tablet.exe
Kiitos vasutauksista jo etukäteen!
Troijalainen
6
4858
Vastaukset
- Rauhallinen..
A2 löysi multakin semmosen troijan (bugi?).Poistin sen ,kone toiminu hyvin sen jälkeen.Laita se hijackthis logi tonne.
http://keskustelu.suomi24.fi/show.fcgi?category=108&conference=4500000000000628&subcat=758- ei enää niin hermostunut
Tutkin asiaa, sen mitä nyt osaan ja kyllä se aika vahvasti alkaa näyttää väärältä hälytykseltä...
ja sen hijack-login pitäs olla kohtuu puhdas.
Poistin sen kuitenkin varmuuden vuoksi, kun kyseessä on käytännössä turha tiedosto. Tuskin tarttee poistaa sp2:sta. - Vastaukseta!
toi unohtu!
- Sama juttu
Huomasin eilen että www-sivut avautuivat tavallista hitaammin ja jollain tavalla eri tavalla kuin yleensä.
Tänään skannasin konetta ja a-squered löysi tuon
C:\WINDOWS\$NtServicePackUninstall$\winlogon.exe
Nyt poistin sen ja nyt www-sivut avautuvat normaalisti.- Sama juttu
Täällä on jotain tuosta winlogon.exe jutusta:
http://koti.mbnet.fi/pattaya1/hjt8.htm
Sen mukaan jos winlogon sijaitsee system32 kansiossa niin asia on ok.
Mutta se minkä a-squered löysi EI sijaitse system32 kansiosta.
Joten jotain hämärää lienee a-squeredin löytämässä winlogon.exe:ssä.
Mitäs mieltä olette? - Ekan viestin kirjoittaja
Sama juttu kirjoitti:
Täällä on jotain tuosta winlogon.exe jutusta:
http://koti.mbnet.fi/pattaya1/hjt8.htm
Sen mukaan jos winlogon sijaitsee system32 kansiossa niin asia on ok.
Mutta se minkä a-squered löysi EI sijaitse system32 kansiosta.
Joten jotain hämärää lienee a-squeredin löytämässä winlogon.exe:ssä.
Mitäs mieltä olette?Tuolla sivulla on kyseessä runnig processes, jotka ovat taustalla käynnissä olevia ohjelmia. Kun taas toi a2:n löytämä ohjelma ei ainakaan minun koneessa ollut käynnissä...
kuten logista näkyy niin koneeni pyörittämä winlogon.exe sijaitsi system32 kansiossa ja on windowsin oma prosessi, mihin ei tule koskea.
ja kansio missä a2:n löytämä winlogon oli on paikka mihin windows laittoi tiedostoja talteen sp2:n poistamisen varalta. Toki kyseiseen kansioon piiloutuu paljon ei toivottuja vieraita...
Ketjusta on poistettu 0 sääntöjenvastaista viestiä.
Luetuimmat keskustelut
Stefu LOISTAVAA!
Ilmeisesti joku vedonlyönti tms, selvinpäin-elämästä👍👍👍 ilmankos ei ole Sofiaa näkynyt. Miten tän parin nyt käy, kun viimi ei maksettuna enää virta1331925- 69842
Msisa on eronnut
Mies ei kestänyt jatkuvia syrjähyppyjä eikä totuutta Turun yöstä.28812Venäläisiä keksintöjä?
Kun tässä nyt yritän miettiä venäläisiä keksintöjä, niin ei äkkiseltään tule oikein yhtään mieleen. Onko niitä edes?259724Tiedän että on aika luovuttaa
En vaan osaa. Liian kauan toivonut jotain, mikä ei koskaan tule toteutumaan. Olo ei ole mitenkään hyvä, mutta itken vähemmän kuin silloin kun sinuun r64703Katumuksesta
Pitkäperjantaina eräässä seurueessa puhuttiin katumisesta ja mitä itse kukin katuu. Yleisintä tuntui olevan pahasti sanominen jollekin läheiselle ja t132670- 10664
- 26639
- 77637
Sisällissota kiihtyy Ruotsissa
KaupunkiTaistelut koraanin puolesta kiihtyneet Linköpingissä ja Malmössä. Ruotsin poliisi joutunut vetäytymään suojiin. Päätän raporttini Ruotsista.200627