Решено | Winlogon.exe запускается из system32\drivers

Ronald · Отправлено: **13:33, 19-04-2006** | #2

Цитата:

system32\drivers

- тут его быть не должно
C:\WINDOWS\system32\winlogon.exe - это первый
C:\WINDOWS\system32\dllcache\winlogon.exe - вот тут ещё один есть

Скорее всего у тебя троянец или червь в системе. Какой антивирус используешь?
Можешь загрузится с ВООТ-диска ХР или Реаниматора и удалить его там смело.

ShaddyR · Конфигурация компьютера

однозначно - троян, Ronald прав.

Awild · Отправлено: **19:10, 19-04-2006** | #4

winlogon.exe из system\drivers как раз удаляется легко, отсутствует какое-то время, даже до неск. дней, а в реестре запись service1(value name)=C:\WINDOWS\system32\drivers\winlogon.exe(value)появляется тут же после удаления.
Только что нашел на сайте Kompunet.com следующее:
"Лаборатория Касперского" предупреждает об обнаружении новой вирусной эпидемии, вызванной четвертой модификацией сетевого червя "Netsky" - "Netsky.D" (Также известен как "Moodown.D" ). На данный момент уже получено несколько десятков сообщений о случаях заражения компьютеров...При установке "Netsky.D" копирует себя с именем WINLOGON.EXE в каталог Windows и регистрирует этот файл в ключе авто-запуска системного реестра. Таким образом он обеспечивает свою активизацию при каждой загрузке операционной системы".
Так что теперь надо думать и работать. Наверное надо менять антивирь NOD32,хотя и жаль, антитрояны и антишпионы все от известных разработчиков, с посл. обновами.
А компу нет и года- Athlon64 3000+, MSI K8N Neo4, PCIe Sapphire Radeon x600, дрова все последние. Спасибо за помощь.

ShaddyR · Конфигурация компьютера

Поставь Касперского и прогони им. Мож, это не единственный вир, пропущенный НОДом.

Tigr · Конфигурация компьютера

http://www.processlibrary.com/direct...ogon/index.php

Цитата:

Note: winlogon.exe is also a process which is registered as Trojan.W32.Netsky and the Backdoor.w32.Prorat Trojans...

Awild · Отправлено: **05:09, 22-04-2006** | #7

Все получилось! А нашел Outpost!!! с последними базами.
Всем СПАСИБО!!!

Tigr · Конфигурация компьютера

Цитата:

нашел Outpost ... с последними базами

Какие базы ты имеешь в виду ? Нельзя ли линк на эту страницу ?

Blast · Конфигурация компьютера

Tigr
В Outpost`е есть антишпионский модуль. Мне не удалось найти на сайте производителя данные о его сигнатурах.

Awild · Отправлено: **07:35, 23-04-2006** | #10

Outpost Firewall Pro ver. 3.51.748.6419 (462) с обновлениями базы AntiSpyware в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon шпионский модуль WinlogonShell. Может, надо было его сохранить,но я сразу удалил из карантина.