winlogon. Devo preoccuparmi?

[lucas72]

Ciao
Il mio firewall intercetta un accesso ad internet di un certo file
winlogon, ho avviato hijackthis e il sito che analizza il file me lo riporta come pericoloso:

O4 - HKLM\..\Run: [winlogon] C:\WINDOWS\winlogon.exe

voi che ne pensate?
Grazie

[Er Monnezza]

winlogon è un processo di windows

[xcdegasp]

ed è indispensabile per il buon funzionamento del sistema operativo, se vuoi essere certo usa "http://www.virustotal.com"
in homepage clicki su "sfoglia", selezioni il file e poi premi "upload"
attendi l'analisi (senza chiudere la finestra o spostarti da quella pagina) e vedi se è veramente infetto

scommetto che è un falso positivo di AVG

[lucas84]

Siete fuori strada, il file, è legittimo solo se si trova in
winnt\system32 o windows\system32 oppure nella cartella dllcache, in questo caso, si trova in WINDOWS quindi, Sicuramente INFETTO

Ciao

[Squalo71]

Quote:

Originariamente inviato da lucas84

Siete fuori strada, il file, è legittimo solo se si trova in
winnt\system32 o windows\system32 oppure nella cartella dllcache, in questo caso, si trova in WINDOWS quindi, Sicuramente INFETTO

Ciao

Infatti. Stranissimo anche che sia in HKLM\Software\Microsoft\Windows\Current Version\Run, perchè immagino fosse quella la chiave, no?
Responso: VIRUS!!! (IMHO)

[juninho85]

Quote:

Originariamente inviato da Squalo71

Infatti. Stranissimo anche che sia in HKLM\Software\Microsoft\Windows\Current Version\Run, perchè immagino fosse quella la chiave, no?
Responso: VIRUS!!! (IMHO)

quoto,da eliminare chiave d'avvio e file

mai una volta che si azzecchi sezione

[c.m.g]

se è stato utilizzato qualche crack particolare, c'è la possibilità che quell'exe sia stato modificato rendendolo nocivo. usa il servizio di scansione di virustotal.com per identificare se è un virus o meno, forse avg ti ha avvisato di una probabile infezione.

[lucas72]

Quote:

Originariamente inviato da c.m.g

se è stato utilizzato qualche crack particolare, c'è la possibilità che quell'exe sia stato modificato rendendolo nocivo. usa il servizio di scansione di virustotal.com per identificare se è un virus o meno, forse avg ti ha avvisato di una probabile infezione.

Non avg, ma zonealarm.
Ciao e grazie

[Squalo71]

Quote:

Originariamente inviato da lucas72

Non avg, ma zonealarm.
Ciao e grazie

Quindi è un virus che tenta di connettersi a internet. VADE RETRO, NETLOGON!!!

[lucas72]

virus total mi riporta questo, per l'analisi dei vari antivirus:

no virus found
TR/Proxy.Agent.KJ.34
no virus found
Win32:Agent-BYB
Proxy.LRD
BehavesLike:Win32.Malware
no virus found
no virus found
Trojan.Spambot
Win32.Agent.kj
Win32/Iflar!generic
Proxy.Agent.kj
Not analyzed yet
W32/Agent.KJ!tr
no virus found
Trojan-Proxy.Win32.Agent.kj
Trojan-Proxy.Win32.Agent.kj
Trojan-Proxy.Win32.Agent.kj
FDoS-Spabot
Trojan:Win32/Agent.ER (threat-c)
probably unknown NewHeur_PE virus
W32/Agent.BGNS


Quale potrebbe essere?
Speriamo che non sia un dialer!!
Intanto lo elimino.
Ciao e grazie

[c.m.g]

rilegendo lucas ha ragione, lo quoto.
winlogon.exe deve essere compreso nella directory c:\windows\system32 mentre si trova in c:\windows e questo non lascia presagire nulla di buono.
i risultati di virus total, cosa ti indicano?

[ThE_RaV[3]N]

Quote:

Originariamente inviato da lucas84

Siete fuori strada, il file, è legittimo solo se si trova in
winnt\system32 o windows\system32 oppure nella cartella dllcache, in questo caso, si trova in WINDOWS quindi, Sicuramente INFETTO

Ciao

Non hai pensato che potrebbe essere anche il windows genuine che parte all'avvio? Esso infatti risiede nel modulo winlogon per non essere disabilitato facilmente.....

Con questo non voglio porgere nessuna critica a chi afferma che è la famosissima backdoor, quindi per tagliare la testa al toro consiglio al nostro amico di disconnettersi da internet e dalla riga di comando lanciare il comando netstat -na per vedere se ha aperta la porta 6699 in ascolto e se nella directory C:\WINDOWS\Media ha questi files; cioè ethernet.exe lsass.exe e winlogon.exe.

Guarda e poi facci sapere.....Ciauz Ciauz

P:S> Spero di non essermi attirato l'odio di Lucas84

[lucas72]

Quote:

Originariamente inviato da ThE_RaV[3]N

Non hai pensato che potrebbe essere anche il windows genuine che parte all'avvio? Esso infatti risiede nel modulo winlogon per non essere disabilitato facilmente.....

Con questo non voglio porgere nessuna critica a chi afferma che è la famosissima backdoor, quindi per tagliare la testa al toro consiglio al nostro amico di disconnettersi da internet e dalla riga di comando lanciare il comando netstat -na per vedere se ha aperta la porta 6699 in ascolto e se nella directory C:\WINDOWS\Media ha questi files; cioè ethernet.exe lsass.exe e winlogon.exe.

Guarda e poi facci sapere.....Ciauz Ciauz

P:S> Spero di non essermi attirato l'odio di Lucas84

windows genuine? Cos'è?

Comunque sembra proprio che sia un virus.
A parte la scansione su virustotal di cui sopra, ho appena aggiornato il mio antivir il quale, non appena ho selezionato il file winlogon, me l'ha intercettato come virus Trojan Win32.Agent.kj.
Ho dovuto cancellarlo a mano dopo aver disabilitato l'antivir e poi ho cancellato la chiave con hijackthis.
Speriamo che il problema sia risolto definitivamente.
Ringrazio tutti per gli interventi.
Ciao

ps: in ogni caso la discussione (indipendentemente da chi aveva ragione o meno) ma ha dato l'opportunità di prendere in considerazione altri aspetti del problema

[lucas84]

Quote:

Originariamente inviato da ThE_RaV[3]N

Non hai pensato che potrebbe essere anche il windows genuine che parte all'avvio? Esso infatti risiede nel modulo winlogon per non essere disabilitato facilmente.....

Con questo non voglio porgere nessuna critica a chi afferma che è la famosissima backdoor, quindi per tagliare la testa al toro consiglio al nostro amico di disconnettersi da internet e dalla riga di comando lanciare il comando netstat -na per vedere se ha aperta la porta 6699 in ascolto e se nella directory C:\WINDOWS\Media ha questi files; cioè ethernet.exe lsass.exe e winlogon.exe.

Guarda e poi facci sapere.....Ciauz Ciauz

P:S> Spero di non essermi attirato l'odio di Lucas84

No, non l'ho mai pensato, il file è sicuramente maligno se si trova in quella locazione, il wga usa la chiave winlogon con collegamento ad una dll che poi viene richiamata da winlogon.exe che si trova in System32 non in Windows, non hai attirato nessun odio ci mancherebbe

Ciao

[ThE_RaV[3]N]

L'importante è che comunque da questi confronti come quello tra me e Lucas84 tu abbia imparato qualcosa e ti sia portato via qualcosa di concreto e utile.

Comunque per tagliare la testa al toro controlla anche come ho suggerito io così ti togli ogni dubbio in merito. Comunque penso che automaticamente questa backdoor cambi anche i permessi sul file nocivo, e quindi tu debba cancellarla dalla provvisoria e non da una sessione normale....

Facci sapere se si ripresenta ancora il problema e che cosa ti risulta dal mio consiglio....

Ciauz Ciauz