WINLOGON.EXE

[tcianca]

Ogni volta che spengo o riavvio XP mi compare un'avvertimento che dice " attendere chiusura dell'applicazione in corso: WINLOGON.EXE"
ho indagato e scoperto che nella lista di startup compare proprio il sevizio incriminato che fino a poco tempo fa non c'era:

Program : Winlogon
Filename : C:\windows\winlogon.exe
Description : rslocal MFC Application
Loaded From : HKEY_CU\Run

Che mi suggerite in proposito ??

Grazie

[tcianca]

e' forse un worm ??

[citus]

Quote:

Originariamente inviato da tcianca
Ogni volta che spengo o riavvio XP mi compare un'avvertimento che dice " attendere chiusura dell'applicazione in corso: WINLOGON.EXE"
ho indagato e scoperto che nella lista di startup compare proprio il sevizio incriminato che fino a poco tempo fa non c'era:

Program : Winlogon
Filename : C:\windows\winlogon.exe
Description : rslocal MFC Application
Loaded From : HKEY_CU\Run

Che mi suggerite in proposito ???

Grazie

Che data e dimensione ha il file? Io ho davanti a me tre pc con XP e il file è presente nella cartella c:\Windows\System32 e C:\Windows\ServicePackFiles\I386, ma non in C:\Windows.
Il file è grande 507 Kb. Prova a fare una ricerca perchè la cosa sembra un po' anomala in effetti.
Tra i processi attivi c'è sempre un (e uno solo) winlogon, bisogna solo vedere ora se il tuo è ok o è stato sputtanato da qualche bestia strana.

[Devastor]

Quote:

Originariamente inviato da citus
Che data e dimensione ha il file? Io ho davanti a me tre pc con XP e il file è presente nella cartella c:\Windows\System32 e C:\Windows\ServicePackFiles\I386, ma non in C:\Windows.
Il file è grande 507 Kb. Prova a fare una ricerca perchè la cosa sembra un po' anomala in effetti.
Tra i processi attivi c'è sempre un (e uno solo) winlogon, bisogna solo vedere ora se il tuo è ok o è stato sputtanato da qualche bestia strana.

winlogon è normale che ci sia, e a volte ha problemi seri, per esempio io l'ho visti su macchine terminal server andare al 100%, io proverei a dare un occhio anche su
technet ...

[tcianca]

il winlogon incriminato nella startup list e' in una posizione in cui non dovrebbe essere e la dimensione e' 114 KB.
Mi puzza di worm o simili .
Comunque l'ho disabilitato con jv16 ed ora l'errore alla chisura di xp non compare piu'.

Che ne pensate ??

[raceman]

Tranquillo, niente worm.....
Winlogon.exe è il processo responsabile dell'implementazione del logon interattivo. Esso tocca vari aspetti tra cui l'autenticazione delle credenziali dell'utente anche attraverso i protocolli di rete , lo screen saver e altre operazioni di startup. Una DLL di supporto del Winlogon è la familiarmente chiamata GINA. Il nome reale è MSGINA.DLL e sta per MicroSoft Graphical Identification aNd Authentication. Questa DLL, di cui si riesce a trovare solo una minima documentazione, implementa le funzioni di Input/Output con l'utente, i dialoghi per l'inserimento di user-name, password e dominio e gestisce lo screen saver. Tanto per rendere l'idea, il logon tramite impronte digitali o scansione della retina, badge, Smart Card e così via sono di solito implementati tramite una GINA particolare.
Per l’utente il winlogon non è granché visibile se non aprendo il Task Manager o qualche altra utility. Tuttavia esso è fondamentale per il sistema poiché è lui che, anche tramite GINA, crea la sessione utente e lancia la shell (solitamente Explorer).

[Devastor]

Quote:

Originariamente inviato da raceman
Tranquillo, niente worm.....
Winlogon.exe è il processo responsabile dell'implementazione del logon interattivo. Esso tocca vari aspetti tra cui l'autenticazione delle credenziali dell'utente anche attraverso i protocolli di rete , lo screen saver e altre operazioni di startup. Una DLL di supporto del Winlogon è la familiarmente chiamata GINA. Il nome reale è MSGINA.DLL e sta per MicroSoft Graphical Identification aNd Authentication. Questa DLL, di cui si riesce a trovare solo una minima documentazione, implementa le funzioni di Input/Output con l'utente, i dialoghi per l'inserimento di user-name, password e dominio e gestisce lo screen saver. Tanto per rendere l'idea, il logon tramite impronte digitali o scansione della retina, badge, Smart Card e così via sono di solito implementati tramite una GINA particolare.
Per l’utente il winlogon non è granché visibile se non aprendo il Task Manager o qualche altra utility. Tuttavia esso è fondamentale per il sistema poiché è lui che, anche tramite GINA, crea la sessione utente e lancia la shell (solitamente Explorer).

è tutto bellissimo ma il suo problema è che winlogon gli rimane appeso....

[tcianca]

Ho appena installato un firewall ed avuto conferma che il winlogon in questione era un malaware. All'avvio si voleva connettere con un sito porno e magari inviare informazioni di chissa' quale tipo...
ora l'ho eliminato dalla startup list, cancellato da c:\windows e tutto sembra tornato a posto.

grazie