winlogon.exe is trojan horse TR/Patched.M.1

Het idee achter het patchen van winlogon is dat er niets verdacht verschijnt. Vraag is echter wat deze gepatchte winlogon precies wil doen en of het niet mogelijk om een vals alarm gaat.

Stuur winlogon.exe eens naar roel@kaspersky.nl en dan kijk ik hoe en wat.

Een trojan-horse is ove rhet algemeen een back-door. An sich doet het dus niets, het zet alleen je computer open voor de verspreider van het trojan om met je pc te doen wat hij wilt. Zou best kunnen dat je onderdeel van een groter zombie-netwerk bent.
Maar Schouw kan je hier ongetwijfelt beter mee verder helpen dan ik

Nou, als het al in de systeemprocessen zit heb je toch wel een probleempje. Het enige 100% veilige is een herinstallatie.

Winlogon.exe... ai, die draait continu en kun je niet afsluiten, als je winlogon afsluit kan Windows je sessie niet meer beheren e.d.

Als die besmet is heb je een groot probleem, is het niet gewoon een false positive van AVG?

booten in dos, de bestaande winlogon renamen/deleten en de winlogon van de installcd terugzetten?
Of denk ik nu te makkelijk

[ Voor 3% gewijzigd door Raven op 20-05-2007 22:41 ]

Dat zou kunnen, maar het kan ook zijn (afaik) dat een trojan zich attached aan het winlogon-proces terwijl het eigenlijk een losse module is.

frickY schreef op zondag 20 mei 2007 @ 22:25:
Een trojan-horse is ove rhet algemeen een back-door.

Lang niet altijd. Maar het is in dit geval wel zeer waarschijnlijk.

An sich doet het dus niets, het zet alleen je computer open voor de verspreider van het trojan om met je pc te doen wat hij wilt.

Dan doet het toch wel wat?

Alex) schreef op zondag 20 mei 2007 @ 23:01:
Dat zou kunnen, maar het kan ook zijn (afaik) dat een trojan zich attached aan het winlogon-proces terwijl het eigenlijk een losse module is.

Dan zou die module in memory geflagd moeten worden.

Het patchen van een aantal systemfiles is tegenwoordig aardig populair.
De bestanden worden zo aangepast dat er een DLL geladen wordt. Deze DLL is de gevaarlijke component in deze.

AVG even disablen en/of via een webmail versturen (eventueel geZIPt met wachtwoord om uitgaande (SMTP) mailscanners te omzeilen) ? Zoek anders even op google op 'Winlogon hijack' ... zat voorbeelden.

Probeer anders een full-scan met AVG om de betreffende .dll te achterhalen (of gebruik SysInternals ProcessExplorer). Boot dan vanaf een CD, verwijder alle instanties (dus oa. ook in Driver Cache, etc.)van de .dll, winlogon.exe en eventuele andere kwaadaardige files en copieer winlogon.exe van een andere Windows installatie (aub. wel zelfde taal en als het kan zelfde versie) ...

Of dubbelcheck met een gratis online AV scanner als TrendMicro's housecall

sfc.exe (System FileCheck) runnen vanaf de WinXP CD of een inplace-upgrade van WinXP (CD booten; kiezen voor nieuwe install en dan gewoon 'over' c:\windows heen installeren).

Op die manier worden de orginele Windows bestanden teruggezet, maar blijven je settings & apps behouden. Houdt er aub. wel rekening mee dat de malware ook b.v. in je startup-items kan zitten; die zul je dan met de hand moeten verwijderen, anders wordt je bij de 1ste boot weer besmet.

Dat TrendMicro niets vindt, zegt niet zoveel, daar de malware zichzelf relatief makkelijk kan 'verbergen'. Heb je al gegoogle't op de malware naam en de mogelijke oplossingen ?

Verwijderd schreef op maandag 21 mei 2007 @ 10:55:
Skilla,

Ik heb ook de online scan met Trend Micro gedaan en die vindt helemaal niets verdachts.

Dat komt omdat AVG nog draait en toegang tot het bestand blokkeert.

Een poging om het bestandje middels webmail te versturen lukt ook niet.

Je zal AVG tijdelijk (compleet) moeten uitschakelen om het bestand te kunnen benaderen en zo te kunnen versturen via mail.

Voor wat betreft winlogon.exe en TR/Patched.M.1...toevallig hadden de nederlandse gebruikers van 'n andere AV (AVIRA) gisteren daar ook last van. Met een update was dit verholpen...zal wel toeval zijn

http://forum.antivir.de/thread.php?threadid=22392

Kreeg netjes een mailtje dat het een false positive was.

Onlangs kreeg ik ook een probleem met mijn winlogon.exe bestand nadat ik op een brand software product welliswaar gekraakt op mijn pc had geinstalleerd.

Ik weet niet zeker of het hier door is gekomen, maar mijn vermoeden gaat hier wel naar uit. het duurde namelijk ook erg lang +/- 45 minuten voordat de software geinstalleerd was.

opeens pikte mijn norton AV software een trojan op (niet zeker of het om bovenstaande gaat) maar heb naar mijn idee wel M.1. zien staan.

Ik heb daarop de welliswaar gekraakte en geinstalleerde brand software van mijn pc verwijderd en ge-disinstalleerd.
Helaas bleven de problemen voort bestaan.

"winlogon.exe toepassingsfout" (0x0eedfade)" gaf hij daarin aan.
het annuleren of op OK klikken resulteerde in het telkens opnieuw opstarten van de pc.

Na een hele zoektocht op internet hoe ik het probleem kon oplossen heb ik verschillende tooltjes geprobeerd, pctool van microsoft onderandere, die het een en ander liet zien maar waar je verder geen herstel functie mee kon doen want je moest het product eerst aanschaffen. Zo zij het ook met vele andere software tooltjes. (te belachelijk voor woorden)

Toen heb ik CCcleaner geprobeerd, echter schoot ik daar niet zoveel mee op.
Ad-ware van lafasoft wat overigens prima werkt had helaas ook niks gevonden.
Daarop ben ik opzoek gegaan naar agressievere tooltjes zoals in dit geval spybot seek and destroy, avira security suite.

De 2 laatste tooltjes "spybot seek & destroy" & "Avira security suite" hebben daar wel erg goed aan gedaan.

Ik ben nu voor zover ik kan vernemen van het winlogon.exe foutmeldings scherm en probleem af!
echter wat betreft de trojan backdoor(s) en spy rommel die ik op mijn pc heb gevonden met Avira "die Norton internet security gek genoeg niet heeft kunnen vinden" verwijderd.

Ik zal waarschijnlijk nog even een paar extra scans uit moeten voeren om zeker te weten dat alles weg is.
of dit te controleren in de save modus wat het beste is

verder is het altijd handig je register schoon te maken en te cleanen.
hier gebruik ik zelf CCcleaner voor maar naar mijn gevoel merk ik daar niet concreet iets van.

Hiervoor is er van lavasoft een "registery tuner" tooltje
tenzij er natuurlijk een ander zichtbaar effectief en werkend tooltje voor is. hoor ik dat natuurlijk graag

hopelijk werkt mijn omschrijving ook voor jullie.

Zo niet dan hoor ik het graag even

Grtz

JB