Toon posts:

wat is "winlog0n.exe"?

Pagina: 1
Acties:

zaterdag 8 januari 2005 23:41

Acties:
  • PipoDeClown
  • Registratie: September 2000
  • Niet online

PipoDeClown

Izze Zimpell

Topicstarter
blijkt sinds 2 dagen een bestand op de pc te staan genaamd "WINLOG0N.EXE"
en een entry in het registry (hijackthis)
code:
1

O4 - HKLM\..\Run: [Windows Update Manager] C:\WINDOWS\system32\WINLOG0N.EXE


via google kom je nog bar weinig tegen dan alleen een trefwoord Agobot.
de exe is aspacked/protected .
Sophos 3.89 (web) en Antivir PE 6.29 herkennen het niet.

weet iemand wat dit is?
gerarde sample is beschikbaar.

God weet alles, want hij is lid van de Mosad. To protect your freedom i will take that away from you. Mijn drankgebruik heeft ernstig te lijden onder mijn gezondheid.

zaterdag 8 januari 2005 23:51

Acties:
  • Chrissels
  • Registratie: Juli 2004
  • Laatst online: 29-04-2022

Chrissels

Probeer het hier eens mee te scannen: http://virusscan.jotti.dhs.org/

Probeer ook HitmanPro.

Blijft het bestaan, wegknikkeren en die registry verwijzing weghalen.

zondag 9 januari 2005 00:10

Acties:
  • PipoDeClown
  • Registratie: September 2000
  • Niet online

PipoDeClown

Izze Zimpell

Topicstarter
Chrissels schreef op zaterdag 08 januari 2005 @ 23:51:
Probeer het hier eens mee te scannen: http://virusscan.jotti.dhs.org/
ja naar die link was ik op zoek :)

als enige door Kaspersky Anti-Virus gewogen en te licht bevonden als een
Trojan.Win32.Agent.an

dankt

God weet alles, want hij is lid van de Mosad. To protect your freedom i will take that away from you. Mijn drankgebruik heeft ernstig te lijden onder mijn gezondheid.

zondag 9 januari 2005 12:56

Acties:
  • Pendaco
  • Registratie: Augustus 2003
  • Nu online

Pendaco

Vogon Poetry FTW!

ik zou hem zowiezo even in quarantine gooien, of de filenaam hernoemen.
Bestanden die zich vernoemen naar bekende windows processen (winlogon.exe) zijn 9 van de 10x virussen of andere ongein

zondag 9 januari 2005 14:30

Acties:
  • PolarBear
  • Registratie: Februari 2001
  • Niet online

PolarBear

PipoDeClown schreef op zondag 09 januari 2005 @ 00:10:
[...]
als enige door Kaspersky Anti-Virus gewogen en te licht bevonden als een
Trojan.Win32.Agent.an
Anders doe je even een spreekwoord vernaggelen ;(
Gewogen en te licht bevonden.
--------------------------------------------------------------------------------
Niet aan de eisen voldoen.
Pendaco schreef op zondag 09 januari 2005 @ 12:56:
Bestanden die zich vernoemen naar bekende windows processen (winlog0n.exe) zijn 9 van de 10x virussen of andere ongein
Ik zou er 10 van de 10 keer van maken!

zondag 9 januari 2005 22:23

Acties:

Verwijderd

Ik heb de betreffende sample eens vluchtig bekeken.

Een copy wordt in %sysdir% en in %sysdir%\drivers\ gedropt.
Eerste als WINLOG0N.EXE, tweede als audiox.(Zonder extensie)

Er wordt in de file gelinkt naar een (Chinese) torrentsite die een not-a-virus:AdWare.ToolBar.Baidu variant wil installeren.

Meeste payload van de file lijkt policy related te zijn.

Aan te raden imho om het systeem nog eens door te lichten met een AV die deze Trojan kan detecteren. :)
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq