winlogon.exe wysyła coś przez SMTP
Witam,
Zauwaźyłem (w raporcie firewalla MKS), źe winlogon.exe wysyła coś pod róźne adersy IP przez SMTP. Efektem tego jest pochłanianie duźej mocy procesora (nawet do 100%) przez proces netmonsv.exe (chyba monitor sieci) będący częścią MKSa. Winlogon.exe wysyła coś (nie wiem co) ok 50 razy w ciągu minuty przez port SMTP do róźnych adresów IP.
Jak zablokować wysyłanie danych w winlogon?
Co właściwie robi (do czego słuźy) winlogon?
pozdrawiam jkdobro
Zauwaźyłem (w raporcie firewalla MKS), źe winlogon.exe wysyła coś pod róźne adersy IP przez SMTP. Efektem tego jest pochłanianie duźej mocy procesora (nawet do 100%) przez proces netmonsv.exe (chyba monitor sieci) będący częścią MKSa. Winlogon.exe wysyła coś (nie wiem co) ok 50 razy w ciągu minuty przez port SMTP do róźnych adresów IP.
Jak zablokować wysyłanie danych w winlogon?
Co właściwie robi (do czego słuźy) winlogon?
pozdrawiam jkdobro
Odpowiedzi: 20
Akcja przeprowadzona z SUKCESEM...... :D
Bardzo dziękuję wszystkim za pomoc.
Bardzo dziękuję wszystkim za pomoc.
Tu masz poczytaj usuwanie tego rootkita. Usuwanie i386p + msctl32.dll
Oczywiście jak masz problem to pisz cały czas. I pamiętaj przy usuwaniu nadawać kluczom LEGACY uprawień do usuwania teź znajdziesz w tym linku pomoc na ten temat
Oczywiście jak masz problem to pisz cały czas. I pamiętaj przy usuwaniu nadawać kluczom LEGACY uprawień do usuwania teź znajdziesz w tym linku pomoc na ten temat
Zapisujesz w Notatniku to:
pod nazwą FIX.REG. Potem startujesz kompa z płyty instalacyjnej do Konsoli odzyskiwania. W konsoli wklepujesz te polecenia:
Komp się zacznie resetować, wchodzisz do Trybu awaryjnego. W tym momencie odpalasz z dwuklika plik FIX.REG i zatwierdzasz komunikat. Na koniec zapuszczasz Registry Search Tool na hasło i386p. Wyniki zapodaj tutaj.
Windows Registry Editor Version 5.00
[–HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\msctl32.dll]
pod nazwą FIX.REG. Potem startujesz kompa z płyty instalacyjnej do Konsoli odzyskiwania. W konsoli wklepujesz te polecenia:
DISABLE i386p
CD C:\WINDOWS\system32
DEL msctl32.dll
CD C:\WINDOWS\system32\drivers
DEL i386p.sys
EXIT
Komp się zacznie resetować, wchodzisz do Trybu awaryjnego. W tym momencie odpalasz z dwuklika plik FIX.REG i zatwierdzasz komunikat. Na koniec zapuszczasz Registry Search Tool na hasło i386p. Wyniki zapodaj tutaj.
Właśnie gdzieś znalazłem RootKita i zrobiłem loga. Faktycznie na końcu loga jest wymieniony i386p.sys i msctl23.dll, ale nie mogę ich znaleźć na dysku w podanych lokalizacjach. Czyźby były tak mocno ukryte? Jak sobie z tym poradzić?
To jest tylko końcówka loga (jest bardzo duźy), ale myślę źe o to chodzi
To jest tylko końcówka loga (jest bardzo duźy), ale myślę źe o to chodzi
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\msctl32.dll:
Description: Hidden from Windows API.
Date: 2006–01–19 15:07
Size: 0 bytes
HKLM\SYSTEM\ControlSet001\Control\Print\Monitors\Monitor j Description: Key name contains embedded nulls (*)
Date: 2004–07–19 11:31
Size: 0 bytes
HKLM\SYSTEM\ControlSet001\Services\Eventlog\System\Mened Description: Key name contains embedded nulls (*)
Date: 2004–03–26 13:12
Size: 0 bytes
HKLM\SYSTEM\ControlSet001\Services\Eventlog\System\Us Description: Key name contains embedded nulls (*)
Date: 2004–03–26 13:14
Size: 0 bytes
HKLM\SYSTEM\ControlSet001\Services\i386p:
Description: Hidden from Windows API.
Date: 2006–01–27 12:59
Size: 0 bytes
HKLM\SYSTEM\ControlSet002\Control\Print\Monitors\Monitor j Description: Key name contains embedded nulls (*)
Date: 2004–07–19 11:31
Size: 0 bytes
HKLM\SYSTEM\ControlSet002\Services\Eventlog\System\Mened Description: Key name contains embedded nulls (*)
Date: 2004–03–26 13:12
Size: 0 bytes
HKLM\SYSTEM\ControlSet002\Services\Eventlog\System\Us Description: Key name contains embedded nulls (*)
Date: 2004–03–26 13:14
Size: 0 bytes
HKLM\SYSTEM\ControlSet002\Services\i386p:
Description: Hidden from Windows API.
Date: 2006–01–27 12:59
Size: 0 bytes
C:\WINDOWS\system32\drivers\i386p.sys:
Description: Hidden from Windows API.
Date: 2006–01–27 13:00
Size: 10.72 KB
C:\WINDOWS\system32\msctl32.dll:
Description: Hidden from Windows API.
Date: 2006–01–19 15:07
Size: 66.50 KB
msctl32 to właśnie jest syf podczepiony pod winlogon, on gdzieś tam powinien siedzieć, pewnie jest ukryty... Ale i tak siedzi rootkit i386p, to pewnie on maskuje dll–a. Zrób loga z Rootkit Revealer, on powinien pokazać wszystkie szkodliwe pliki rootkita.
Występują równieź próby połączenia się poprzez HTTP z 62.64–62–243.reverse.mccolo.com
Moźe to nasunie komuś jakieś rozwiązanie.
Moźe to nasunie komuś jakieś rozwiązanie.
i386p znalazł w rejestrze 3 razy
msctl32.dll ani msctl32 w rejestrze nie występuje.
Zauwaźylem jeszcze w trakcie startu systemu, źe MKS nie pokazuje komunikatu o aktywowaniu skanera. Przez to system uruchamia sie szybciej. Jednak w statucie skanera jest podane źe jest on aktywny.
Co dalej.....?
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_I386P]
"NextInstance"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_I386P\0000]
"Service"="i386p"
"Legacy"=dword:00000001
"ConfigFlags"=dword:00000000
"Class"="LegacyDriver"
"ClassGUID"="{8ECC055D–047F–11D1–A537–0000F8753ED1}"
"DeviceDesc"="i386p"
"Capabilities"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_I386P\0000\LogConf]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_I386P\0000\Control]
"ActiveService"="i386p"
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_I386P]
"NextInstance"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_I386P\0000]
"Service"="i386p"
"Legacy"=dword:00000001
"ConfigFlags"=dword:00000000
"Class"="LegacyDriver"
"ClassGUID"="{8ECC055D–047F–11D1–A537–0000F8753ED1}"
"DeviceDesc"="i386p"
"Capabilities"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_I386P\0000\LogConf]
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_I386P]
"NextInstance"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_I386P\0000]
"Service"="i386p"
"Legacy"=dword:00000001
"ConfigFlags"=dword:00000000
"Class"="LegacyDriver"
"ClassGUID"="{8ECC055D–047F–11D1–A537–0000F8753ED1}"
"DeviceDesc"="i386p"
"Capabilities"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_I386P\0000\LogConf]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_I386P\0000\Control]
"ActiveService"="i386p"
msctl32.dll ani msctl32 w rejestrze nie występuje.
Zauwaźylem jeszcze w trakcie startu systemu, źe MKS nie pokazuje komunikatu o aktywowaniu skanera. Przez to system uruchamia sie szybciej. Jednak w statucie skanera jest podane źe jest on aktywny.
Co dalej.....?
Ja bym dodał jeszcze wyszukanie w rejestrze msctl32.dll, to moźe być rootkit pojawiający się razem z i386p.
Chciałbym coś sprawdzić.
Ściągnij sobie ten programik Registry Search Tool i puść mu szukanie na szukanie słowa i386p. Jeśli coś znajdzie wklej wynik na forum.
Ściągnij sobie ten programik Registry Search Tool i puść mu szukanie na szukanie słowa i386p. Jeśli coś znajdzie wklej wynik na forum.
Process list saved on 21:58:04, on 2006–01–26
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
[pid] [full path to filename] [file version] [company name]
640 C:\WINDOWS\System32\smss.exe 5.1.2600.1106 Microsoft Corporation
728 C:\WINDOWS\system32\winlogon.exe 5.1.2600.1106 Microsoft Corporation
772 C:\WINDOWS\system32\services.exe 5.1.2600.0 Microsoft Corporation
784 C:\WINDOWS\system32\lsass.exe 5.1.2600.1106 Microsoft Corporation
960 C:\WINDOWS\system32\svchost.exe 5.1.2600.0 Microsoft Corporation
1024 C:\WINDOWS\System32\svchost.exe 5.1.2600.0 Microsoft Corporation
1576 C:\WINDOWS\Explorer.EXE 6.0.2800.1221 Microsoft Corporation
1652 C:\WINDOWS\system32\spoolsv.exe 5.1.2600.0 Microsoft Corporation
1780 C:\WINDOWS\System32\RunDll32.exe 5.1.2600.0 Microsoft Corporation
1792 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis2a.exe 2.21.0.0 FinePrint Software, LLC
1800 C:\Program Files\Hewlett–Packard\Toolbox\StatusClient\StatusClient.exe 0.0.0.14 Hewlett–Packard
1816 C:\Program Files\Hewlett–Packard\HP Software Update\HPWuSchd.exe
1828 C:\Program Files\MKS\Bin\mks_menu.exe 1.0.0.1 MKS Sp. z o.o.
1836 C:\Program Files\MKS\Bin\ABregmon.exe 1.0.0.1 ArcaBit
1844 C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE 3.8.0.5004 Microsoft Corporation
1880 C:\Program Files\Hamachi\hamachi.exe 0.9.9.9 Applied Networking
1952 C:\Program Files\Jetico\BestCrypt\BCResident.exe 2.0.9.1 Jetico, Inc.
236 C:\Program Files\MKS\Bin\NetMonSV.exe 1.2.0.1 ArcaBit sp. z o.o.
296 C:\Program Files\MKS\Bin\mksmonsv.exe 1.0.0.1
420 C:\Program Files\Hewlett–Packard\Toolbox\jre\bin\javaw.exe
620 C:\WINDOWS\System32\svchost.exe 5.1.2600.0 Microsoft Corporation
692 C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe 1.0.0.1 X10
1584 C:\Program Files\MKS\Bin\mks_scan.exe 1.0.0.1
3412 C:\Program Files\Internet Explorer\IEXPLORE.EXE 6.0.2800.1106 Microsoft Corporation
3508 C:\WINDOWS\System32\mdm.exe 6.0.0.8149 Microsoft Corporation
1152 C:\Program Files\hijackthis\HijackThis.exe 1.99.0.1 Soeperman Enterprises Ltd.
DLLs loaded by process C:\WINDOWS\system32\winlogon.exe:
[full path to filename] [file version] [company name]
C:\WINDOWS\System32\ntdll.dll 5.1.2600.1217 Microsoft Corporation
C:\WINDOWS\system32\kernel32.dll 5.1.2600.1106 Microsoft Corporation
C:\WINDOWS\system32\msvcrt.dll 7.0.2600.1106 Microsoft Corporation
C:\WINDOWS\system32\ADVAPI32.dll 5.1.2600.1106 Microsoft Corporation
C:\WINDOWS\system32\RPCRT4.dll 5.1.2600.1361 Microsoft Corporation
C:\WINDOWS\system32\GDI32.dll 5.1.2600.1346 Microsoft Corporation
C:\WINDOWS\system32\USER32.dll 5.1.2600.1255 Microsoft Corporation
C:\WINDOWS\system32\USERENV.dll 5.1.2600.1106 Microsoft Corporation
C:\WINDOWS\system32\NDdeApi.dll 5.1.2600.0 Microsoft Corporation
C:\WINDOWS\system32\CRYPT32.dll 5.131.2600.1123 Microsoft Corporation
C:\WINDOWS\system32\MSASN1.dll 5.1.2600.1362 Microsoft Corporation
C:\WINDOWS\system32\Secur32.dll 5.1.2600.1106 Microsoft Corporation
C:\WINDOWS\system32\WINSTA.dll 5.1.2600.1106 Microsoft Corporation
C:\WINDOWS\system32\PROFMAP.dll 5.1.2600.0 Microsoft Corporation
C:\WINDOWS\system32\NETAPI32.dll 5.1.2600.1562 Microsoft Corporation
C:\WINDOWS\system32\REGAPI.dll 5.1.2600.1106 Microsoft Corporation
C:\WINDOWS\system32\WS2_32.dll 5.1.2600.0 Microsoft Corporation
C:\WINDOWS\system32\WS2HELP.dll 5.1.2600.0 Microsoft Corporation
C:\WINDOWS\system32\AUTHZ.dll 5.1.2600.0 Microsoft Corporation
C:\WINDOWS\system32\PSAPI.DLL 5.1.2600.1106 Microsoft Corporation
C:\WINDOWS\system32\VERSION.dll 5.1.2600.0 Microsoft Corporation
C:\WINDOWS\system32\SETUPAPI.dll 5.1.2600.1106 Microsoft Corporation
C:\WINDOWS\System32\hplun.dll 1.0.0.1 Jetico, Inc.
C:\WINDOWS\System32\MSGINA.dll 5.1.2600.1343 Microsoft Corporation
C:\WINDOWS\system32\SHELL32.dll 6.0.2800.1556 Microsoft Corporation
C:\WINDOWS\system32\SHLWAPI.dll 6.0.2800.1552 Microsoft Corporation
C:\WINDOWS\system32\COMCTL32.dll 5.82.2800.1106 Microsoft Corporation
C:\WINDOWS\System32\ODBC32.dll 3.520.9042.0 Microsoft Corporation
C:\WINDOWS\system32\comdlg32.dll 6.0.2800.1106 Microsoft Corporation
C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common–Controls_6595b64144ccf1df_6.0.2600.1515_x–ww_7bb98b8a\comctl32.dll 6.0.2800.1515 Microsoft Corporation
C:\WINDOWS\System32\odbcint.dll 3.520.7713.0 Microsoft Corporation
C:\WINDOWS\System32\SHSVCS.dll 6.0.2800.1106 Microsoft Corporation
C:\WINDOWS\system32\sfc.dll 5.1.2600.0 Microsoft Corporation
C:\WINDOWS\System32\sfc_os.dll 5.1.2600.1106 Microsoft Corporation
C:\WINDOWS\System32\WINTRUST.dll 5.131.2600.0 Microsoft Corporation
C:\WINDOWS\system32\ole32.dll 5.1.2600.1362 Microsoft Corporation
C:\WINDOWS\system32\IMAGEHLP.dll 5.1.2600.1106 Microsoft Corporation
C:\WINDOWS\System32\WINSCARD.DLL 5.1.2600.0 Microsoft Corporation
C:\WINDOWS\System32\WTSAPI32.dll 5.1.2600.1106 Microsoft Corporation
C:\WINDOWS\System32\sxs.dll 5.1.2600.1515 Microsoft Corporation
C:\WINDOWS\System32\uxtheme.dll 6.0.2800.1106 Microsoft Corporation
C:\WINDOWS\System32\WINMM.dll 5.1.2600.1106 Microsoft Corporation
C:\WINDOWS\system32\cscdll.dll 5.1.2600.0 Microsoft Corporation
C:\WINDOWS\system32\oleaut32.dll 3.50.5016.0 Microsoft Corporation
C:\WINDOWS\system32\wininet.dll 6.0.2800.1405 Microsoft Corporation
C:\WINDOWS\System32\iphlpapi.dll 5.1.2600.2 Microsoft Corporation
C:\WINDOWS\System32\dnsapi.dll 5.1.2600.1106 Microsoft Corporation
C:\WINDOWS\system32\WlNotify.dll 5.1.2600.1106 Microsoft Corporation
C:\WINDOWS\System32\WINSPOOL.DRV 5.1.2600.1106 Microsoft Corporation
C:\WINDOWS\system32\MPR.dll 5.1.2600.0 Microsoft Corporation
C:\WINDOWS\System32\rsaenh.dll 5.1.2600.1029 Microsoft Corporation
C:\WINDOWS\System32\mswsock.dll 5.1.2600.0 Microsoft Corporation
C:\WINDOWS\System32\SAMLIB.dll 5.1.2600.1106 Microsoft Corporation
C:\WINDOWS\System32\winrnr.dll 5.1.2600.0 Microsoft Corporation
C:\WINDOWS\system32\WLDAP32.dll 5.1.2600.1106 Microsoft Corporation
C:\WINDOWS\System32\wshtcpip.dll 5.1.2600.0 Microsoft Corporation
C:\WINDOWS\System32\rasadhlp.dll 5.1.2600.0 Microsoft Corporation
C:\WINDOWS\System32\cscui.dll 5.1.2600.1106 Microsoft Corporation
C:\WINDOWS\System32\NTMARTA.DLL 5.1.2600.1106 Microsoft Corporation
C:\WINDOWS\system32\msv1_0.dll 5.1.2600.1106 Microsoft Corporation
C:\WINDOWS\System32\wdmaud.drv 5.1.2600.0 Microsoft Corporation
C:\WINDOWS\System32\msacm32.drv 5.1.2600.0 Microsoft Corporation
C:\WINDOWS\System32\MSACM32.dll 5.1.2600.0 Microsoft Corporation
C:\WINDOWS\System32\midimap.dll 5.1.2600.0 Microsoft Corporation
C:\WINDOWS\System32\COMRes.dll 2001.12.4414.42 Microsoft Corporation
C:\WINDOWS\System32\CLBCATQ.DLL 2001.12.4414.53 Microsoft Corporation
Czy to cości mówi?
Uzyj HiJacka – config –> misc tools –> open process manager(show dll)
Sprawdz jakie biblioteki "podpiete" sa pod winlogon.exe
Sprawdz jakie biblioteki "podpiete" sa pod winlogon.exe
Niestety. Informacje ze strony Symanteca nie dały rezultatu. Opisane klucze są czyste. W systemie nie znalazłem dodatkowej kopii winlogon.exe (jest on tylkow w C:\Windows\system32\ i C:\Windows\system32\dllcache\).
Skanowanie (MKS_Virem) teź nie przyniosło źadnych rezultatów.
Wygląda źe w systemie nie ma W32.Neveg.A@mm którego sugerowałeś.
Moźe jakieś inne propozycje?
Skanowanie (MKS_Virem) teź nie przyniosło źadnych rezultatów.
Wygląda źe w systemie nie ma W32.Neveg.A@mm którego sugerowałeś.
Moźe jakieś inne propozycje?
Udało się.
Jeszcze jedno pytanie.
Czy proces, który rozsyła maile jest widoczny w menadźerze zadań czy jest jakoś ukryty?
Jeszcze jedno pytanie.
Czy proces, który rozsyła maile jest widoczny w menadźerze zadań czy jest jakoś ukryty?
Juz mozna. To chyba jakis problem z DNSami – od kilku dni zauwazylem.
Sory. Pomyłka. Chodziło o ...
to tego nie mogę otworzyć.....http://securityresponse.symantec.com/avcenter/venc/data/w32.neveg.a@mm.html
Skup sie mocno.jkdobro:
Nie mogę otworzyć linku...
Nie mogę otworzyć linku....
moźe coś w zamian?
http://www.liutilities.com/products/wintaskspro/processlibrary/winlogon/ –>
moźe coś w zamian?
http://www.liutilities.com/products/wintaskspro/processlibrary/winlogon/ –>
WinLogon.exe is the Windows NT login manager. It handles the login and logout procedures on your system. This process is an essential part of your OS and should be left alone...
A co właściwie robi winlogon.exe? (oczywiście kiedy system działa poprawnie)
Porownaj z Twoimi zasobami systemowymi (pliki, rejestr) –> http://securityresponse.symantec.com/avcenter/venc/data/w32.neveg.a@mm.html
To moze byc winowajca.
BTW, systemowy winlogon.exe lezy w \system32 i \dllcache.
To moze byc winowajca.
BTW, systemowy winlogon.exe lezy w \system32 i \dllcache.
Strona 1 / 1