תדאג לסגור על תוכנה שמשתמש באינטרנט זמנית (כולל הדפדפן, ICQ, EMULE), ותריץ רגע ב COMMAND PROMPT את הפקודה

netstat -b ותראה את ה OUTPUT שלה.

זה?

http://img412.imageshack.us/img412/314/15bj.jpg

קיצר, יש לך וירוס במחשב, תריץ אנטיוירוס טוב ואיכותי ותוריד אותו. (למיטב הבנתי).

winlogon.exe is also a process which is registered as the W32.Netsky.D@mm worm and the Backdoor.Prorat Trojan. The Netsky.D@mm worm is distributed via the Internet through e-mail and comes in the form of an e-mail message, in the hopes that you open its hostile attachment. The worm has its own SMTP engine which means it gathers E-mails from your local computer and re-distributes itself. In worst cases this worm can allow attackers to access your computer, stealing passwords and personal data. It is a registered security risk and should be removed immediately.

ואפשר לראות מה NETSTAT שהוא אכן משתמש ב SMTP משלו...

אחי תודה על העזרה!!!!

הייתי בטוח nod32 אנטיוירוס טוב :s05: (מעודכן). אני אנסה לסרוק עם אחד אחר.

אני אעדכן בתוצאות.

לסרוק גם עם תוכנה נגד ריגול?

זה וירוס דווקא די נפוץ שאני בטוח שכל אנטיוירוס שמכבד את עצמו יודע לזהות ולהסיר (ו NOD32 הוא אחד כזה)...

אני משתמש ב AVG החינמי (למרות שלא יצא לי להתקל בוירוס אצלי)...

כדי להריץ מה שאפשר, אם כי במקרה הזה מדובר בוירוס, תוכנת ANTISPYWARE לא תעזור.

----

טכנאים של NV... תמיד פתרונות חכמים.......

---

אולי גם זה יעזור:

http://securityresponse.symantec.com/avcenter/venc/data/w32.netsky.d@mm.html

יש שם לינק לתוכנת הסרה.

מוזר :

גם NOD32 לא מוצא כלום

ממש מוזר..

תרשום ב COMMAND PROMPT

dir c:\windows\system32\winlogon.exe

וגם תריץ HIJACKTHIS ותחפש שם אם יש מופעים אחרים של WINLOGON ממקומות אחרים...

הרצתי את התוכנה שאמרתת.. לא נראה לי שיש משהו שקשור לזה, אבל לא בטוח:

Logfile of HijackThis v1.99.1

Scan saved at 23:14:50, on 26/12/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Sygate\SPF\Smc.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Eset\nod32krn.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Eset\nod32kui.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\wscntfy.exe

C:\PROGRA~1\HEWLET~1\HPSHAR~1\hpgs2wnf.exe

C:\WINDOWS\system32\cmd.exe

C:\WINDOWS\system32\mspaint.exe

C:\Program Files\Avant Browser\avant.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\Program Files\XoftSpy\XoftSpy.exe

C:\Program Files\Eset\nod32.exe

C:\WINDOWS\system32\taskmgr.exe

C:\Program Files\WinRAR\WinRAR.exe

C:\DOCUME~1\CDDD~1\LOCALS~1\Temp\Rar$EX00.500\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0 ME\Reader\ActiveX\AcroIEHelper.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O8 - Extra context menu item: &יצא ל- Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: ... פתח את כל הקישורים בדף זה - C:\Program Files\Avant Browser\OpenAllLinks.htm

O8 - Extra context menu item: הדגש - C:\Program Files\Avant Browser\Highlight.htm

O8 - Extra context menu item: הוסף לרשימת הפרסומות החסומות - C:\Program Files\Avant Browser\AddToADBlackList.htm

O8 - Extra context menu item: חסום את כל התמונות משרת זה - C:\Program Files\Avant Browser\AddAllToADBlackList.htm

O8 - Extra context menu item: חפש - C:\Program Files\Avant Browser\Search.htm

O8 - Extra context menu item: פתח מופע חדש של דפדפן אוונט - C:\Program Files\Avant Browser\OpenInNewBrowser.htm

O9 - Extra button: מחקר - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1134080713015

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1134080702921

O16 - DPF: {D79B6F43-F214-4E7A-9ECB-CCC8771F2416} (LauncherV1 Class) - http://www.tapuz.co.il/irc/main/launcher.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: msctl32.dll - C:\WINDOWS\System32\msctl32.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\Smc.exe

ממש מוזר... האנטיוירוס שלך עדכני כן ?

יש מצב שאם אני אסרוק במצב בטוח זה ימצא את הוירוס?

קיצר, יכול להיות שאני בכלל WAY OFF (אם למישהו יש רעיון..), בכל מקרה, נסה להריץ:

http://www.sysinternals.com/Files/ProcessExplorerNt.zip

ותביא SCREENSHOT של WINLOGON.EXE עם כל מה שיש מתחתיו שקשור אליו (ותבדוק אם יש לך WINLOGON אחד שם או יותר).

אתה בטוח שה תוכנת דוא"ל שלך היתה מכובה כשעשית את ה NETSTAT -B ?

http://img402.imageshack.us/img402/3830/14og.jpg

לזה התכוונת?

*הוספתי קובץ טקסט של כל הפרטים שרשומים למטה.(בחלק התחתון)

ובקשר לתוכנת דוא"ל אז אין לי אף תוכנה...

[attachment deleted by admin]

א. ALG.EXE זה האחרון ? תבדוק שאין משהו אחרי ותגדיל קצת את ה DESCRIPTION ן COMPANY.

אחרי זה, תעשה שם מיון לפי CPU בסדר יורד, ותביא SCREENSHOT ברגע שאתה רואה משהו עם יותר מ 10 אחוז.

תעשה גם כפתור ימני על WINLOGON.EXE ותלחץ PROPERTIES ו VERIFY ותראה שזה בסדר.

עשיתי verify(אין לי מושג אם זה עשה משהו....הכפתור רק הפך לאפור ולא הייתה אפשרות ללחוץ עליו שוב)

והנה תמונה של כל התהליכים:

http://img439.imageshack.us/img439/7906/12cy.jpg

לא יודע מה להגיד..תראה SCREENSHOT של NETSTAT -B מלא. (אחרי RESTART של מחשב ובלי שהפעלת תוכנה שקשורה לאינטרנט, וש MSN או משהו עובד).