Имеем файл-kduur.exe,в реестре он прописан тут:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run_Hidden]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
из реестра он удаляется, но потом опять появляется.
Самое интересное: все дороги ведут в System32,но в папке его нет! (ситемные видно), через Тотал Ком -тоже!
Раньше его небыло. Система работает стабильно, но эта неизвестность мне ненравится.. .
(антивирусы (3разных) его не видят или не определяют как опасный)
Буду ждать помощи!
Программное обеспечение
В автозагрузке неудаляемый файл.
1. Системно автозагрузку можно посмотреть, набрав msconfig в командной стоке.
2. Аваст может чистить комп до реальной загрузки (год назад сталкивались с необходимостью, гадил один вирус)
2. Аваст может чистить комп до реальной загрузки (год назад сталкивались с необходимостью, гадил один вирус)
Где пасутся троянские кони?
Началась эта история, когда один знакомый привез мне ноутбук Toshiba Tecra M2. Традиционно, знакомство с ним я начала с удаления всех ненужных мне автоматически запускаемых программ. Первыми отправились в корзину содержимое папки ‛Автозагрузка‛. Затем туда же последовало большинство программ, прописанных в закладке ‛Автозагрузка‛, которую показывает утилита msconfig. Далее я поотключала надстройки Интернет-эксплорера и пробежалась по содержимому реестра в разделах
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run_Hidden
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx,
а также проверила аналогичные разделы в HKEY_CURRENT_USER.
Список запущенных процессов уменьшился раза в полтора-два, операционка стала работать заметно быстрее.
Спустя примерно месяц, мое внимание привлекла излишняя активность сетевого интерфейса в то время, когда, казалось бы, никаких сетевых подключений быть не должно. Анализатор Ethereal отловил подключения в направлении домена чего-то-там. toshiba.jp, визуально содержащие какой-то зашифрованный трафик.
Расследование показало, что трафик принадлежал программе, находящейся в каталоге утилит от производителя, в числе прочих драйверов для модема, сетевых и видео-карт.
Программа запускалась в разделе
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Стойте! Этот раздел я вычищала. Никаких программ от Toshiba с тех пор я не устанавливала. Дата и время файла такое же, как и файлов рядом - дата и время установки операционки.
Удаляю запуск из реестра, делаю поиск этого имени по реестру и файлам на диске – чисто. Через некоторое время опять вижу пару ‛лишних‛ запущенных процессов и прописанный автозапуск в реестре…
Началась эта история, когда один знакомый привез мне ноутбук Toshiba Tecra M2. Традиционно, знакомство с ним я начала с удаления всех ненужных мне автоматически запускаемых программ. Первыми отправились в корзину содержимое папки ‛Автозагрузка‛. Затем туда же последовало большинство программ, прописанных в закладке ‛Автозагрузка‛, которую показывает утилита msconfig. Далее я поотключала надстройки Интернет-эксплорера и пробежалась по содержимому реестра в разделах
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run_Hidden
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx,
а также проверила аналогичные разделы в HKEY_CURRENT_USER.
Список запущенных процессов уменьшился раза в полтора-два, операционка стала работать заметно быстрее.
Спустя примерно месяц, мое внимание привлекла излишняя активность сетевого интерфейса в то время, когда, казалось бы, никаких сетевых подключений быть не должно. Анализатор Ethereal отловил подключения в направлении домена чего-то-там. toshiba.jp, визуально содержащие какой-то зашифрованный трафик.
Расследование показало, что трафик принадлежал программе, находящейся в каталоге утилит от производителя, в числе прочих драйверов для модема, сетевых и видео-карт.
Программа запускалась в разделе
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Стойте! Этот раздел я вычищала. Никаких программ от Toshiba с тех пор я не устанавливала. Дата и время файла такое же, как и файлов рядом - дата и время установки операционки.
Удаляю запуск из реестра, делаю поиск этого имени по реестру и файлам на диске – чисто. Через некоторое время опять вижу пару ‛лишних‛ запущенных процессов и прописанный автозапуск в реестре…
Владислав Бочарников
67 151
Владислав Бочарников
http://www.adinf.ru/russian/adinf/download.htm
FTP Одновременно с выпуском коммерческих версий ADinf и ADinf32 выпускаются свободно распространяемые некоммерческие и ознакомительные версии программ. Эти версии полностью функциональны с точки зрения обнаружения вирусов.
FTP Одновременно с выпуском коммерческих версий ADinf и ADinf32 выпускаются свободно распространяемые некоммерческие и ознакомительные версии программ. Эти версии полностью функциональны с точки зрения обнаружения вирусов.
Владимир Щелоков
Спасибо,хотелось бы мораль сказки..
:-)))
:-)))
В диспетчере процецессов отображается?
Если да, то сначала удалить все процессы, связанные с ним (лучше не стандартным виндовым, чтобы показывалось полное дерево процессов) , а потом убирать из автозагрузки (есть прикольная программка Starter)
Если да, то сначала удалить все процессы, связанные с ним (лучше не стандартным виндовым, чтобы показывалось полное дерево процессов) , а потом убирать из автозагрузки (есть прикольная программка Starter)
Владимир Щелоков
Его там нет.
Владимир Щелоков
Короче,ничего не получается.Через любую прогу чистка реестра не получается,все опять становится на свои места.
Сносиш антивирус, загружаеш тестовый каспер и базы отключаешся от инета ставиш и проверяеш.
подозрительных отправь сюда http://www.z-oleg.com/secur/avz/uploadu.php
можно онлайн проверится http://www.kaspersky.ru/virusscanner
подозрительных отправь сюда http://www.z-oleg.com/secur/avz/uploadu.php
можно онлайн проверится http://www.kaspersky.ru/virusscanner
Владимир Щелоков
Сейчас попробую...
Владимир Щелоков
Онлайном не смог,выбираю файл он не может его загрузить,пишет,что файл используется другой программой.
WINLOGON.EXE - процесс, ответственный за начало ( logon) сеанса и завершение сеанса ( logoff) пользователя. Процесс активируется только после пользователем кнопок CTRL+ALT+DEL и демонстрирует диалоговое окно для ввода пароля.
Файл WINLOGON.EXE всегда расположен в C:\Windows\System32. В случае обнаружения этого файла в любом другом каталоге он должен быть незамедлительно удален. В настоящее время известно более сотни вирусов (например W32.Neveg.A@mm, Spyware.CMKeyLogger, W32/Netsky-D и множество других) , использующих имя WINLOGON.EXE для сокрытия своего присутствия в системе.
Файл WINLOGON.EXE всегда расположен в C:\Windows\System32. В случае обнаружения этого файла в любом другом каталоге он должен быть незамедлительно удален. В настоящее время известно более сотни вирусов (например W32.Neveg.A@mm, Spyware.CMKeyLogger, W32/Netsky-D и множество других) , использующих имя WINLOGON.EXE для сокрытия своего присутствия в системе.
Константин Северинов
1 447
Константин Северинов
И еще (оригинал на английском)
http://www.neuber.com/taskmanager/process/winlogon.exe.html
Процесс "winlogon.exe" запускается в фоновом режиме. Это часть Windows Логин подсистемы. Winlogon является необходимым для авторизации пользователя и проверяет Windows XP код активации.
Примечание: winlogon.exe файл находится в папке C: \ Windows \ System32. В других случаях, winlogon.exe является вирусом, программ-шпионов, троянских или червь!
P.S. У Вас лицензионка? Вы, наверное, для возможности получать обновления проходили "процедуру" подтверждения подлинности установленной версии ОС. Я раньше тоже не видела у себя этого процесса и долго гадала откуда он взялся. Возможно, он был и раньше, но в процессах я его не видела (а в реестр не заглядывала - тут я пас)
http://www.neuber.com/taskmanager/process/winlogon.exe.html
Процесс "winlogon.exe" запускается в фоновом режиме. Это часть Windows Логин подсистемы. Winlogon является необходимым для авторизации пользователя и проверяет Windows XP код активации.
Примечание: winlogon.exe файл находится в папке C: \ Windows \ System32. В других случаях, winlogon.exe является вирусом, программ-шпионов, троянских или червь!
P.S. У Вас лицензионка? Вы, наверное, для возможности получать обновления проходили "процедуру" подтверждения подлинности установленной версии ОС. Я раньше тоже не видела у себя этого процесса и долго гадала откуда он взялся. Возможно, он был и раньше, но в процессах я его не видела (а в реестр не заглядывала - тут я пас)
Олег это ты меня просишь помочь, я вообще не пойму на каком языке вы тут общаетесь, прекратите ругаться матом!!!
Владимир Щелоков
Извини,больше не будем!
:-)
:-)
так поставь программу для чистки компа... хотя бы cCleaner и попробуй удалить через нее
Владимир Щелоков
Пробывал,остается.
Похожие вопросы
- Как удалить неудаляемые файлы если Unlocker не помогает? Файлы неиспользуемой 7 винды висят на компе мертвым грузом
- Программа для удаления неудаляемых файлов.
- Как удалить неудаляемый повреждённый файл??
- что делать если повреждены файлы автозагрузки винды
- Что ещё, кроме вирусов, фрагментации файлов, большого количества программ в автозагрузке, слабости конфигурации и
- В автозагрузке ноута есть такой файл... IgfxTray...что это? нужно удалить? система Windows 7
- Что процесс chkntfs.exe делает в автозагрузке?
- Случайно убрал аваст 6 с автозагрузки...как мне вернуть его туда
- убрать с автозагрузки или нельзя и для чего это?
- Как удалить Chrome из автозагрузки
И провда,ДО загрузки системы...
Спасибо,буду пробывать.
:-(