winlogon.exe?

Status
Niet open voor verdere reacties.
T

tjongejonge

Gebruiker
Lid geworden
13 sep 2004
Berichten
77
:confused:
Hallo Helpmij !? ;o)

Heb een heel vreemd probleempje met windows iexplore.exe, en wel het volgende hij is langzaam en..
Maakte ik regelmatig gebruik van msn gaming zone, maar plotseling krijg ik bij het inlogen de melding, dat Zone setup oude data ontvangt van mijn netwerk , daarom geen verbinding kan maken en moet ik later nogmaals proberen wanneer mijn internet provider het netwerk heeft geUpdate.
Heb kontakt opgenomen met @home helpdesk, die kunnen mij niet verder helpen en staan ook voor een raadsel.
Daarbij dacht ik alles van zone.com te deïnstalleren en weer opnieuw te doen om zo misschien alles te herstellen, wat dus ook niet werkt en krijg ik de zelfde melding.
Maar nu, kan ik MSN Gaming Zone niet via configuratiescherm/software verwijderen, krijg een error melding.. Ga ik dus handmatig verwijderen en kom tot de verassing dat de map C:/Program Files/Msn Gaming Zone/Windows niet valt te verwijderen. De map Windows is leeg ) 0 bytes en is in gebruikt door Winlogon.exe. Maar indien ik deze map scan, worden er 26 objecten gescaned die voor het blote oog niet aanwezig blijken te zijn.. Is in veilige modus wel verwijderbaar maar komt na het herstarten weer terug..

Heb de map C;/windows/downloaded program files geleegd en met HijackThis.exe alle ActiveX componenten gefixed. Deze map is nu leeg, maar bij de daar op volgende herstart komen de 3 register entrie’s van de ActiveX componenten ook weer terug. Dat is 1 van symantec security scan (rufsi.dll), 2 van Panda online scan (asinst.dll) en 3 msn gaming zone (Heartbeat.cab). Deze blijken dus ook niet verwijderbaar te zijn..

Heb de programma’s Totalcomand.exe en MoveOnBoot.exe geprobeerd om die windows map te verwijderen maar geen succes.
MoveOnBoot.exe beweert indien hij niet in staat is om een file te verwijderen dat je waarschijnlijk een spyware infectie hebt opgedaan.
Maar spybot, adaware, A2 en norton geven allen 0 aan....
Indien ik mijn HighjackThis log bekijk lijkt deze brandschoon.. Alleen staan daar nog steeds die 3 – 016 items…
(Ik zal deze log voor de zekerheid erbij plaatsen anders wordt er toch naar gevraagd neem ik aan)

Heeft hier misschien iemand enig idee wat er aan de hand is, waarom deze nutteloze bestanden worden beschermd en hoe ik ze alsnog kan verwijderen of kan analyseren wat er zich in die lege windows map bevind.. ?????

Bij voorbaat hartelijk dank…

??????????????????????????????????????????????????


Logfile of HijackThis v1.98.2
Scan saved at 22:15:11, on 13-9-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Messenger Plus! 3\MsgPlus.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\CursorXP\CursorXP.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Documents and Settings\M M\Menu Start\Programma's\Opstarten\FreeRAM XP Pro 1.40.exe
C:\PROGRA~1\Grisoft\AVG6\avgserv.exe
C:\Program Files\Common Files\Symantec Shared\ccProxy.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Microsoft Office\Office10\WINWORD.EXE
C:\Documents and Settings\M M\Menu Start\Programma's\highjack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.nl/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.nl
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [IS CfgWiz] C:\Program Files\Common Files\Symantec Shared\cfgwiz.exe /GUID NIS /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [CursorXP] C:\Program Files\CursorXP\CursorXP.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: FreeRAM XP Pro 1.40.exe
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Gelijkwaardige pagina's - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Koppelingspagina's - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Opgeslagen momentopname van de pagina - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} -
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} -
O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} -
:thumb:
 
Geplaatst door tjongejonge

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} -
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} -
O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} -
Klik om te vergroten...

Ik zou niet zo gauw weten waar die problemen door veroorzaakt zouden kunnen worden... Alleen was het iig niet handig geweest dat je handmatig die map helemaal geleegd hebt.

1. Start opnieuw op in veilige modus, en fix bovenstaande.

2. Start opnieuw op.:)
 
Dankjewel H@ns voor je reactie, maar zoals ik al eerder schreef heeft het tot nog toe ook geen succes gehad om dit in veilige modus te verwijderen, het lukt wel, maar...
:eek:
Deze 016 items blijven Net zo als die 2 mappen van gaming zone terug komen na de herstart. Wat wel opmerkelijk is, is dat de vermeende locker "winlogon.exe" in veilige modus ook actief is maar dan deze mappen niet vasthoud. Daarmee neem ik aan dat er nog een 2e proces bij betrokken is dat niet gevonden wil worden.
Zelfs indien ik in normale modus alle mogelijke processen met taakbeheer beëindig heeft dat geen succes.



:thumb:
 
Ga naar Start - Uitvoeren, en typ daar:
msconfig

Klik OK.

Ga naar tablad Opstarten, en plaats daar een vinkje in ALLE niet-gemarkeerde regels.

Start nu opnieuw op, maak een nieuw logje aan met HijackThis, en post dat hier :)
 
Oké begrijp wat je bedoeld, denk ik, gebruik msconfig namelijk niet maar gebruik de "system start op run" van "spybot", dus heb daar maar alles aangevinkt.. Bij msconfig was ik niet veel verder gekomen dan 1 vinkje :rolleyes:

Thanks
:thumb:
Logfile of HijackThis v1.98.2
Scan saved at 19:40:00, on 14-9-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Messenger Plus! 3\MsgPlus.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe
C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\CursorXP\CursorXP.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Documents and Settings\Marcel Matthes\Menu Start\Programma's\Opstarten\FreeRAM XP Pro 1.40.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\PROGRA~1\Grisoft\AVG6\avgserv.exe
C:\Program Files\Common Files\Symantec Shared\ccProxy.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\mozilla.org\Mozilla\mozilla.exe
C:\Documents and Settings\Marcel Matthes\Menu Start\Programma's\highjack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.nl/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.nl
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [IS CfgWiz] C:\Program Files\Common Files\Symantec Shared\cfgwiz.exe /GUID NIS /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe /STARTUP
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [CursorXP] C:\Program Files\CursorXP\CursorXP.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Startup: FreeRAM XP Pro 1.40.exe
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Gelijkwaardige pagina's - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Koppelingspagina's - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Opgeslagen momentopname van de pagina - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} -
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} -
O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab

:8-0:
 
Niets verkeerds meer te vinden in je logje (in dit geval misschien helaas...)

Die ene O16 is alweer veranderd in een normale zie ik. Die anderen zullen je probleem niet veroorzaken in ieder geval.
 
Inderdaad, dat dacht ik ook dat ie echt wel schoon is, snap er zelf ook geen R..T meer van.
Zelfs mijn systeem herstel laat het afweten en vermeld dat hij het herstel niet kan doorvoeren en er geen veranderingen zijn aangebracht..
Via opdracht prompt valt het ook niet te deleten.
Heb gewoon niks meer te vertellen wat er in mijn eigen computer gebeurd, hij blijkt zijn eigen :evil: leventje te leiden..
Heb via Google nog wat vermeldingen kunnen vinden over dit probleem van maar geen oplossingen.
Wacht even af misschien dat SP2 dit probleem oplost zo niet, zal het voorlopig wel een raadsel blijven..

Tijdje terug een CWS besmetting gehad die zich ook had versleuteld met de ActiveX van de online scans en bleek uiteindelijk in de SDhelper.dll van spybot te zitten, maar toch i v m totale crash alsnog alles moeten formateren, ben pas opnieuw begonnen en nu dit weer..


:confused: Gelukkig hebben we Mozilla nog.......

I I G Hartelijk bedankt dat je hebt willen kijken...
 
Opgelost !?

Het is een Bugje in Windows File Protection waarin "winlogon.exe" een rolletje speelt.. in Win 2000 en XP

Dit is handmatig uit te schakelen maar dat is niet bepaald gemakkelijk deze gratis oplossing vereist nogal enige expertise..
Zoals je o.a. hier kan lezen:
http://www.winguides.com/registry/display.php?id=790&filter=plain

helaas niet gratis, dit Tooltje, WFPadmin,
http://www.majorgeeks.com/download.php?det=859
maar de geboden evaluatie van 14 dagen bied je voldoende tijd om je te verlossen van dat soort rommel...

:thumb:

Bedankt voor jullie aandacht...:love:

P.S.
Maar pas op dit programmatje is even zo link als HighjackThis wanneer je niet weet wat je doet, kan je het hele systeem voor het zelfde geld compleet overhoop helpen... Dus voorzichtigheid geboden...
 
Status
Niet open voor verdere reacties.
Steun Ons

Nieuwste berichten

Terug
Bovenaan Onderaan