PROBLEMA winlogson.exe

BoxerSheva

Nuovo Utente
143
7
Ciao ragazzi, ieri sera a mio fratello è successa una cosa strana.
Si è accorto di aver ricevuto una mail da Epic Games la quale diceva che i dati del suo account sono stati cambiati, e mi ha detto che in pochi secondi non ha più visto quella mail.
Allora io ho storto un po' il naso, ho provato come prima cosa a recuperare l'account di epic, ma guarda caso "account non trovato".
Ho contattato epic, e mi han detto che effettivamente son stati cambiati i dati, ma ok.
Comunque prima contattare epic ho pensato, siccome la mail di notifica è sparita in pochi secondi, di controllare i dispositivi che avevano accesso alla mail.
Guarda caso noto un "Windows con posizione Russia". Allora li ho scollegato direttamente il dispositivo, cambiato password della mail. Sembra tutto apposto.
Neanche un'ora fa ricevo una mail sulla email di recupero che è stato bloccato un tentativo di accesso alla mail di mio fratello. Allora ho detto non è possibile, mi son messo a controllare i processi che usavano la rete e ho trovato un processo strano che usava un po' di memoria con autore "Winlogson".

Ho fatto qualche ricerca, ed esiste un processo normale di windows che si chiama winlogon, non winlogson. Questo processo viene eseguito solo nell'account locale di mio fratello, nel mio non gira.
1652713778351.png

Ho provato ad effettuare una scansione con Defender, sia veloce che della cartella in foto, nulla.
Cosa mi consigliate di fare?
 

DareDevil_

Bob Aggiustatutto👨‍🔧
Staff Forum
Utente Èlite
19,249
9,127
CPU
Ryzen 7 3800X @4.4Ghz
Dissipatore
Gelid Solution Phantom
Scheda Madre
MSI B550 Tomahawk
HDD
Sabrent Rocket NVME 256GB+A400 120GB+P300 2 TB
RAM
32 GB DDR4 3200 MHz
GPU
Asus RTX 3070 ROG Strix OC
Monitor
AOC 24G2U
PSU
Corsair TX650M
Case
TG5 PRO RGB
Periferiche
Mouse : Logitech G502; Tastiera : Logitech G213; Volante : Logitech G920.
Net
🤡😭
OS
Windows 11
Ciao ragazzi, ieri sera a mio fratello è successa una cosa strana.
Si è accorto di aver ricevuto una mail da Epic Games la quale diceva che i dati del suo account sono stati cambiati, e mi ha detto che in pochi secondi non ha più visto quella mail.
Allora io ho storto un po' il naso, ho provato come prima cosa a recuperare l'account di epic, ma guarda caso "account non trovato".
Ho contattato epic, e mi han detto che effettivamente son stati cambiati i dati, ma ok.
Comunque prima contattare epic ho pensato, siccome la mail di notifica è sparita in pochi secondi, di controllare i dispositivi che avevano accesso alla mail.
Guarda caso noto un "Windows con posizione Russia". Allora li ho scollegato direttamente il dispositivo, cambiato password della mail. Sembra tutto apposto.
Neanche un'ora fa ricevo una mail sulla email di recupero che è stato bloccato un tentativo di accesso alla mail di mio fratello. Allora ho detto non è possibile, mi son messo a controllare i processi che usavano la rete e ho trovato un processo strano che usava un po' di memoria con autore "Winlogson".

Ho fatto qualche ricerca, ed esiste un processo normale di windows che si chiama winlogon, non winlogson. Questo processo viene eseguito solo nell'account locale di mio fratello, nel mio non gira.
Visualizza allegato 433966
Ho provato ad effettuare una scansione con Defender, sia veloce che della cartella in foto, nulla.
Cosa mi consigliate di fare?
Effettua la scansione antivirus con ADWCleaner e RogueKiller (scansione completa).. vedi se trovano file infetti ed in quel caso posti i log.
 

BAT

Moderatore
Staff Forum
Utente Èlite
12,015
5,361
CPU
Neurone solitario
Dissipatore
Ventaglio azionato a mano
Scheda Madre
Casalinga
RAM
Molto molto volatile
GPU
Binoculare integrata nel cranio
PSU
Pastasciutta, pollo e patatine al forno
Net
Segnali di fumo e/o tamburi
OS
Windows 10000 BUG
un processo strano che usava un po' di memoria con autore "Winlogson".
malware al 100% a cui è stato dato un nome molto vicino al vero processo di Windows (winlogon) per sfuggire ad una analisi superficiale;
termina il processo e rimuovi fisicamente il file a cui si riferisce, controlla tutte le voci in avvio automatico, sia con msconfig che le seguenti chiavi di registro. Le (sotto)chiavi che consentono l'avvio automatico (comuni a tutte le versioni di Windows) e che occorre controllare sono le seguenti (per andare direttamente nel punto giusto se usi Win10/11 puoi fare copia incolla dei percorsi sul registro stesso nella parte alta dell'interfaccia utente):
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
  • HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  • HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
  • HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run --> questa potrebbe non esistere affatto, non c'è problema
Nelle versioni di Windows a 64 bit esistono 2 ulteriori chiavi (da controllare qualora stai usando versioni del software a 32 bit):
  • HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run
  • HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce
entra in una per una delle chiavi e cancella l'eventuale voce relativa a quel processo.

Se dopo che l'hai fatto non trovi nulla nelle chiavi di registro e/o in altri programmi che ti permettono di controllare l'esecuzione automatica è meglio se riformatti il sistema
 
  • Mi piace
Reazioni: DispatchCode

BoxerSheva

Nuovo Utente
143
7
malware al 100% a cui è stato dato un nome molto vicino al vero processo di Windows (winlogon) per sfuggire ad una analisi superficiale;
termina il processo e rimuovi fisicamente il file a cui si riferisce, controlla tutte le voci in avvio automatico, sia con msconfig che le seguenti chiavi di registro. Le (sotto)chiavi che consentono l'avvio automatico (comuni a tutte le versioni di Windows) e che occorre controllare sono le seguenti (per andare direttamente nel punto giusto se usi Win10/11 puoi fare copia incolla dei percorsi sul registro stesso nella parte alta dell'interfaccia utente):
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
  • HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  • HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
  • HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run --> questa potrebbe non esistere affatto, non c'è problema
Nelle versioni di Windows a 64 bit esistono 2 ulteriori chiavi (da controllare qualora stai usando versioni del software a 32 bit):
  • HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run
  • HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce
entra in una per una delle chiavi e cancella l'eventuale voce relativa a quel processo.

Se dopo che l'hai fatto non trovi nulla nelle chiavi di registro e/o in altri programmi che ti permettono di controllare l'esecuzione automatica è meglio se riformatti il sistema
e' possibile che sia stato questo malware ad essere entrato nell'account gmail ed Epic bypassando 2FA?
 

BAT

Moderatore
Staff Forum
Utente Èlite
12,015
5,361
CPU
Neurone solitario
Dissipatore
Ventaglio azionato a mano
Scheda Madre
Casalinga
RAM
Molto molto volatile
GPU
Binoculare integrata nel cranio
PSU
Pastasciutta, pollo e patatine al forno
Net
Segnali di fumo e/o tamburi
OS
Windows 10000 BUG
impossibile saperlo, ma quell'affare nel PC non ci deve stare, magari non fa danni fisici (nel senso che non cripta nulla) però potrebbe rubare dati
bypassare l'autenticazione a 2 fattori non è alla portata dello pseudohackerucolo improvvisato, potrebbe essere una csa più sofisticata
oppure viceversa potrebbe non essere collegato, ma tu devi eliminarlo perché è un intruso indesiderato nel sistema per cui va terminato il più velocemente possibile; stacca la connessione a internet e procedi
 

BoxerSheva

Nuovo Utente
143
7
malware al 100% a cui è stato dato un nome molto vicino al vero processo di Windows (winlogon) per sfuggire ad una analisi superficiale;
termina il processo e rimuovi fisicamente il file a cui si riferisce, controlla tutte le voci in avvio automatico, sia con msconfig che le seguenti chiavi di registro. Le (sotto)chiavi che consentono l'avvio automatico (comuni a tutte le versioni di Windows) e che occorre controllare sono le seguenti (per andare direttamente nel punto giusto se usi Win10/11 puoi fare copia incolla dei percorsi sul registro stesso nella parte alta dell'interfaccia utente):
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
  • HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  • HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
  • HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run --> questa potrebbe non esistere affatto, non c'è problema
Nelle versioni di Windows a 64 bit esistono 2 ulteriori chiavi (da controllare qualora stai usando versioni del software a 32 bit):
  • HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run
  • HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce
entra in una per una delle chiavi e cancella l'eventuale voce relativa a quel processo.

Se dopo che l'hai fatto non trovi nulla nelle chiavi di registro e/o in altri programmi che ti permettono di controllare l'esecuzione automatica è meglio se riformatti il sistema
Dall'account locale di mio fratello riesco a terminare il process, ma non ad eliminare il file in quanto non posso accedere alla cartella. Lo screen che ho mandato l'ho fatto col mio account personale, posso eliminarlo anche con il mio quindi? E' strano perchè il processo non si avvia con il mio.
Post unito automaticamente:

impossibile saperlo, ma quell'affare nel PC non ci deve stare, magari non fa danni fisici (nel senso che non cripta nulla) però potrebbe rubare dati
bypassare l'autenticazione a 2 fattori non è alla portata dello pseudohackerucolo improvvisato, potrebbe essere una csa più sofisticata
oppure viceversa potrebbe non essere collegato, ma tu devi eliminarlo perché è un intruso indesiderato nel sistema per cui va terminato il più velocemente possibile; stacca la connessione a internet e procedi
Allora ho terminato il processo ed eliminato il file, però non ho trovato nulla nelle chiavi di registro.
Ho riavviato, tra i processi non vedo più winlogson. Ma defender rileva questo. E anche altro solo che defender si bugga, nel senso, mostra e nasconde subito quello che rileva.
 

Allegati

  • IMG_6592 (1).jpg
    IMG_6592 (1).jpg
    3 MB · Visualizzazioni: 25
Ultima modifica:

BAT

Moderatore
Staff Forum
Utente Èlite
12,015
5,361
CPU
Neurone solitario
Dissipatore
Ventaglio azionato a mano
Scheda Madre
Casalinga
RAM
Molto molto volatile
GPU
Binoculare integrata nel cranio
PSU
Pastasciutta, pollo e patatine al forno
Net
Segnali di fumo e/o tamburi
OS
Windows 10000 BUG

BoxerSheva

Nuovo Utente
143
7
fai la pulizia profonda
https://zerozerocent.blogspot.com/2...inare-file-inutili-vecchie-installazioni.html
quel file ker.exe in temp lo devi eliminare
se la pulizia profonda non lo elimina scarica Utlimate Windows Tweaker per la versione di windows che stai usando, entra nella cartella e prendi possesso del file e cancellalo a mano, le istruzioni le trovi sul mio blog quiqui
https://zerozerocent.blogspot.com/2016/12/prendere-possesso-di-file-protetti-cartelle-protette.html
Devo ancora fare questo passaggio. Sto effettuando la scandione con RogueKiller sull’account dove ipoteticamente è stato installato il malware. Ho notato nel task manager che svchost usa il 100% della gpu
Post unito automaticamente:

Effettua la scansione antivirus con ADWCleaner e RogueKiller (scansione completa).. vedi se trovano file infetti ed in quel caso posti i log.
Ecco i log, il primo log è di una scansione eseguita sull’account locale teoricamente non infetto. Gli altri 2 sono full scan eseguiti con l’account dove il virus “è iniziato”.
svchost sta usando il 100% della gpu ora
Post unito automaticamente:

Devo ancora fare questo passaggio. Sto effettuando la scandione con RogueKiller sull’account dove ipoteticamente è stato installato il malware. Ho notato nel task manager che svchost usa il 100% della gpu
Post unito automaticamente:


Ecco i log, il primo log è di una scansione eseguita sull’account locale teoricamente non infetto. Gli altri 2 sono full scan eseguiti con l’account dove il virus “è iniziato”.
svchost sta usando il 100% della gpu ora
Devo ancora rimuovere, perché svchost credo sia il vero processo di windows solo che sfruttato dal malware.
 

Allegati

  • AdwCleaner[S00].txt
    2.1 KB · Visualizzazioni: 17
  • AdwCleaner[S01].txt
    1.8 KB · Visualizzazioni: 14
  • roguekiller.txt
    10.2 KB · Visualizzazioni: 13
Ultima modifica:

BoxerSheva

Nuovo Utente
143
7
fai la pulizia profonda
https://zerozerocent.blogspot.com/2...inare-file-inutili-vecchie-installazioni.html
quel file ker.exe in temp lo devi eliminare
se la pulizia profonda non lo elimina scarica Utlimate Windows Tweaker per la versione di windows che stai usando, entra nella cartella e prendi possesso del file e cancellalo a mano, le istruzioni le trovi sul mio blog qui
https://zerozerocent.blogspot.com/2016/12/prendere-possesso-di-file-protetti-cartelle-protette.html
non mi appare il pulsante di pulizia avanzata
 

BAT

Moderatore
Staff Forum
Utente Èlite
12,015
5,361
CPU
Neurone solitario
Dissipatore
Ventaglio azionato a mano
Scheda Madre
Casalinga
RAM
Molto molto volatile
GPU
Binoculare integrata nel cranio
PSU
Pastasciutta, pollo e patatine al forno
Net
Segnali di fumo e/o tamburi
OS
Windows 10000 BUG

BAT

Moderatore
Staff Forum
Utente Èlite
12,015
5,361
CPU
Neurone solitario
Dissipatore
Ventaglio azionato a mano
Scheda Madre
Casalinga
RAM
Molto molto volatile
GPU
Binoculare integrata nel cranio
PSU
Pastasciutta, pollo e patatine al forno
Net
Segnali di fumo e/o tamburi
OS
Windows 10000 BUG
Si ho letto, non c'è proprio nel mio caso
impossibile,
in questa finestra premi <OK>

2022-05-16 22_57_47-Pulizia disco_ selezione unità.png


poi ci deve essere per forza (in basso a sinistra)

2022-05-16 22_58_41-Pulizia disco per SSD-SYS (C_).png


se non c'è potresti avere il sistema operativo rovinato.

Da un prompt dei comandi come amministratore lancia il comando
SFC /SCANNOW
che trova e ripristina eventuali file di sistema danneggiati.
Quando ha finito riprova. Se il pulsante continua a non esserci secondo si è rotto qualcosa nel sistema, ti conviene salvare i dati importanti e rirpistinare da zero
 

BoxerSheva

Nuovo Utente
143
7
impossibile,
in questa finestra premi <OK>

Visualizza allegato 434000

poi ci deve essere per forza (in basso a sinistra)

Visualizza allegato 434001

se non c'è potresti avere il sistema operativo rovinato.

Da un prompt dei comandi come amministratore lancia il comando
SFC /SCANNOW
che trova e ripristina eventuali file di sistema danneggiati.
Quando ha finito riprova. Se il pulsante continua a non esserci secondo si è rotto qualcosa nel sistema, ti conviene salvare i dati importanti e rirpistinare da zero
Allora il pulsante continua a non esserci, comunque ho scaricato malwarebytes ed ha rimosso un bel po' di malware e trojan. Non so se ho risolto nel task manager non noto nulla di strano, ma non son sicuro che sia sparito al 100%
 

Kelion

Quid est veritas? Est vir qui adest
Utente Èlite
31,774
10,280
CPU
5600X
Dissipatore
Arctic Liquid Freezer 240
Scheda Madre
ASUS ROG STRIX B550-F GAMING (WI-FI)
HDD
1 SSD 1TB M.2 NVMe Samsung 970 Evo plus 4 HDD P300 3TB ciascuno
RAM
2x8GB Crucial Ballistix 3600 MHz
GPU
RTX 3060 Ti
Monitor
AOC 24G2U 144 Hz
PSU
EVGA G2 750W
Case
NZXT H510
Periferiche
Varie
Net
FTTC 100/30
OS
Windows 10, Debian 10
Allora il pulsante continua a non esserci, comunque ho scaricato malwarebytes ed ha rimosso un bel po' di malware e trojan. Non so se ho risolto nel task manager non noto nulla di strano, ma non son sicuro che sia sparito al 100%
Il formattone si avvicina...
 

Ci sono discussioni simili a riguardo, dai un'occhiata!

Entra

oppure Accedi utilizzando

Discussioni Simili