Proces userinit.exe i drwtsn.exe... przydatny czy trojan?


(Onczylija) #1

Cześć, chciałbym się poradzić Waszej opinii na temat procesu userinit.exe. Ciekawi mnie ten proces, ponieważ czytam dużo o nim w internecie i jedni piszą, że jest to groźny trojan, inni, że to 'zdrowy' proces.

Mam pakiet antywirusowy Avira Premium Security Suite i przypuśćmy przy pierwszym odpaleniu przeglądarki internetowej (korzystam z firefoxa) po reinstalacji systemu firewall pyta się, czy dopuścić proces userinit.exe do obiegu. Jest taka prosta reguła, że jak nie wiesz co to jest, to nie bierz. I klikam na przycisk DENY, żeby nie zezwolić temu procesowi na działanie. No ale konsekwencją niedopuszczenia userinit.exe do działania jest nie ładowanie się stron w firefoxie. Przyznam się szczerze, że nie wiem, jak zachowuje się wtedy Internet Explorer, ale nie używam go, więc i nie wiem. Wracając do wczytywania się stron to wymogiem tego jest zezwolenie na działanie userinit.exe. I jestem teraz skołowany: czy dopuściłem do działania dobry proces, czy groźnego trojana...

Na wszelki wypadek dołączam logi z hijacka, chociaż na moje oko są one czyste:

http://wklejto.pl/13267

Z góry dzięki za pomoc.

EDIT: Odnośnie procesu drwtsn.exe napisane jest 5 postów niżej, co spowodowane jest zainteresowaniem się wspomnianym procesem dopiero w trakcie dyskusji).

.


(Chillout) #2

Przeskanuj http://www.mks.com.pl/skaner/ pousuwaj (działa pod IE).


(Onczylija) #3

skan był już robiony Panda on-line i Kasperskym on-line. Za każdym razem nic nie wykazało. A MKS... sorry, ale czy ja wiem, czy jest to dobry skaner? Różne opinie o nim słyszałem

EDIT : MKSvir on-line nic nie pokazał

.


(Tompyk) #4

Jeżeli proces Userinit.exe został uruchomiony z katalogu c:\windows\system32\ to jest proces systemowy jeżeli z innego to można podejrzewać wirusa.

Przeszukaj dysk na obecność tego pliku.

Plik może się jeszcze pojawić w katalogu od servicepaca


(Cosik Ktosik) #5

Nie wiem z jakiego to źródła, nie jest to moje ale bardzo dobrze napisane, więc sobie to kiedyś zapisałem. Został tu wyjaśniony proces logowania i rola userinit.exe:


(Onczylija) #6

Tak, userinit.exe jest uruchamiany z pozycji c:\windows\system32\userinit.exe.

Ale ale... kilka dni temu nadziałem się na taką jedną rzecz.. mianowicie miałem otwartych kilka stron firefoxa jednocześnie. Komputer trochę mulił i wyskoczyło zapytanie firewalla, czy dopuścić do działania proces drwatson32.exe. No to pomyślałem sobie, że spoko, proces ten pomoże mi w rozwiązaniu problemów z działaniem komputera (bo tym się zajmuje). No ale po jakimś czasie otwieram menedżera zadań i widzę, że proces drwatson32.exe występuje w spisie aż 3 razy! Zaczerpnąłem informacji w internecie i dowiedziałem się, że to trojan. Prawdziwy proces powinien nazywać się drwtsn.exe , przy czym ten trojan też zapisał się w katalogu c:\windows\system32\ (obok drwtsn.exe). Próbowałem usunąć trojana robiąc wiele skanów różnymi antywirusami, sprawdzałem logi i czyściłem rejestr, ale nie wiem, czy wszystko poszło po mojej myśli..

Teraz mam coś takiego w tym katalogu:

http://img224.imageshack.us/my.php?imag ... 110ti0.jpg

Jak myślicie... ten trojan cały czas atakuje moje dane?

PS. Logi podałem w powyższych postach, skany różnymi programami nic nie pokazują, a z firewalla usunąłem pozycję 'dostępności' dla procesu doktorwatson.


(Onczylija) #7

Yyyyy, sorry, nie śmiej się, ale mógłbyś to na prostszy język przełożyć? :slight_smile:


(Cosik Ktosik) #8

Powiem tak, najpierw startuje winlogon.exe (czyli logowanie: login i hasło), on wywołuje userinit.exe. Tutaj uruchamiane jest środowisko użytkownika i startują programy (informacja co startuje, jest zapisane w rejestrze systemu). Na koniec startuje proces explorer.exe, czyli pulpit. Po uruchomieniu explorera, userinit kończy swoją pracę. Bez któregokolwiek programu, końcowego efektu nie zobaczysz.

A zatem winlogon.exe wywołuje userinit.exe, a ten explorer.exe


(Onczylija) #9

nie no, spoko, jakie procesy następują po sobie przy otwieraniu się windowsa to mnie to raczej mało interesuje. Chciałbym się tylko dowiedzieć, czy ten userinit.exe to trojan czy nie. Bo że ten proces jest przydatny to wiem, ale czy właśnie nie poszywa się pod niego jakiś trojan (np. o lekko zmienionej nazwie, tak jak zdrowym procesem jest drwtsn.exe, a trojan nazywa się już drwatson.exe i jest bardzo groźny /o czym wspominam 3 posty wyżej/).