Process Information

Process File: logonui.exe
Process Name: Microsoft Logon User Interface

Author: Microsoft Corp.
Part Of: Microsoft Windows Operating System

Descrizione:
logonui.exe e' un processo di Microsoft Windows XP legato al cambio utente. Questo programma e' importante per la stabilita' e il corretto lavoro del computer e non dovrebbe essere terminato.

Nota: Il file LogonUI.exe e' locato nella cartella C:\Windows\System32. Negli altri casi, LogonUI.exe e' un virus, uno spyware, un trojan o un worm!

Nota: come si e' detto, logonui.exe e' un processo legato al sistema operativo Microsoft Windows XP. Viene eseguito quando un profilo utente cambia.
Comunque, ci sono casi quando il computer e' stato infettato dal irc.zcrew.b trojan che lo stesso trojan ha lanciato un processo con lo stesso nome.
E' quindi raccomandato effettuare una scansione del computer per ricercare virus. Se viene trovato l'irc.zcrew.b, il processo LogonUI.exe deve essere immediatamente terminato e cancellato.

Backdoor.IRC.Zcrew.B e' un Backdoor Trojan Horse che puo' prendere il controllo in remoto di un sistema operativo infettato attraverso IRC e FTP.
Il Trojan puo' arrivare come un archivio auto-estraente (zip, rar, etc...) di circa 1.5 MB di dimensione.

Quando il Backdoor.IRC.Zcrew.B e' eseguito, compie le seguenti azioni:

1. Mette i seguenti file nella cartella C:\WINNT\system32\wbem\repository\fs\macromed:
* A.bat
* Bootdrv.dll
* CLearEL.exe
* Clbcatex.exe- an IRC fileserver called Iroffer, packed with UPX
* Cnb.dll- detected as IRC Trojan
* Cygregex.dll
* Cygwin1.dll
* Explore.DAT
* Firedaemon.exe
* HCAPpRes.dll
* Hidden32.exe
* KEY.OLD
* Key.reg
* LIbparse.exe
* Logonui.exe
* MSVBCM50.DLL
* Msnet.bat
* Names.ini
* Psexec.exe
* Regkeyadd.bat- detected as Backdoor.IRC.Zcrew.B
* Regkeyadd.reg- detected as Backdoor.IRC.Zcrew.B
* SErvUDaemon.ini
* SYstem.ocx
* Safe.bat- detected as Backdoor.IRC.Zcrew.B
* Sec.bat
* Spoolsv.exe- a Serv-U FTP server, packed with UPX
* Text.txt
* Wget.exe
* Winmgnt.bat

NOTA: Eccetto dove segnato, le utilities e i file elencati precedentemente non sono maligni.

2. Aggiunge l'attributo Nascosto a questi file.

3. Aggiunge il valore:

"print sharing" = "\hidden32.exe \explorer.exe"

alla chiave di registro:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

4. Avvia il Serv-U e l'applicazione Iroffer come processi di servizio.


Suggerimenti su logonui.exe:
Non dovrebbe essere disabilitato, richiesto per il corretto lavoro di importanti applicazioni.

Scheda

E' un processo di sistema? Si
E' una applicazione? No
Lavora in background? Si
Usa il network? No
Usa Internet? No