|
Log-Analyse und Auswertung: WinXPPro: Rechner rebooted kurz vor login feld / winlogon.exe?Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML |
06.12.2006, 19:04 | #1 |
| WinXPPro: Rechner rebooted kurz vor login feld / winlogon.exe? Hallo alle zusammen, ich mache jetzt schon den ganzen Tag mit einem unschönen Problemchen rum und komme einfach nicht weiter, da ihr hier alle so hilfsbereit seid dachte ich, ich poste mein problem mal. Als ich heute morgen den Rechner gestartet habe kam direkt nachdem ich mich angemeldet habe, während er die autostart programme geladen hat, eine meldung meines AVG Free, die datei winlogon.exe im Windows/System32/ Ordner sei mit einem Virus infoziert. AVG Free erkennt den Virus als "Trojan Horse Flooder.AKE", die Datei lässt sich scheinbar nicht heilen. Ich habe natürlich auf "Heal" geklickt und er hat die file der Vault zugefügt und mich informiert, dass der Rechner nun neu starten müsste. Ich klicke also auf OK und warte. Leider fährt der Rechner seitdem nicht mehr hoch. Sobald der blaue Hintergrund des windows logon screens auftaucht startet der rechner neu. Im Bootmenü(F8) scheinen auf einmal neue optionen hinzugefügt worden zu sein, wie "Betriebssystem wählen" und "Ordnerstruktur wiederherstellen", es ist jedoch nach wie vor nur winXP Pro auswählbar und die ordnerstruktur wiederherzustellen resultiert darin, dass er behauptet, die beiden Platten seien im dateisystem beschädigt. Das da was dran ist bezweifle ich, der Rechner funktioniert im abgesicherten Modus mit Netzwerktreibern reibungslos. Systemwiederherstellung lieferte keine Hilfe und über den von AVG ausgegebenen Virus finde ich keine Informationen. Natürlich habe ich die datei mit virus total gescanned: STATUS: FINISHEDComplete scanning result of "winlogon.exe", received in VirusTotal at 12.06.2006, 18:22:33 (CET). Antivirus Version Update Result AntiVir 7.2.0.49 12.06.2006 no virus found Authentium 4.93.8 12.05.2006 no virus found Avast 4.7.892.0 12.06.2006 no virus found AVG 386 12.06.2006 no virus found BitDefender 7.2 12.06.2006 no virus found CAT-QuickHeal 8.00 12.05.2006 no virus found ClamAV devel-20060426 12.06.2006 no virus found DrWeb 4.33 12.06.2006 no virus found eSafe 7.0.14.0 12.06.2006 no virus found eTrust-InoculateIT 23.73.78 12.06.2006 no virus found eTrust-Vet 30.3.3234 12.06.2006 no virus found Ewido 4.0 12.06.2006 no virus found Fortinet 2.82.0.0 12.06.2006 no virus found F-Prot 3.16f 12.05.2006 no virus found F-Prot4 4.2.1.29 12.05.2006 no virus found Ikarus T3.1.0.26 12.05.2006 no virus found Kaspersky 4.0.2.24 12.06.2006 no virus found McAfee 4911 12.05.2006 no virus found Microsoft 1.1804 12.06.2006 no virus found NOD32v2 1904 12.06.2006 no virus found Norman 5.80.02 12.05.2006 no virus found Panda 9.0.0.4 12.06.2006 no virus found Prevx1 V2 12.06.2006 no virus found Sophos 4.12.0 12.06.2006 no virus found Sunbelt 2.2.907.0 11.30.2006 no virus found TheHacker 6.0.3.130 12.06.2006 no virus found UNA 1.83 12.05.2006 no virus found VBA32 3.11.1 12.05.2006 no virus found VirusBuster 4.3.15:9 12.05.2006 no virus found Da erscheint sie geradezu erschreckend Viren-frei. Hier nun die HJT-Logfile: Logfile of HijackThis v1.99.1 Scan saved at 18:58:48, on 06.12.2006 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\PROGRA~1\GEMEIN~1\Stardock\SDMCP.exe C:\WINDOWS\Explorer.EXE C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe C:\Programme\Spybot - Search & Destroy\SpybotSD.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Grisoft\AVG Free\avgwb.dat C:\Programme\Grisoft\AVG Free\avgvv.exe C:\Dokumente und Einstellungen\***SHUBIDU**\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: (no name) - {A6790AA5-C6C7-4BCF-A46D-0FDAC4EA90EB} - (no file) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" O4 - HKLM\..\Run: [iamapp] C:\Programme\Norton Personal Firewall\IAMAPP.EXE O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer O4 - HKLM\..\Run: [PRISMSVR.EXE] "C:\Programme\Siemens\Gigaset USB Adapter 54\PRISMSVR.EXE" /APPLY O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Programme\Yahoo!\Messenger\YahooMessenger.exe" -quiet O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ? O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe O4 - Global Startup: Gigaset WLAN Adapter Monitor.lnk = C:\Programme\Siemens\Gigaset USB Adapter 54\GigasetUSBMonitor.exe O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Convert to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Programme\Yahoo!\Messenger\YahooMessenger.exe O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Programme\Yahoo!\Messenger\YahooMessenger.exe O15 - Trusted IP range: 67.19.178.84 (HKLM) O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkID=39204 O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.5) - http://eu-housecall.trendmicro-europe.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1165426333031 O16 - DPF: {96512D57-F751-4088-A689-5778FCC77F7A} (Photo Uploader Control) - http://www.studivz.net/lib/photouploader/PhotoUploader.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{2B121404-17D3-442A-B8F4-4521FC4631F8}: NameServer = 192.168.254.254 O17 - HKLM\System\CCS\Services\Tcpip\..\{ADC39FFA-CDB2-46EA-86BB-87558AB4D41A}: NameServer = 192.168.254.254 O17 - HKLM\System\CS2\Services\Tcpip\..\{2B121404-17D3-442A-B8F4-4521FC4631F8}: NameServer = 192.168.254.254 O17 - HKLM\System\CS3\Services\Tcpip\..\{2B121404-17D3-442A-B8F4-4521FC4631F8}: NameServer = 192.168.254.254 O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O20 - Winlogon Notify: MCPClient - C:\PROGRA~1\GEMEIN~1\Stardock\mcpstub.dll O21 - SSODL: System - {C96E8402-D700-4110-B7F7-EAFA39220362} - vr_sys.dll (file missing) O21 - SSODL: AudioHQ - {5CDA8B85-8DDF-6EEA-CE2B-1C29B5964852} - c:\progra~1\gemein~1\instal~1\engine\6\intel3~1\winnaqdm32.dll (file missing) O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE O23 - Service: svchost.exe (moto) - Unknown owner - C:\WINDOWS\svchost.exe (file missing) O23 - Service: Norton Personal Firewall Service (NISSERV) - Symantec Corporation - C:\Programme\Norton Personal Firewall\NISSERV.EXE O23 - Service: Norton Personal Firewall Accounts Manager (NISUM) - Symantec Corporation - C:\Programme\Norton Personal Firewall\NISUM.EXE O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR2a\RpcDataSrv.exe O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR2a\RpcSandraSrv.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe O23 - Service: Norton Personal Firewall Proxy Service (SymProxySvc) - Symantec Corporation - C:\Programme\Norton Personal Firewall\SymProxySvc.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe Das System ist nicht gerade aufgeräumt, zugegeben. Mir geht es allerdings nur darum, dass es wieder startet denn ich werde im Januar ohnehin einen neuen Rechner zusammenbauen. Ich werde nun weiter nach einer Lösung suchen.. gibts doch nicht sowas :P Ich hoffe hier kann mir jemand weiterhelfen. Vielen Dank schonmal und einen schönen Abend, NcjE |
06.12.2006, 19:11 | #2 | ||
/// Winkelfunktion /// TB-Süch-Tiger™ | WinXPPro: Rechner rebooted kurz vor login feld / winlogon.exe? Das ist ein hoffnungsloser Fall, allein schon wegen diesem Eintrag:
__________________Zitat:
Aber kein Wunder, denn dein Windows hat auch noch nie ein Update bekommen! Zitat:
__________________ |
06.12.2006, 19:25 | #3 |
| WinXPPro: Rechner rebooted kurz vor login feld / winlogon.exe? Kann das nicht ein alter Eintrag sein von einem bereits entfernten Virus? Ist nicht so dass das das erste problem wäre das auftritt
__________________Aber stimmt schon mit diesem build bin ich nicht gerade sorgsam unterwegs gewesen Ich würde nur ungern den Rechner jetzt neu aufsetzen und das dann in 4 wochen wiederholen müssen |
06.12.2006, 19:55 | #4 |
/// Winkelfunktion /// TB-Süch-Tiger™ | WinXPPro: Rechner rebooted kurz vor login feld / winlogon.exe? Folge dem Link "Neu aufsetzen" in meiner Sig, da wird auch was über die Absicherung geschrieben. Wenn du dich daran hälst, wird der Rechner nicht mehr so schwuppdiwupp kompromittiert. Ein wichtiges Kritierium ist, dass du OFFLINE das SP2 einspielst.
__________________ Logfiles bitte immer in CODE-Tags posten |
06.12.2006, 20:34 | #5 |
| WinXPPro: Rechner rebooted kurz vor login feld / winlogon.exe? Guten Abend zusammen. hatte heute zufälligerweise dasselbe Problem, bzw. habs immernoch. Dachte zunächst ich könnte das Problem durch ein neuansetzten meiner systempartition durch ein image backup von letzter woche beheben ---> Fehlanzeige. Hab hier im Forum gelesen dass es sich evtl. auch um einen trojaner mit rootkit eigenschaften handeln könnte. Somit müßte ich alle partitionen mit ausführbaren programmmen tot(o)machen. Das will ich aber nicht. Hab mir folgende Lösung überlegt: Im abgesicherten Modus Computer scannen, alle infizierten dateien entfernen und anschließend sofort ohne Neustart meine c: partition überschreiben (sollte hoffentlich mit acronis image type funktionieren). Meine frage lautet schlicht: Kann des funktionieren?? Bzw. falls nicht, gibts irgendwelche anderen Möglichkeiten? Habe leider nicht meine Spiele partition gesichert, dh. kann diese nicht auch durch ein nicht infiziertes Image ersetzten. Grüße Elsevier |
06.12.2006, 21:02 | #6 | |||
/// Winkelfunktion /// TB-Süch-Tiger™ | WinXPPro: Rechner rebooted kurz vor login feld / winlogon.exe?Zitat:
Zitat:
Zitat:
Die Spiele kannst und solltest du auch alle von Originalmedien neu installieren, um das Risiko einer erneuten Infektion zu minimieren.
__________________ --> WinXPPro: Rechner rebooted kurz vor login feld / winlogon.exe? |
06.12.2006, 21:17 | #7 |
| WinXPPro: Rechner rebooted kurz vor login feld / winlogon.exe? Ok. falls mein image auch verseucht ist gibts natürlich probleme. zum glück hab ich noch nen paar frühere versionen. werds mal mit einem von denen probieren. Punkt ist aber das ich immer vor erstellen eines backups alle scanner laufen lasse. Und da wurde das letzte mal nichts gefunden. kann natürlich sein dass avg den virus erst gestern oder heute in seine datenbank aufgenommen hat. Ist des irgendwie festzustellen? Hab mal auf der avg seite geschaut, aber nix unter dem namen trojan horse flooder.ake gefunden Mein image scheint tatsächlich verseucht zu sein. avg hat nur auf meiner frisch aufgesetzten c: partition etwas gefunden. kann natürlich sein dass der trojaner irgendeine datei auf meiner spiele partition anlegt die avg nicht findet und sich dann wieder in die winlogon.exe einschreibt.Naja,versuchs jetzt grad mit neustart und wenns dann net geht mit nem früheren image. Danke schonmal für deine Antwort. Geändert von Elsevier (06.12.2006 um 21:29 Uhr) |
06.12.2006, 21:33 | #8 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | WinXPPro: Rechner rebooted kurz vor login feld / winlogon.exe?Zitat:
Auf einem kompromittierten System sind Virenscanner chancenlos. Wichtige Systemdateien von Windows könnten durch den Angreifer modifiziert sein. Da der Virenscanner aber auf betriebssysteminterne Funktionen zugreifen muss, ist es möglich, dass das kompromittierte System den Scanner "anlügt". Daraus folgt eigentlich unweigerlich die Erkenntnis, dass ein Virencheck auf einem bereits kompromittierten System zum Zwecke der sicheren (!) Bereinigung bzw. Auffinden aller Schädlinge nicht möglich sein kann! Wenn überhaupt wäre das nur von einem sauberen Zweitsystem aus möglich, von dem aus man den Scanner ausführt und die Dateien des infizierten OS checkt - aber auch das ist nicht sicher, da Virenscanner ja prinzipiell Schädlinge übersehen können.
__________________ Logfiles bitte immer in CODE-Tags posten |
06.12.2006, 21:36 | #9 |
| WinXPPro: Rechner rebooted kurz vor login feld / winlogon.exe? Diesen Link von dir hab ich mir erst vor fünf minuten selber angeschaut. Ich sehs ja ein. Bin grad dabei ein früheres Image aufzutragen... |
06.12.2006, 21:42 | #10 |
/// Winkelfunktion /// TB-Süch-Tiger™ | WinXPPro: Rechner rebooted kurz vor login feld / winlogon.exe? Hm okay Kannst du in etwa die Kompromittierung zeitlich einschätzen?
__________________ Logfiles bitte immer in CODE-Tags posten |
06.12.2006, 21:49 | #11 |
| WinXPPro: Rechner rebooted kurz vor login feld / winlogon.exe? Angenommen avg hat diesen schädling schon länger in der datenbank, dann kann des ganze erst gestern oder heute basiert sein. der Virenscanner läuft immer automatisch mittags durch, und mein PC war gestern zu diesem Zeitpunkt an, dh er hätte da etwas finden müssen. Falls dies der fall ist hab ich auch schon eine konkrete vermutung. Falls nicht, buhh, unmöglich festzustellen. |
06.12.2006, 21:54 | #12 |
/// Winkelfunktion /// TB-Süch-Tiger™ | WinXPPro: Rechner rebooted kurz vor login feld / winlogon.exe? Meckert der denn nur bei der Datei winlogon.exe? Wenn ja wo liegt diese? Was sagt eine Auswertung bei Jotti oder Virustotal? Möglichkeit des Fehlalarms besteht natürlich...
__________________ Logfiles bitte immer in CODE-Tags posten |
06.12.2006, 22:06 | #13 |
| WinXPPro: Rechner rebooted kurz vor login feld / winlogon.exe? Leider nicht. Die winlogon.exe ist im system32 und außerdem hat er noch eine winlogon.dll im system32/dllcache gefunden glaub ich. Auf jedenfall zwei dateien. dummerweise kann ich mit dem befallenen PC gerade nicht ins netz. brauch meinen Netzanschluß für mein notebook. bin nebenbei nämlich noch am arbeiten... Also des kann wirklich net sein!! Problem ist selbst mit einem image von vor sechs monaten nicht behoben! Sehr merkwürdig.... Entweder es gibt hier ein hardwareproblem, oder des is so nen neuer BIOS rootkit trojaner. glaub ich aber net. jetzt schließ ich den erstmal ans netz an, check mal die datei und laß nochmal den avg laufen. Also jotti und wintotal haben bei der winlogon.exe vom neu aufgespielten image nichts gefunden. Allerdings bootet der Computer immernoch nicht hoch, außer im abgesicherten modus. lass gerade avg nochmal laufen. langsam kommt mir des ganze spanisch vor.. Geändert von Elsevier (06.12.2006 um 22:29 Uhr) |
06.12.2006, 22:35 | #14 |
/// Winkelfunktion /// TB-Süch-Tiger™ | WinXPPro: Rechner rebooted kurz vor login feld / winlogon.exe? Also...ich hab auf meine Windows-XP-Parallelinstallation geschaut (nutze hauptsächlich W2k ), dort gibt es keine winlogon.dll! Wenn Du mal nach winlogon.dll googelst, ist der erste Treffer bei Sophos zu finden... Vllt. schaffts du es diese Datei vom verseuchten Rechner auf ein externes Medium (Diskette, USB-Stick) zu kopieren. Und dann vom Notebook aus auswerten. Dem OS auf dem Notebook kann da eigentlich nichts passieren, die "nackte" DLL-datei ist nämlich so nicht ausführbar.
__________________ Logfiles bitte immer in CODE-Tags posten |
06.12.2006, 23:25 | #15 |
| WinXPPro: Rechner rebooted kurz vor login feld / winlogon.exe? Also avg free 7.5 erkennt mir die winlogon.exe immernoch als thread und entfernt diese. Jotti und virustotal erkennen keinen virus. die winlogon.dll scheint verschwunden zu sein. Werde morgen des System einfach totmachen und nächste woche neu bespielen. falls es anschließend immernoch nicht funtkioniert werde ich dies hier nochmal posten. So long, danke für die Hilfe, Elsevier |
Themen zu WinXPPro: Rechner rebooted kurz vor login feld / winlogon.exe? |
abgesicherten modus, adobe, alert, auf einmal, avg, avg free, bho, bootmenü, cs3, ctfmon.exe, dateisystem, defender, desktop, drivers, einstellungen, ellung, excel, hijack, hijackthis, internet, internet explorer, logon.exe, monitor, netzwerk, neu starten, proxy, security, security center, security suite, software, starten, symantec, trend micro, trojan, virus, virus total, windows xp, wlan |