| |
| |||||||
Log-Analyse und Auswertung: Sunbelt Firewall blockiert Eindringversuch der winlogon.exeWindows 7 Hier könnt Ihr Logs zwecks Auswertung posten. So bekommt man Hilfe: Erste Schritte zur Hilfe! |
 |
24.12.2007, 15:23
| #1 |
| |  Sunbelt Firewall blockiert Eindringversuch der winlogon.exe Hallo und ein frohes Fest an alle Experten hier im Forum. Die Suche habe ich bereits bemüht. Offensichtlich ist dieses Problem nicht identisch zu dem vorangegangenen Thread, da das Avenger Tool mit einer Fehlermeldung abgebrochen hat. http://www.trojaner-board.de/38008-kerio-entdeckt-eindringversuch-von-winlogon-exe.html Daher meine Frage an Euch, ob Ihr mir helfen könnt dieses Problem wieder zu beheben. Kurze Erläuterung zum Hintergrund. Meine Eltern haben in meiner Abwesenheit T-DSL bekommen und den nun infizierten Rechner angeschlossen. Sie haben als erstes eine Firewall aus dem Netz installiert (Sygate PF) welche ich heute durch die Sungate PF ersetzt habe. Sie waren also, wenn auch nur kurz, ungeschüzt im WWW. Meldung von Sunbelt PF 4: ==================== Technische Details für den Eindringversuch: Injektoranwendung: \??\C:\WINNT\system32\winlogon.exe Beschreibung: winlogon Dateiversion: Produktname: Produktversion: Erstellt: N/A Geändert: N/A Zugegriffen: N/A Zielanwendung: C:\WINNT\system32\svchost.exe Beschreibung: Generic Host Process for Win32 Services Dateiversion: 5.00.2134.1 Produktname: Microsoft(R) Windows (R) 2000 Operating System Produktversion: 5.00.2134.1 Erstellt: 2005/11/18, 13:46:24 Geändert: 2003/6/20, 10:00:00 Zugegriffen: 2007/12/24, 12:42:56 Adresse der Injektion: 0x00AF6874 Hier ist der HijackThis Log: =================== Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 15:04:57, on 24.12.2007 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Boot mode: Normal Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\csrss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\Nhksrv.exe C:\WINNT\system32\Ati2evxx.exe C:\WINNT\system32\svchost.exe C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe C:\Programme\Network Associates\Common Framework\FrameworkService.exe C:\Programme\Network Associates\VirusScan\VsTskMgr.exe C:\PROGRA~1\NETWOR~1\COMMON~1\naPrdMgr.exe C:\WINNT\system32\_svchost.exe C:\WINNT\system32\regsvc.exe C:\Programme\CyberLink\Shared Files\RichVideo.exe C:\WINNT\system32\MSTask.exe C:\Programme\Sunbelt Software\Personal Firewall\kpf4ss.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\Programme\Sunbelt Software\Personal Firewall\kpf4gui.exe C:\Programme\Sunbelt Software\Personal Firewall\kpf4gui.exe C:\WINNT\DELLMMKB.EXE C:\Programme\Network Associates\VirusScan\SHSTAT.EXE C:\Programme\Network Associates\Common Framework\UpdaterUI.exe C:\Programme\Gemeinsame Dateien\Network Associates\TalkBack\TBMon.exe C:\WINNT\system32\DSentry.exe C:\WINNT\system32\pctspk.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe C:\Programme\CyberLink\PowerDVD\PDVDServ.exe C:\WINNT\system32\internat.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe C:\Programme\Netropa\OSD.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe C:\WINNT\system32\wuauclt.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Trend Micro\HijackThis\HijackThis.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe,C:\WINNT\system32\ntos.exe, O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\ActiveX\AcroIEHelper.dll O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx O4 - HKLM\..\Run: [DellTouch] C:\WINNT\DELLMMKB.EXE O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Programme\Gemeinsame Dateien\Network Associates\TalkBack\TBMon.exe" O4 - HKLM\..\Run: [DVDSentry] C:\WINNT\system32\DSentry.exe O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe" O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [LanguageShortcut] C:\Programme\CyberLink\PowerDVD\Language\Language.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user') O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user') O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\system32\Ati2evxx.exe O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe O23 - Service: McAfee Framework-Dienst (McAfeeFramework) - Network Associates, Inc. - C:\Programme\Network Associates\Common Framework\FrameworkService.exe O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\VsTskMgr.exe O23 - Service: Microsoft Inet Service - Unknown owner - C:\WINNT\system32\_svchost.exe O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: Netropa NHK Server (Nhksrv) - Unknown owner - C:\WINNT\Nhksrv.exe O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Programme\Sunbelt Software\Personal Firewall\kpf4ss.exe -- End of file - 5875 bytes Kann mir jemand helfen ? Danke und Gruss Mario |
|
| Stichworte zu Sunbelt Firewall blockiert Eindringversuch der winlogon.exe |
| 1.exe, adobe, bho, blockiert, cyberlink, error, excel, explorer, fehlermeldung, firewall, frage, generic, generic host, generic host process, hijack, hijackthis, hijackthis log, infizierte, internet, internet explorer, logon.exe, microsoft, opera, problem, programme, server, software, suche, system, trend micro, userinit.exe, windows, winlogon.exe |
