Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Trojaner winlogon.exe

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 03.04.2008, 13:46   #1
DerNoob
 
Trojaner winlogon.exe - Standard

Trojaner winlogon.exe



Hallo erstmal seit 3 tagen ärgere ich mich jetzt mit dem trojaner winlogon.exe als erstes habe ich versucht über aivira den virus zu löschen hat nicht funktionniert
dann bin ich selber mal durch die dateien und habe nach möglichen dateien gesucht die den trojaner beinhalten könnten als das nichts half habe ich mir die 30 tage kostenlose testversion von kaspersky zugelegt der hat zwar den trojaner erkannt aber
kaspersky kann ihn nicht desinfizieren löschen funktioniert auch nicht

gelöscht: trojanisches Programm Trojan-Downloader.Win32.Zlob.kko Datei: C:\Programme\NetProject\wamdl.dll
nicht gefunden: trojanisches Programm Trojan-Downloader.Win32.Zlob.kkp Datei: C:\Programme\NetProject\sbsm.exe
gelöscht: trojanisches Programm Trojan-Downloader.Win32.Zlob.kkp
gelöscht: trojanisches Programm Trojan-Downloader.Win32.Zlob.kkp Modul: sbsm.exe\sbsm.exe

der trojaner versteckt sich warscheinlich in der datei sbsm.exe allerdings faselt kaspersky von irgendeiner adware und kann dadurch nicht gelöscht werden
ich habe dann versucht wamdl.dll zu löschen allerdings meint der pc das diese datei von einer person benutzt würde obwohl diese datei erst am 1.4 erstellt worden ist an dem tag an dem ich den virus bekommen habe
auch ist die sbsm.exe\sbsm.exe anscheinend schreibgeschützt oder so ähnlich und kaspersky sagt die datei kann nicht umgeschrieben werden
auch gelingt es mir zwar eine sbsm.exe zu löschen aber wenn ich den pc neu starte ist der trojaner wieder da daher glaube ich das der trojaner ein backup oder so etwas ähnliches hat
im prozess wird der virus als winlogon.exe aufgeführt ich bin aber nicht in der lage diesen prozess zu beenden

ich habe schon einen anderen threat bei euch über diesen virus gelesen allerdings muss ich sagen das ich in diesem fachbreich nicht so erfahren bin und hauptsächlich bahnhof verstanden habe hättet ihr bitte die güte mir schritt für schritt und einfach zu erklären wie ich diesen trojaner von meinem pc entfernen kann?

Alt 03.04.2008, 14:14   #2
Sunny
Administrator
> Competence Manager
 

Trojaner winlogon.exe - Standard

Trojaner winlogon.exe



Hallo DerNoob und





Erstellung eines Hijacklog
  • Suche die Datei HiJackThis.exe und benenne sie um in 'This.exe'
(Klick auf die Datei mit der rechten Maustaste -> umbenennen)
  • Starte nun mit Doppelklick auf This.exe
  • Klicke auf den Button "Do a system scan and save a log file"
  • Nach der Überprüfung öffnet sich ein Editor Fenster, kopiere nun dieses Logfile ab und füge es in deinen Beitrag hier Forum ein





CCleaner


Temporäre Dateien mit CCleaner bereinigen
Download CCleaner und installiere ihn, (klicke die Toolbar weg!).

Danach CCleaner starten und => unter options settings => german einstellen.
  • Gehe auf den Button links oben "Cleaner"
  • Setze Häkchen unter Reiter "Windows"
(alle außer "Eingabefeld Verlauf" und bei "Erweitert" nur ein Häkchen bei "Alte Prefetchdaten" und "Benutzerdefinierte Dateien und Ordner").
  • Wechsel zum Reiter "Anwendungen", dort alle Häkchen setzen außer bei Firefox/Mozilla (falls vorhanden) "Gespeicherte Formulardaten".
  • Starte nun den CCleaner, indem Du unten auf den Button "Analysieren" klickst. Wenn die Analyse fertig ist, klicke auf den Button "Starte CCleaner".



ComboFix
  • Lade dir das Tool hier herunter -> KLICK
  • Sieh dir folgende Seite genau an, und wende das Combofix so an wie es dort eingestellt ist:
__________________

__________________

Alt 03.04.2008, 17:54   #3
DerNoob
 
Trojaner winlogon.exe - Standard

Trojaner winlogon.exe



das hier??

Logfile of Trend Micro HijackThis v2.0.2

[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

danke
GUA
[/edit]
__________________

Alt 04.04.2008, 16:32   #4
DerNoob
 
Trojaner winlogon.exe - Standard

Trojaner winlogon.exe



na toll.....

combofix geht nicht und der trojaner is immer noch da :-(


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:28, on 2008-04-04
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\NetProject\sbmntr.exe
C:\Programme\NetProject\scit.exe
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\NetProject\scm.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\WINDOWS\system32\oodag.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\cmd.exe
D:\Sicherung\tools\This.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {7C109800-A5D5-438F-9640-18D17E168B88} - C:\Programme\NetProject\sbmdl.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll (file missing)
O3 - Toolbar: Internet Service - {DB9FBA9D-AB1B-4CC6-9745-F3B549D64E40} - C:\Programme\NetProject\wamdl.dll (file missing)
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - HKLM\..\Policies\Explorer\Run: [start] C:\Programme\NetProject\sbmntr.exe
O4 - HKLM\..\Policies\Explorer\Run: [some] C:\Programme\NetProject\scit.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O9 - Extra button: (no name) - {9034A523-D068-4BE8-A284-9DF278BE776E} - w+w.iefixgate.com/redirect.php (file missing)
O9 - Extra 'Tools' menuitem: IE Anti-Spyware - {9034A523-D068-4BE8-A284-9DF278BE776E} - w+w.iefixgate.com/redirect.php (file missing)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h++p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1158413574671
O22 - SharedTaskScheduler: enviva - {f43bfc6c-47cc-4798-8798-a0721b8ed7ab} - C:\WINDOWS\system32\baoohy.dll (file missing)
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe

--
End of file - 5454 bytes

Alt 04.04.2008, 16:34   #5
Sunny
Administrator
> Competence Manager
 

Trojaner winlogon.exe - Standard

Trojaner winlogon.exe



Was heisst denn bitte "Combofix" geht nicht? Beschreibe es bitte genauer...
Lässt es sich nicht starten, startet es und bricht dann ab?

__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Alt 04.04.2008, 17:10   #6
DerNoob
 
Trojaner winlogon.exe - Standard

Trojaner winlogon.exe



doch ich glaube es hat funktioniert ich bin mir net sicher
aufjedenfall hab ich das ding gestartet und bin weggegangen dann hat der pc anscheinend neugestartet und ein catchme.log ist dann auf dem desktop erschienen

sollte das so sein?

Alt 04.04.2008, 17:22   #7
Sunny
Administrator
> Competence Manager
 

Trojaner winlogon.exe - Standard

Trojaner winlogon.exe



Zitat:
Zitat von DerNoob Beitrag anzeigen
und ein catchme.log ist dann auf dem desktop erschienen

sollte das so sein?
Nein, die Datei heisst -> combofix.txt

Probiere es nochmal. Runterladen, Doppelklick machen und mir schreiben, wenn nichts passiert, was genau passiert.
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Alt 04.04.2008, 17:52   #8
DerNoob
 
Trojaner winlogon.exe - Standard

Trojaner winlogon.exe



das war im catchme.log drin

catchme 0.3.1344.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-04 17:51:20
Windows 5.1.2600 Service Pack 2

scanning processes ...

System [4]
C:\WINDOWS\system32\smss.exe [848] 0x82406500
C:\WINDOWS\system32\csrss.exe [956] 0x8273B488
C:\WINDOWS\system32\winlogon.exe [980] 0x824A5DA0
C:\WINDOWS\system32\services.exe [1024] 0x826B12F0
C:\WINDOWS\system32\lsass.exe [1036] 0x8270F860
C:\WINDOWS\system32\svchost.exe [1192] 0x825FA620
C:\WINDOWS\system32\svchost.exe [1308] 0x824C6020
C:\WINDOWS\system32\svchost.exe [1356] 0x824B2A50
C:\WINDOWS\system32\svchost.exe [1524] 0x824839F8
C:\WINDOWS\system32\spoolsv.exe [1564] 0x824BEDA0
C:\Programme\NetProject\sbmntr.exe [1876] 0x824D4558
C:\Programme\NVIDIA Corporation\NvMixer\NvMixerTray.exe [1892] 0x81CCADA0
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe [1912] 0x81CC6B98
C:\WINDOWS\system32\ctfmon.exe [1920] 0x81CB8B98
C:\Programme\NetProject\sbsm.exe [1984] 0x81CB0020
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe [216] 0x81C898B0
C:\WINDOWS\system32\oodag.exe [264] 0x81C80DA0
C:\WINDOWS\system32\alg.exe [1772] 0xFFB31DA0
C:\WINDOWS\system32\CF30865.exe [880] 0xFF986A80
C:\WINDOWS\system32\CF30865.exe [2012] 0xFF9A09B0
C:\WINDOWS\explorer.exe [1176] 0xFFB9B7C0
C:\WINDOWS\system32\CF30865.exe [2244] 0x82660DA0
C:\WINDOWS\system32\CF30865.exe [396] 0xFFA6BB30
C:\ComboFix\catchme.cfexe [4020] 0x826D65C8
C:\ComboFix\swreg.cfexe [4016] 0xFFA2EBA0
C:\ComboFix\sed.cfexe [3592] 0xFFA6E728
C:\ComboFix\findstr.cfexe [3568] 0xFF947020

Antwort

Themen zu Trojaner winlogon.exe
adware, anderen, dateien, desinfizieren, einfach, em pc entfernen, entfernen, erkannt, erstellt, funktion, funktioniert, gesucht, kaspersky, kostenlose, logon.exe, löschen, neu, nichts, programm, programme, prozess, testversion, trojaner, trojanisches, trojanisches programm, version, versteckt sich, virus, winlogon.exe




Ähnliche Themen: Trojaner winlogon.exe


  1. winlogon.exe und csrss.exe ---> Trojaner
    Log-Analyse und Auswertung - 30.10.2013 (3)
  2. Winlogon.exe - Trojaner Bamital.206 - Fehlmeldung?
    Plagegeister aller Art und deren Bekämpfung - 18.02.2011 (13)
  3. /Winlogon/Taskman Trojaner ; cbssreg u.a.
    Plagegeister aller Art und deren Bekämpfung - 07.09.2010 (23)
  4. Winlogon.exe | pservices.exe Trojaner
    Plagegeister aller Art und deren Bekämpfung - 18.07.2010 (1)
  5. Verschiedene Trojaner - winlogon.exe - Spy Agent.bw gen!mem
    Plagegeister aller Art und deren Bekämpfung - 20.05.2010 (2)
  6. Trojaner bei Winlogon opnlIbcy.dll
    Plagegeister aller Art und deren Bekämpfung - 10.06.2008 (4)
  7. winlogon.exe - Trojaner ?!
    Plagegeister aller Art und deren Bekämpfung - 21.03.2008 (4)
  8. Wie entferne ich den virus/Trojaner winlogon.exe
    Plagegeister aller Art und deren Bekämpfung - 20.03.2008 (25)
  9. Winlogon agent Trojaner, Hilfe!!
    Log-Analyse und Auswertung - 14.06.2007 (5)
  10. Winlogon Trojaner/Virus
    Log-Analyse und Auswertung - 17.04.2007 (8)
  11. Winlogon.exe ist Trojaner TR/WL Hack.A
    Log-Analyse und Auswertung - 04.04.2007 (7)
  12. Winlogon.exe - Trojaner TR/WLHack.A
    Plagegeister aller Art und deren Bekämpfung - 04.04.2007 (10)
  13. winlogon.exe Trojaner
    Plagegeister aller Art und deren Bekämpfung - 02.04.2007 (2)
  14. winlogon.exe mit Trojaner infiziert
    Plagegeister aller Art und deren Bekämpfung - 30.03.2007 (3)
  15. Trojaner-Meldung bei winlogon.exe
    Log-Analyse und Auswertung - 22.12.2006 (7)
  16. TR/Winlogon Hook Trojaner löschen
    Plagegeister aller Art und deren Bekämpfung - 12.02.2006 (12)
  17. winlogon.exe von Trojaner befallen
    Plagegeister aller Art und deren Bekämpfung - 12.12.2005 (2)

Zum Thema Trojaner winlogon.exe - Hallo erstmal seit 3 tagen ärgere ich mich jetzt mit dem trojaner winlogon.exe als erstes habe ich versucht über aivira den virus zu löschen hat nicht funktionniert dann bin ich - Trojaner winlogon.exe...
Archiv
Du betrachtest: Trojaner winlogon.exe auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.