Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Winlogon.exe ist Trojaner TR/WL Hack.A

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 31.03.2007, 14:51   #1
HL22
 
Winlogon.exe ist Trojaner TR/WL Hack.A - Standard

Winlogon.exe ist Trojaner TR/WL Hack.A



Hallo wer kann helfen?
Meine Virensoftware (AntiVir) meldet seit heute Winlogon.exe ist der Trojaner TR/WL Hack.A ! Es lässt sich weder löschen, in Quarantäne verschieben, umbenennen noch ignorieren. Es reagiert auf gar nichts. Selbst beim scannen im abgesicherten Modus lässt es sich nicht löschen.
Da ich nirgendwo selbst bei google etwas gefunden habe, las ich den logfile aus:

Hoffentlich kann jemand helfen. Danke


Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 11:41:06, on 31.03.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\SLEE11.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\programme\powerstrip\pstrip.exe
D:\Programme\Win Amp 5.0\Winamp\winampa.exe
D:\PROGRA~1\ICQLite\ICQLite.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe
C:\Programme\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Java\jre1.5.0_11\bin\jusched.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\mqsvc.exe
D:\Programme\Skype\Phone\Skype.exe
C:\PROGRA~1\SIMPLE~1\PHOTOS~1\data\Xtras\mssysmgr.exe
C:\WINDOWS\System32\mqtgsvc.exe
C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\WINDOWS\System32\imapi.exe
D:\Programme\WinTV\Ir.exe
C:\Programme\FRITZ!DSL\StCenter.exe
D:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe
C:\Programme\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe
C:\Programme\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe
C:\Programme\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe
C:\Programme\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe
C:\Programme\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe
C:\Programme\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe
C:\Programme\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe
C:\Programme\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Admin_2\Eigene Dateien\Hijack\HiJackThis_v2.exe
C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: BitComet Toolbar Helper - {6A373B7E-496E-424f-A9BE-486A5E9AB018} - C:\Programme\BitComet Toolbar\v2.0.0.1\BitComet_Toolbar.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O2 - BHO: StarMoney Toolbar - {D695B6EC-25D9-4244-B604-988AA1DFB8F3} - C:\Programme\StarMoneyToolbar\StarMoneyToolbar.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: BitComet Toolbar - {2E608F70-C430-4bc5-96F6-608E02EBA5B2} - C:\Programme\BitComet Toolbar\v2.0.0.1\BitComet_Toolbar.dll
O3 - Toolbar: StarMoney Toolbar - {D695B6EC-25D9-4244-B604-988AA1DFB8F3} - C:\Programme\StarMoneyToolbar\StarMoneyToolbar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [MsmqIntCert] regsvr32 /s mqrt.dll
O4 - HKLM\..\Run: [PowerStrip] c:\programme\powerstrip\pstrip.exe
O4 - HKLM\..\Run: [WinampAgent] D:\Programme\Win Amp 5.0\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [ICQ Lite] D:\PROGRA~1\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [CloneDVDElbyDelay] "C:\Programme\Elaborate Bytes\CloneDVD\ElbyCheck.exe" /L ElbyDelay
O4 - HKLM\..\Run: [mmtask] "C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe"
O4 - HKLM\..\Run: [Ulead AutoDetector] C:\Programme\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NBJ] "D:\Programme\ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [Skype] "D:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [PhotoShow Deluxe Media Manager] C:\PROGRA~1\SIMPLE~1\PHOTOS~1\data\Xtras\mssysmgr.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\PROGRA~1\ICQLite\ICQLite.exe -trayboot
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe /RUNONCE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [SAFE8] "C:\Programme\Steganos Safe 8\SAFE8.exe" -firstboot (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [SAFE8] "C:\Programme\Steganos Safe 8\SAFE8.exe" -firstboot (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [SAFE8] "C:\Programme\Steganos Safe 8\SAFE8.exe" -firstboot (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [SAFE8] "C:\Programme\Steganos Safe 8\SAFE8.exe" -firstboot (User 'Default user')
O4 - Startup: Yahoo! Widget Engine.lnk = C:\Programme\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: AutoStart IR.lnk = D:\Programme\WinTV\Ir.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: PCphone Fax-Office Demo.lnk = D:\Programme\Grewe\PCphone Fax-Office Demo\FxOffice.exe
O4 - Global Startup: WinZip Quick Pick.lnk = D:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://D:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - c95fe080-8f5d-112d-a20b-00aa003c157a - (no file)
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\PROGRA~1\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\PROGRA~1\ICQLite\ICQLite.exe
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\Ebay\Ebay.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkID=39204
O16 - DPF: {200B3EE9-7242-4EFD-B1E4-D97EE825BA53} (VerifyGMN Class) - http://h20270.www2.hp.com/ediags/gmn/install/hpobjinstaller_gmn.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1128801659577
O16 - DPF: {745395C8-D0E1-4227-8586-624CA9A10A8D} (AxisMediaControl Class) - http://217.14.234.2/activex/AMC.cab
O16 - DPF: {B3E0F81F-73F8-470B-A56B-D895EFF19260} (ATLF3D Class) - http://www.famous3d.com/viewer/latest/axf3d.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{759298B2-F1C6-48B9-B9D3-FB9A681CD873}: NameServer = 85.255.116.171,85.255.112.228
O17 - HKLM\System\CCS\Services\Tcpip\..\{D24888BA-D7EE-4F53-9F5D-4834221F87C5}: NameServer = 85.255.116.171,85.255.112.228
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.171 85.255.112.228
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.171 85.255.112.228
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - (no file)
O18 - Filter hijack: text/html - (no CLSID) - (no file)
O20 - Winlogon Notify: scsiusr4 - scsiusr4.dll (file missing)
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Steganos Live Encryption Engine 11 [Service] (SLEE_11_SERVICE) - Unknown owner - C:\WINDOWS\System32\SLEE11.exe
O24 - Desktop Component 0: (no name) - https://www.luupay.de/upload/luupaylogo_001.gif
O24 - Desktop Component 1: Security - (no file)

--
End of file - 12912 bytes

Alt 31.03.2007, 14:59   #2
KarlKarl
/// Helfer-Team
 
Winlogon.exe ist Trojaner TR/WL Hack.A - Standard

Winlogon.exe ist Trojaner TR/WL Hack.A



Hi,

die Meldung wegen der winlogon.exe war ein (spektakulärer) Fehlalarm, wurde aber bereits gestern früh korrigiert. Antivir updaten und er sollte verschweunden sein.

Dein HijackThis Log ist allerdings ein Beleg dafür, daß es sinnlos, ist mehrere Virenscanner gleichzeitig aktiv zu haben. Denen ist eine Menge durchgerutscht. Ich finde dort:

Eine Umleitung des DNS auf einen gefakten Server, steht oft in Verbindung mit einem Rootkit.

Ein Haxdoor Rootkit, das in den meisten Versionen eine Backdoor ist, gemischt mit einem Keylogger, der Passwoörter und Bankdaten abgreift.

Schnelle und sichere Lösung: Formatieren und neu installeren.

Gruß, Karl
__________________


Alt 31.03.2007, 15:33   #3
HL22
 
Winlogon.exe ist Trojaner TR/WL Hack.A - Standard

Winlogon.exe ist Trojaner TR/WL Hack.A



Hallo,
vielen Dank für die schnelle und umfassende Antwort. Da ich aber mich nicht so gut auskenne (2.Teil) der Antwort)
"Eine Umleitung des DNS auf einen gefakten Server, steht oft in Verbindung mit einem Rootkit. Ein Haxdoor Rootkit, das in den meisten Versionen eine Backdoor ist, gemischt mit einem Keylogger, der Passwoörter und Bankdaten abgreift."
Vielleicht könnten Sie das bitte kurz erklären. Wie gesagt, darin bin ich ein Laie.
Vielen Dank!
__________________

Alt 31.03.2007, 15:50   #4
KarlKarl
/// Helfer-Team
 
Winlogon.exe ist Trojaner TR/WL Hack.A - Standard

Winlogon.exe ist Trojaner TR/WL Hack.A



Ich versuchs mal.

Im O17-Eintrag des HijackThis Logs stehen die IPs der DNS-Server, die dein System benutzt, um den Namen einer Webseite in die dazugehörige IP zu übersetzen. Die IPs sind die Adressen, die dann benutzt werden, um auf dier Sever zuzugreifen. www.google.de hat die IP 66.102.9.104, mit beiden Eingaben in der Adresszeile erreichst Du Google. Die Namen sind für Menschen vorteilhafter, während die Maschinen besser mit den Zahlen umgehen können. Der DNS-Server, der diese Übersetzung durchführt, hat eine Vertrauensstellung. Wenn Du im Browser die Adresse deiner Bank eingibst, dannaber ein betrügerischer DNS-Server eine andere IP zurückgibt, wo eine Seite wartet, die genauso aussieht, wie die deiner Bank, dann ist das die Verfeinerung des Phishing, Du gibst dort PIN und TAN ein und die Gauner können dir das Konto abräumen.

Bei dir stehen dort Adressen aus dem Bereich 85.255.112.0 - 85.255.127.255, dieser Bereich ist die wohl größte Malwareschleuder im Internet seit vielen Jahren:
Code:
ATTFilter
inetnum:        85.255.112.0 - 85.255.127.255
netname:        inhoster
descr:          Inhoster hosting company
descr:          OOO Inhoster, Poltavskij Shliax 24, Kharkiv, 61000, Ukraine
         
Zu Schade, daß ich kein Cruise Missile habe, das wäre ein gutes Ziel. Es ist eine Erfahrung, daß diese verdrehten O17-Einträge sehr oft damit verbunden sind, daß auf dem System auch Prozesse vorhanden sind, die durch ein Rootkit unsichtbar gemacht wurden. Zur Überprüfung bietet sich in diesem Fall ein Scan mit F-Secure Blacklight an.

Dann hast Du dann diesen Eintrag:
Code:
ATTFilter
O20 - Winlogon Notify: scsiusr4 - scsiusr4.dll (file missing)
         
Eine Beschreibung dazu kannst Du hier finden. Da steht zwar nicht direkt, daß der Bankdaten abgreift, ich habe aber mehrere Haxdoor-Varianten im Laufe der Zeit analysiert und habe in allen diese Funktion entdeckt. Falls Du auch hier noch einen Kontrollscan machen möchtest, empfielt sich RootkitRevealer.

Bei weiterem Interesse bitte zurückfragen.

Karl

PS: Ich schreib im Internet grundsätzlich in der Du-Form, das ist sicher nicht persönlich gemeint

Alt 01.04.2007, 19:19   #5
HL22
 
Winlogon.exe ist Trojaner TR/WL Hack.A - Standard

Winlogon.exe ist Trojaner TR/WL Hack.A



Hi Karl,
habe vielen Dank, Du hast mir sehr geholfen!

Gruß Heiko


Alt 03.04.2007, 14:13   #6
Janoschka
 
Winlogon.exe ist Trojaner TR/WL Hack.A - Standard

Winlogon.exe ist Trojaner TR/WL Hack.A



Hallo KarlKarl,

ggf. kannst Du ja auch mir behilflich sein bei selbigem Problem.
Zur Fehlerbeschreibung: Ich bekam selbige Warnung. Der Trojaner
lies sich nicht enfernen.
Nun kommts aber noch viel schlimmer. Nach unternommenem Neustart
passiert nun gar nichts mehr bzw. ich bekomme beim Start von Windows
folgende Meldung:

C000021a (schwerer Systemfehler)
Der Systemprozeß Windows Logon Process wurde unerwartet beendet.
Status Oxc 0000
034 (0x00000000 Ox00000000)
Das System wurde heruntergefahren.

Weißt Du ggf. Rat ? Ich möchte in jedem Falle vermeiden zu formatieren.
Danke !!!

Alt 03.04.2007, 19:41   #7
deemee
 
Winlogon.exe ist Trojaner TR/WL Hack.A - Standard

Winlogon.exe ist Trojaner TR/WL Hack.A



Das Problem ist, dass Antivir die Datei C:\windows\system32\winlogon.exe umbenennt in winlogon.vir

Wenn du dein System z.B. mit einer Ultimate Boot CD hochbootest und die Datei wieder zurück umbenennst in winlogon.exe wird dein Rechner ganz normal hochfahren. Allerdings wird AntiVir dir dann immernoch diesen Virus melden. Immer ignorieren klicken und ein update von AntiVir machen. Danach sollte die Virenmeldung nicht mehr erscheinen.

Have fun!

Alt 04.04.2007, 10:58   #8
Janoschka
 
Winlogon.exe ist Trojaner TR/WL Hack.A - Daumen hoch

Winlogon.exe ist Trojaner TR/WL Hack.A



DANKE !!! Hat funktioniert und AntiVir hab ich neu installiert.

Antwort

Themen zu Winlogon.exe ist Trojaner TR/WL Hack.A
abgesicherten modus, alert, antivir, avira, bho, browseui preloader, confused, desktop, dsl, e-mail, einstellungen, google, helper, hijack, hijackthis, hkus\s-1-5-18, homepage, internet, internet explorer, logfile, logon.exe, quara, regsvr32, rundll, s-1-5-18, scan, security, senden, software, starmoney, system, trend micro, trojaner, unknown file in winsock lsp, urlsearchhook, virensoftware, windows, windows xp



Ähnliche Themen: Winlogon.exe ist Trojaner TR/WL Hack.A


  1. evtl. PC-Hack oder Online-Hack?
    Log-Analyse und Auswertung - 19.01.2014 (1)
  2. winlogon.exe und csrss.exe ---> Trojaner
    Log-Analyse und Auswertung - 30.10.2013 (3)
  3. Winlogon.exe - Trojaner Bamital.206 - Fehlmeldung?
    Plagegeister aller Art und deren Bekämpfung - 18.02.2011 (13)
  4. C:\WINDOWS\System32\winlogon.exe Trojaner ?
    Plagegeister aller Art und deren Bekämpfung - 22.01.2011 (3)
  5. Trojaner TR/SPY 50xxxx winlogon.exe entfernen
    Plagegeister aller Art und deren Bekämpfung - 17.08.2010 (1)
  6. Winlogon.exe | pservices.exe Trojaner
    Plagegeister aller Art und deren Bekämpfung - 18.07.2010 (1)
  7. msn hack mit gratis trojaner
    Diskussionsforum - 27.09.2008 (4)
  8. Erfolgreicher Trojaner - ICQ-Hack
    Plagegeister aller Art und deren Bekämpfung - 14.06.2008 (6)
  9. Trojaner bei Winlogon opnlIbcy.dll
    Plagegeister aller Art und deren Bekämpfung - 10.06.2008 (4)
  10. Trojaner winlogon.exe
    Plagegeister aller Art und deren Bekämpfung - 04.04.2008 (7)
  11. winlogon.exe - Trojaner ?!
    Plagegeister aller Art und deren Bekämpfung - 21.03.2008 (4)
  12. Winlogon Trojaner/Virus
    Log-Analyse und Auswertung - 17.04.2007 (8)
  13. Winlogon.exe - Trojaner TR/WLHack.A
    Plagegeister aller Art und deren Bekämpfung - 04.04.2007 (10)
  14. winlogon.exe Trojaner
    Plagegeister aller Art und deren Bekämpfung - 02.04.2007 (2)
  15. winlogon.exe mit Trojaner infiziert
    Plagegeister aller Art und deren Bekämpfung - 30.03.2007 (3)
  16. Trojaner-Meldung bei winlogon.exe
    Log-Analyse und Auswertung - 22.12.2006 (7)
  17. winlogon.exe von Trojaner befallen
    Plagegeister aller Art und deren Bekämpfung - 12.12.2005 (2)

Zum Thema Winlogon.exe ist Trojaner TR/WL Hack.A - Hallo wer kann helfen? Meine Virensoftware (AntiVir) meldet seit heute Winlogon.exe ist der Trojaner TR/WL Hack.A ! Es lässt sich weder löschen, in Quarantäne verschieben, umbenennen noch ignorieren. Es reagiert - Winlogon.exe ist Trojaner TR/WL Hack.A...
Archiv
Du betrachtest: Winlogon.exe ist Trojaner TR/WL Hack.A auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.