Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Kerio entdeckt Eindringversuch von winlogon.exe

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 15.04.2007, 19:03   #1
Zerus
 
Kerio entdeckt Eindringversuch von winlogon.exe - Standard

Kerio entdeckt Eindringversuch von winlogon.exe



Hi.

Ich habe mir gestern durch ein Popup einen Trojaner oder ähnliches eingehandelt. AntiVir hat folgende Sachen gefunden und gelöscht: TR/Spy.Bzub.B und TR/Dldr.iBill.AC. Zuerst war die Internetverbindung nicht mehr möglich, nach Löschen der befallenen Dateien funktionierte aber alles wieder normal. Bis auf Folgendes:
Kerio Personal Firewall erkennt alle paar Minuten einen Eindringversuch:
Technische Details für den Eindringversuch:

Injektoranwendung: \??\C:\WINDOWS\system32\winlogon.exe
Beschreibung: winlogon
Dateiversion:
Produktname:
Produktversion:
Erstellt: N/A
Geändert: N/A
Zugegriffen: N/A

Zielanwendung: C:\WINDOWS\system32\svchost.exe
Beschreibung: Generic Host Process for Win32 Services
Dateiversion: 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
Produktname: Microsoft® Windows® Operating System
Produktversion: 5.1.2600.2180
Erstellt: 2004/8/3, 22:58:16
Geändert: 2004/8/3, 22:58:16
Zugegriffen: 2007/4/15, 16:18:37

Adresse der Injektion: 0x00C77506

Außerdem brauchen Anwendungen nun ewig bis sie geladen werden. Ich habe die Startvorgänge im Taskmanager beobachtet. Wenn man ein Programm startet, hat es zuerst für ca. 10 Sek. 50% CPU-Auslastung (habe Dual-Core CPU) und dann startet es normal.

Ich hab jetzt mal nen Scan mit Spybot und Adaware gemacht, beide finden aber nichts, genauso wie Antivir.
Hier ist der HijackThis Log:
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 18:21:48, on 15.4.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\devldr32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Java\jre1.5.0_11\bin\jusched.exe
C:\Programme\Creative\Sound Blaster X-Fi\DVDAudio\CTDVDDET.EXE
C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe
C:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanel.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\SYSTEM32\CTXFISPI.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Uniblue\SpyEraser\SpyEraser.exe
C:\Programme\Creative\Sharedll\CADI\NotiMan.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\Thunderbird-Tray\TBTray.exe
C:\Programme\Miranda IM\miranda32.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\Winamp\winamp.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\HiJackThis_v2.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = Google
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = ****
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NVIDIA nTune] "C:\Programme\NVIDIA Corporation\nTune\nTuneCmd.exe" clear
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [AudioHQ] C:\Programme\Creative\SBLive\AudioHQ\AHQTB.EXE
O4 - HKLM\..\Run: [CTDVDDET] "C:\Programme\Creative\Sound Blaster X-Fi\DVDAudio\CTDVDDET.EXE"
O4 - HKLM\..\Run: [RCSystem] "C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe" RCSystem * -Startup
O4 - HKLM\..\Run: [AudioDrvEmulator] "C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe" -1 AudioDrvEmulator "C:\Programme\Creative\Shared Files\Module Loader\Audio Emulator\AudDrvEm.dll"
O4 - HKLM\..\Run: [VolPanel] "C:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanel.exe" /r
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] "C:\Programme\Gemeinsame Dateien\Logitech\khalshared\KHALMNPR.EXE"
O4 - HKLM\..\Run: [SpyClean] c:\windows\system32\spywinclean.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe
O4 - HKCU\..\Run: [Uniblue SpyEraser] "C:\Programme\Uniblue\SpyEraser\SpyEraser.exe" -m
O4 - HKUS\S-1-5-18\..\Run: [PcSync] C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [PcSync] C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog (User 'Default user')
O4 - Startup: Miranda IM.lnk = C:\Programme\Miranda IM\miranda32.exe
O4 - Startup: Winamp.lnk = C:\Programme\Winamp\winamp.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: TB-Tray.lnk = C:\Programme\Thunderbird-Tray\TBTray.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O14 - IERESET.INF: START_PAGE_URL=about:blank
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Creative Service for CDROM Access - Unknown owner - C:\WINDOWS\system32\CTsvcCDA.exe (file missing)
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: nTune Service (nTuneService) - NVIDIA - C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe

Kann mir jemand helfen?

Gruß Zerus

Geändert von Zerus (15.04.2007 um 20:00 Uhr)

Alt 15.04.2007, 19:20   #2
Sunny
Administrator
> Competence Manager
 

Kerio entdeckt Eindringversuch von winlogon.exe - Ausrufezeichen

Kerio entdeckt Eindringversuch von winlogon.exe



Hallo.

Arbeite das hier ab:



Anleitung Avenger:

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:


2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein:
Zitat:
Files to delete:
c:\windows\system32\spywinclean.exe
C:\WINDOWS\system32\ntos.exe
3.) Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.

4.) Danach das System unverzüglich neu starten lassen
5.) Lass HijackThis nochmal laufen, erstelle und poste ein neues HijackThis Logfile.
Poste ausserdem den Inhalt der C:\avenger.txt Datei.


Arbeiten mit MWAV (eScan)


!!!Bitte Englische Sprache auswählen!!!
* Lies dir folgende Anleitung genau durch und arbeite sie ab:
-> Anleitung eScan
* Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der “find.bat”.
(steht alles ganz genau in der Anleitung.)

Gruß
Sunny
__________________

__________________

Alt 15.04.2007, 19:58   #3
Zerus
 
Kerio entdeckt Eindringversuch von winlogon.exe - Standard

Kerio entdeckt Eindringversuch von winlogon.exe



So habe dieses Avenger Programm benutzt. Jetzt ist auch die Verzögerung weg

Hier nochmal der HijackThis Log:
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 19:57:34, on 15.4.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Java\jre1.5.0_11\bin\jusched.exe
C:\Programme\Creative\Sound Blaster X-Fi\DVDAudio\CTDVDDET.EXE
C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe
C:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanel.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Uniblue\SpyEraser\SpyEraser.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\SYSTEM32\CTXFISPI.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\Thunderbird-Tray\TBTray.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Miranda IM\miranda32.exe
C:\Programme\Winamp\winamp.exe
C:\Programme\Creative\Sharedll\CADI\NotiMan.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\HiJackThis_v2.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = Google
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = ****
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NVIDIA nTune] "C:\Programme\NVIDIA Corporation\nTune\nTuneCmd.exe" clear
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [AudioHQ] C:\Programme\Creative\SBLive\AudioHQ\AHQTB.EXE
O4 - HKLM\..\Run: [CTDVDDET] "C:\Programme\Creative\Sound Blaster X-Fi\DVDAudio\CTDVDDET.EXE"
O4 - HKLM\..\Run: [RCSystem] "C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe" RCSystem * -Startup
O4 - HKLM\..\Run: [AudioDrvEmulator] "C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe" -1 AudioDrvEmulator "C:\Programme\Creative\Shared Files\Module Loader\Audio Emulator\AudDrvEm.dll"
O4 - HKLM\..\Run: [VolPanel] "C:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanel.exe" /r
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] "C:\Programme\Gemeinsame Dateien\Logitech\khalshared\KHALMNPR.EXE"
O4 - HKLM\..\Run: [SpyClean] c:\windows\system32\spywinclean.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe
O4 - HKCU\..\Run: [Uniblue SpyEraser] "C:\Programme\Uniblue\SpyEraser\SpyEraser.exe" -m
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-18\..\Run: [PcSync] C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [PcSync] C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog (User 'Default user')
O4 - Startup: Miranda IM.lnk = C:\Programme\Miranda IM\miranda32.exe
O4 - Startup: Winamp.lnk = C:\Programme\Winamp\winamp.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: TB-Tray.lnk = C:\Programme\Thunderbird-Tray\TBTray.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O14 - IERESET.INF: START_PAGE_URL=about:blank
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Creative Service for CDROM Access - Unknown owner - C:\WINDOWS\system32\CTsvcCDA.exe (file missing)
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: nTune Service (nTuneService) - NVIDIA - C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe

Und hier die avenger.txt:
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\puulddgi

*******************

Script file located at: \??\C:\xbqdwefh.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File c:\windows\system32\spywinclean.exe deleted successfully.
File C:\WINDOWS\system32\ntos.exe deleted successfully.

Completed script processing.

*******************

Finished! Terminate.
__________________

Alt 15.04.2007, 20:09   #4
Sunny
Administrator
> Competence Manager
 

Kerio entdeckt Eindringversuch von winlogon.exe - Standard

Kerio entdeckt Eindringversuch von winlogon.exe



Wann hast du das Logfile erstellt?

Hast du zwischenzeitlich das System, nachdem du den Avenger gestartet hast, neu hochgefahren?

Sunny
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Geändert von [Gc]Sunny (15.04.2007 um 20:16 Uhr)

Alt 15.04.2007, 20:16   #5
Zerus
 
Kerio entdeckt Eindringversuch von winlogon.exe - Standard

Kerio entdeckt Eindringversuch von winlogon.exe



Ja, das System hat neu gestartet. Ich habe Avenger geöffnet, das Skript ausgeführt, dann kam eine Aufforderung zum Neustart, ich habe neu gestartet und danach den HijackThis Log erstellt.


Alt 16.04.2007, 13:10   #6
Zerus
 
Kerio entdeckt Eindringversuch von winlogon.exe - Standard

Kerio entdeckt Eindringversuch von winlogon.exe



Kann jemand aus den Logfiles was rauslesen? Bin zwar die Woche nich daheim, weil ich Uni hab, aber Infos wären schon interessant

Danke für die Hilfe bisher.

Alt 16.04.2007, 13:54   #7
KarlKarl
/// Helfer-Team
 
Kerio entdeckt Eindringversuch von winlogon.exe - Standard

Kerio entdeckt Eindringversuch von winlogon.exe



Hi,

ja so einiges:

Daß das löschen der Dateien geklappt hat.

Daß Du umgehend alle Passwörter und Zugangsdaten, die Du auf diesem Computer benutzt hast, ändern mußt.

Daß Du im Explorer im Menü Extras -> Ordneroptionen -> Ansicht folgende Einstellungen setzen solltest:
  • Erweiterungen bei bekannten Dateitypen ausblenden -> Haken weg
  • Geschützte Systemdateien ausblenden -> Haken weg
  • Inhalte von Systemordnern anzeigen -> Haken setzen (diese Option ist bei Windows 2000 nicht vorhanden)
  • Versteckte Dateien und Ordner -> Alle Dateien und Ordner anzeigen

Daß Du danach nach einem Ordner C:\WINDOWS\system32\wsnpoem Ausschau halten und berichten solltest, welche Dateien darin sind.

Daß Du vor folgende Einträge in HijackThis einen jeweils einen Haken machen und danach "Fix checked" klicken solltest:
Code:
ATTFilter
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDO WS\system32\ntos.exe,
O4 - HKLM\..\Run: [SpyClean] c:\windows\system32\spywinclean.exe
O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe
O4 - HKUS\S-1-5-18\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe (User 'SYSTEM')
         
Daß Du dein Antivir updaten und im abgesicherten Modus einen kompletten Systemscan absolvieren und schließlich von dem mit einem neuen HijackThis hier berichten solltest.

Reicht das für den Anfang ?

Gruß, Karl

Alt 16.04.2007, 15:09   #8
Zerus
 
Kerio entdeckt Eindringversuch von winlogon.exe - Standard

Kerio entdeckt Eindringversuch von winlogon.exe



Jupp danke. Ich werd die Liste mal abarbeiten

Alt 16.04.2007, 18:35   #9
Keyser.Soze
 
Kerio entdeckt Eindringversuch von winlogon.exe - Standard

Kerio entdeckt Eindringversuch von winlogon.exe



Da sind einige Sachen die mir ins Auge springen: Ntos.exe zBsp. ...

Anti-Vir is zwar kostenlos aber ich find´s ...

Scann mal mit nem kostenlosen Online-Virenscanner. Pandsoft zBsp.
Kostenloses Online-Virenschutzprogramm. ActiveScan. Panda Software.
Nutz ebenfalls mal den Security Task Manager von Neuber:
Security Task Manager Download - Gefährliche Prozesse wie Würmer, Spyware, Trojaner finden und entfernen

und scann auch mal auf Rootkits. Kostenlose Rootkitscanner sind der
Blacklight von F-Secure und der Rootkitrevealer ...

gl

Alt 20.04.2007, 13:47   #10
Zerus
 
Kerio entdeckt Eindringversuch von winlogon.exe - Standard

Kerio entdeckt Eindringversuch von winlogon.exe



Zitat:
Zitat von KarlKarl Beitrag anzeigen
Hi,
Daß Du umgehend alle Passwörter und Zugangsdaten, die Du auf diesem Computer benutzt hast, ändern mußt.
Habe ich gemacht

Zitat:
Zitat von KarlKarl Beitrag anzeigen
Daß Du im Explorer im Menü Extras -> Ordneroptionen -> Ansicht folgende Einstellungen setzen solltest:
  • Erweiterungen bei bekannten Dateitypen ausblenden -> Haken weg
  • Geschützte Systemdateien ausblenden -> Haken weg
  • Inhalte von Systemordnern anzeigen -> Haken setzen (diese Option ist bei Windows 2000 nicht vorhanden)
  • Versteckte Dateien und Ordner -> Alle Dateien und Ordner anzeigen
Hatte ich vorher schon so


Zitat:
Zitat von KarlKarl Beitrag anzeigen
Daß Du danach nach einem Ordner C:\WINDOWS\system32\wsnpoem Ausschau halten und berichten solltest, welche Dateien darin sind.
In diesem Ordner sind zwei Dateien drin: audio.dll (75kb) und video.dll (0kb)

Hier das neue Logfile:

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 13:47:12, on 20.4.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Java\jre1.5.0_11\bin\jusched.exe
C:\Programme\Creative\Sound Blaster X-Fi\DVDAudio\CTDVDDET.EXE
C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe
C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanel.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Uniblue\SpyEraser\SpyEraser.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\SYSTEM32\CTXFISPI.EXE
C:\Programme\Thunderbird-Tray\TBTray.exe
C:\Programme\Miranda IM\miranda32.exe
C:\Programme\Winamp\winamp.exe
C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\system32\oodag.exe
C:\Programme\Creative\Sharedll\CADI\NotiMan.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\HiJackThis_v2.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NVIDIA nTune] "C:\Programme\NVIDIA Corporation\nTune\nTuneCmd.exe" clear
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [AudioHQ] C:\Programme\Creative\SBLive\AudioHQ\AHQTB.EXE
O4 - HKLM\..\Run: [CTDVDDET] "C:\Programme\Creative\Sound Blaster X-Fi\DVDAudio\CTDVDDET.EXE"
O4 - HKLM\..\Run: [RCSystem] "C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe" RCSystem * -Startup
O4 - HKLM\..\Run: [AudioDrvEmulator] "C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe" -1 AudioDrvEmulator "C:\Programme\Creative\Shared Files\Module Loader\Audio Emulator\AudDrvEm.dll"
O4 - HKLM\..\Run: [VolPanel] "C:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanel.exe" /r
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] "C:\Programme\Gemeinsame Dateien\Logitech\khalshared\KHALMNPR.EXE"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-18\..\Run: [PcSync] C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [PcSync] C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog (User 'Default user')
O4 - Startup: Miranda IM.lnk = C:\Programme\Miranda IM\miranda32.exe
O4 - Startup: Winamp.lnk = C:\Programme\Winamp\winamp.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: TB-Tray.lnk = C:\Programme\Thunderbird-Tray\TBTray.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O14 - IERESET.INF: START_PAGE_URL=about:blank
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Creative Service for CDROM Access - Unknown owner - C:\WINDOWS\system32\CTsvcCDA.exe (file missing)
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: nTune Service (nTuneService) - NVIDIA - C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe

Alt 20.04.2007, 17:42   #11
KarlKarl
/// Helfer-Team
 
Kerio entdeckt Eindringversuch von winlogon.exe - Standard

Kerio entdeckt Eindringversuch von winlogon.exe



Dein neues Log sieht schon mal gut aus. Vielleicht etwas viele Autostarts, aber nichts böses dabei. Die Javaversion auf deinem Rechner ist nicht mehr ganz aktuell. Die muß aktualisiert werden. Dazu in Systemsteuerung -> Software die alte Version deinstallieren, von Java Update die aktuelle "Java Runtime Environment (JRE) 6u1" runterladen und installieren.

Den Ordner C:\WINDOWS\system32\wsnpoem komplett löschen, auch wenn die Dateien die Endung DLL haben sind sie dennoch keine Programmbibliotheken. Die eine diente dazu eine Konfiguration für die ntos.exe zu speichern, die andere dazu, die abgegriffenen Passwörter zwischenzuspeichern, hab leider gerade vergessen, welche was war, ist wohl auch nicht so wichtig.

Bei Antivir streiten sich manche Geister. Es gibt Leute, die auf dem Standpunkt stehen, daß nur das was taugt, was richtig teuer war. Gut ist diese Einstellung auf jeden Fall für den Kommerz, aber sonst? Ich beschäftige mich viel mit Malware, lassen Unmengen Dateien bei Virustotal online scannen und kann dazu eigentlich nur sagen, daß Antivir eine Toperkennung hat, die meisten teuren Kaufscanner liegen weit dahinter. Habe öfter neue Malware da, bei der ich es erlebe, daß der einzige Hinweis von der Antivir Heuristik kommt.

Den empfohlenen Onlinescan solltest Du aber noch machen, ich packe sogar noch einen dazu:
Kaspersky

Was den "Security Task Manager" angeht: Ich habe den vor einiger Zeit mal auf ein Testsystem geladen. Das war ein Windows XP SP1 ohne irgendwelche Updates (für ein Ex-und-Hopp System zum testen ok). Außerdem der damals aktuelle Firefox. Da wurde dieser ewig veraltete Internet Explorer besser bewertet als der aktuelle Firefox, weil er original Microsoft ist

Antwort

Themen zu Kerio entdeckt Eindringversuch von winlogon.exe
administrator, adobe, antivir, avira, bho, browser, browseui preloader, einstellungen, excel, firewall, generic host, generic host process, helper, hijack, hijackthis, hijackthis log, hkus\s-1-5-18, internet explorer, logon.exe, nvidia, popup, programm, s-1-5-18, scan, senden, software, solution, system, taskmanager, trend micro, trojaner, unknown file in winsock lsp, userinit.exe, windows, windows xp, winlogon.exe



Ähnliche Themen: Kerio entdeckt Eindringversuch von winlogon.exe


  1. Norton meldet "Eindringversuch von ...insert IP here... wurde blockiert" - Quelle angeblich Skype
    Antiviren-, Firewall- und andere Schutzprogramme - 12.08.2013 (2)
  2. bei mir im hintergrund läuft musik ( ein eindringversuch von 8bpao6zzpfs2xaoell.com )
    Log-Analyse und Auswertung - 12.08.2011 (1)
  3. Sunbelt Firewall blockiert Eindringversuch der winlogon.exe
    Log-Analyse und Auswertung - 24.12.2007 (0)
  4. Sunbelt/Kero Firewall meldet wiederholt Eindringversuch
    Log-Analyse und Auswertung - 07.08.2007 (12)
  5. Sunbelt/Kerio Firewall meldet Eindringversuch
    Log-Analyse und Auswertung - 12.07.2007 (4)
  6. Kerio meldet Codeeinschleusungsversuch!
    Antiviren-, Firewall- und andere Schutzprogramme - 05.07.2006 (2)
  7. Programmzugriff bei Kerio einstellen!
    Antiviren-, Firewall- und andere Schutzprogramme - 10.01.2006 (2)
  8. Neues Ubdate Kerio 4.2.1
    Antiviren-, Firewall- und andere Schutzprogramme - 25.10.2005 (22)
  9. Kerio/Sygate
    Antiviren-, Firewall- und andere Schutzprogramme - 08.10.2005 (7)
  10. Aus für Kerio Personal Firewall !
    Antiviren-, Firewall- und andere Schutzprogramme - 16.09.2005 (2)
  11. Kerio Meldung - ein Angriff?
    Plagegeister aller Art und deren Bekämpfung - 13.09.2005 (3)
  12. Kerio
    Antiviren-, Firewall- und andere Schutzprogramme - 01.07.2005 (1)
  13. Kerio
    Antiviren-, Firewall- und andere Schutzprogramme - 29.07.2004 (1)
  14. Kerio?
    Antiviren-, Firewall- und andere Schutzprogramme - 23.02.2004 (47)
  15. Taugt Kerio Firewall was (die 2.)
    Antiviren-, Firewall- und andere Schutzprogramme - 09.11.2003 (5)
  16. Kennt jemand die Kerio PFW 4.0.3 ?
    Antiviren-, Firewall- und andere Schutzprogramme - 18.09.2003 (3)
  17. Kerio 3 beta ... und aus ist ???
    Antiviren-, Firewall- und andere Schutzprogramme - 01.01.2003 (3)

Zum Thema Kerio entdeckt Eindringversuch von winlogon.exe - Hi. Ich habe mir gestern durch ein Popup einen Trojaner oder ähnliches eingehandelt. AntiVir hat folgende Sachen gefunden und gelöscht: TR/Spy.Bzub.B und TR/Dldr.iBill.AC. Zuerst war die Internetverbindung nicht mehr möglich, - Kerio entdeckt Eindringversuch von winlogon.exe...
Archiv
Du betrachtest: Kerio entdeckt Eindringversuch von winlogon.exe auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.