Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: TR/Patchd.winlogon.b

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 10.03.2008, 15:37   #1
meatbox
 
TR/Patchd.winlogon.b - Standard

TR/Patchd.winlogon.b



Hallo Zusammen!

Hab heute morgen meinen Pc eingeschalte und da hat Anitvir diesen trojaner gefunden.
Alle Aktionen (löschen,Zugriff verweigern, Quarantäne...) bringen nichts da die Meldung ca. alle 30sec - 1min wieder kommt.
Ich hab in letzter Zeit auch nichts verdächtiges runter geladen...also kA wo das herkommt.

Zitat:
Logfile of HijackThis v1.99.1
Scan saved at 15:26:41, on 10.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\OpenOffice.org 2.3\program\soffice.exe
C:\Programme\OpenOffice.org 2.3\program\soffice.BIN
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avscan.exe
C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe
C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\****\Desktop\HJT\HijackThis.exe

O2 - BHO: Mediaplayer - {1536BA74-8625-4240-99B0-BE65883689C8} - C:\Programme\Mediapiraten\Mediapiraten\IEButtonMPInterface.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SBCSTray] C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Programme\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - Startup: OpenOffice.org 2.3.lnk = C:\Programme\OpenOffice.org 2.3\program\quickstart.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: Sunbelt CounterSpy Antispyware (SBCSSvc) - Sunbelt Software - C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe
Beim Systemscan hat Antivir wieder eine andere Meldung ausgespuckt:


Werde jetzt erst mal abwarten was ihr dazu zu sagen habt....

[EDIt] hab jetzt noch etwas gegoogelt und demnach wäre es eine ziehmlich schlechte Idee Winlogon.exe zu löschen? ODER???

danke im Vorraus
meatbox

Geändert von meatbox (10.03.2008 um 16:21 Uhr)

Alt 10.03.2008, 18:39   #2
KarlKarl
/// Helfer-Team
 
TR/Patchd.winlogon.b - Standard

TR/Patchd.winlogon.b



Hi,

schlechte Idee. Wenn Du Glück hast ersetzt sie Windows aus einer Sicherheitskopie. wenn nicht ist Windows mit dem nächsten Neustart klinisch tot.

Idee: Geh mal mit dem Internet Explorer auf die Seite für die Wndows Updates und lass deinen Rechner dort prüfen. Ich erwarte mal so, dass dabei vielleicht erkannt wird, dass die Datei nciht in Ordnung ist und eine korrekte eingespeilt wird.

Ansonsten kannst Du eigentlich nur noch deine Festplatte nach Kopien der winlogon.exe durchsuchen. Die bei Virustotal scanenn lassen, anhand der MD5-Werte sollte man prüfen können, ob sie ok sind. Sigcheck sollte das auch lokal können durch Prüfung der Datei-Signatur.

Gruß, Karl
__________________


Alt 10.03.2008, 20:37   #3
BataAlexander
> MalwareDB
 
TR/Patchd.winlogon.b - Standard

TR/Patchd.winlogon.b



Neben dem bereits vorgeschlagenem SigCheck, werfe ich mal "testweise" SdFix ins Rennen.

SDFIX ausführen

Download SDFix und speichere es auf dem Desktop.
Mache einen Doppelklick auf die SDFix.exe und wähle "Install" um es in den Ordner X:\SDFix zu entpacken
(X = Dein Windowslaufwerk)
  • Bitte starte Deinen Pc im abgesicherten Modus neu
  • Starte den PC neu
  • Nachdem dein Rechner einmal bei starten gepiept hat, bevor das Windows Logo erscheint, drücke die F8 Taste mehrfach
  • Anstatt Windows normal zu starten wird ein Menü erscheinen
  • Wähle die Option "Starte Windows im abgesicherten Modus", dann drücke "Enter"
  • Wähle Deinen Anmeldenamen
  • Im abgesicherten Modus, gehst Du zum SDFix Ordner X:\SDFix (X = Dein Windowslaufwerk)
  • Öffne den Ordner und doppelklicke die Datei RunThis.bat um das Script zu starten
  • Drücke "Y" um das Script zu starten.
  • Es entfernt bösartige Dienste und repariert die Registry. Wenn es durchgelaufen ist, bittet es eine Taste zu drücken um zu rebooten.
  • Drücke eine Taste um zu reboooten.
  • Dein System wird länger brauchen um jetzt wieder im normalen Modus zu starten, denn das fixtool startet mit und löscht noch einige Dateien.
  • Wenn der Desktop geladen ist, ist das Fixtool mit der Bereinigung fertig und sagt das auch, jetzt drücke eine Taste um das Script zu beenden und Deinen Desktop zu laden.
  • Jetzt öffne den SDFix Ordner auf Deinem Desktop und copy & paste den Inhalt der Report.txt in Deinen Thread.
__________________

Alt 11.03.2008, 08:15   #4
GUA
entlassen
 
TR/Patchd.winlogon.b - Standard

TR/Patchd.winlogon.b



um hier die übersicht zu behalten wurden gem. der nubs die crosspostings entfernt.
http://www.trojaner-board.de/extra/impressum.html#NUB

GUA

Alt 12.03.2008, 14:09   #5
meatbox
 
TR/Patchd.winlogon.b - Standard

TR/Patchd.winlogon.b



Moin! Danke für die Antworten... :-)

Hab das Problem jetzt anders "gelöst" -->mir is irgendwann die Gedult ausgegangen und hab dann mittel Antivir die Winlogon.exe gelöscht! Natürlich war das der Kopfschuss fürs Windows

-->Mein neues OS: Ubuntu 7.10

Trotzdem danke nochmal an euch fürs Kopf machen...

lg m


Antwort

Themen zu TR/Patchd.winlogon.b
antispyware, antivir, avira, bho, dateien, desktop, einstellungen, explorer, hijack, hijackthis, internet, internet explorer, logfile, löschen, löschen?, min, programme, quara, rundll, software, sp2, system, system32, trojaner, windows, windows xp, zugriff



Ähnliche Themen: TR/Patchd.winlogon.b


  1. winlogon
    Plagegeister aller Art und deren Bekämpfung - 16.11.2010 (26)
  2. winlogon.exe, css.exe
    Plagegeister aller Art und deren Bekämpfung - 05.09.2009 (1)
  3. Winlogon.exe infiziert
    Log-Analyse und Auswertung - 26.02.2009 (3)
  4. Winlogon Notify
    Mülltonne - 02.01.2009 (0)
  5. Trojaner winlogon.exe
    Plagegeister aller Art und deren Bekämpfung - 04.04.2008 (7)
  6. winlogon.exe infiziert?
    Plagegeister aller Art und deren Bekämpfung - 21.03.2008 (9)
  7. winlogon.exe - Trojaner ?!
    Plagegeister aller Art und deren Bekämpfung - 21.03.2008 (4)
  8. winlogon.exe???
    Mülltonne - 16.03.2008 (0)
  9. winlogon.exe
    Plagegeister aller Art und deren Bekämpfung - 12.03.2008 (7)
  10. winlogon.exe Trojaner
    Plagegeister aller Art und deren Bekämpfung - 02.04.2007 (2)
  11. winlogon TR/WLHack.A
    Log-Analyse und Auswertung - 30.03.2007 (1)
  12. TR/PatchedI//winlogon.exe
    Plagegeister aller Art und deren Bekämpfung - 18.01.2007 (4)
  13. winlogon.exe
    Plagegeister aller Art und deren Bekämpfung - 06.01.2007 (2)
  14. winlogon.exe und explorer.exe
    Log-Analyse und Auswertung - 29.12.2006 (9)
  15. OLE##winlogon aus registry ?
    Plagegeister aller Art und deren Bekämpfung - 11.10.2006 (4)
  16. Winlogon.exe Problem
    Log-Analyse und Auswertung - 07.08.2006 (3)
  17. winlogon.exe 50 - 70 % cpu
    Log-Analyse und Auswertung - 17.02.2006 (2)

Zum Thema TR/Patchd.winlogon.b - Hallo Zusammen! Hab heute morgen meinen Pc eingeschalte und da hat Anitvir diesen trojaner gefunden. Alle Aktionen (löschen,Zugriff verweigern, Quarantäne...) bringen nichts da die Meldung ca. alle 30sec - 1min - TR/Patchd.winlogon.b...
Archiv
Du betrachtest: TR/Patchd.winlogon.b auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.