Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Virus winlogon.exe aufgegabelt??

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 24.03.2008, 13:10   #1
Verry-Verry
 
Virus winlogon.exe aufgegabelt?? - Standard

Virus winlogon.exe aufgegabelt??



Hallo,

ich habe in letzer Zeit folgende Meldung im Kaspersky:

24.03.2008 12:46:42 Prozess C:\WINDOWS\system32\winlogon.exe (PID: 680): Versuch eine Auswahl von Modulen, die beim Hochfahren des Computers geladen werden, (Schlüssel \REGISTRY\USER\S-1-5-21-549770323-1257248775-2991724372-1008\Software\Microsoft\Windows\CurrentVersion\Explorer\CLSID, Wert C:\Dokumente und Einstellungen\ABC\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\TempClassesHive.da, Daten ) wurde blockiert.

Und:

24.03.2008 12:46:42 Prozess C:\WINDOWS\system32\winlogon.exe (PID: 680): verdächtige Aktion. Versuch eine Auswahl von Modulen, die beim Hochfahren des Computers geladen werden, (Schlüssel \REGISTRY\USER\S-1-5-21-549770323-1257248775-2991724372-1008\Software\Microsoft\Windows\CurrentVersion\Explorer\CLSID, Wert C:\Dokumente und Einstellungen\ABC\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\TempClassesHive.da, Daten ).

Kann es sein, dass ich den Trojaner winlogon in der winlogon.exe habe?

Ich stelle mal mein Protokoll hier ein, vielleicht kann mir jemand helfen.

Verry

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:06:29, on 24.03.2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\WINDOWS\System32\LVCOMSX.EXE
C:\Programme\Logitech\Video\LogiTray.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\PROGRA~1\COOLSPOT\PERSON~1\PID.EXE
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Logitech\Video\FxSvr2.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\Programme\IDM COMPUTER SOLUTIONS\ULTRAEDIT-32\uedit32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.medion.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://de.search.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - URLSearchHook: _URLHandler - {7FF23285-DBBC-49B6-818C-34AC459D5BB3} - C:\WINDOWS\system32\pidd.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [Personal ID] C:\PROGRA~1\COOLSPOT\PERSON~1\PID.EXE
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\Programme\Logitech\Video\ManifestEngine.exe boot
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: Preispiraten 2.1.1 - {86DE8B3B-1EB7-4386-84BD-EBE94348A913} - C:\Programme\Preispiraten\Preispiraten2\preispiraten2ie.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) -
O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/DE/install.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://appldnld.m7z.net/qtinstall.info.apple.com/tramper/us/win/QuickTimeInstaller.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1107514878250
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://cid-d31d5e8ce178e25f.spaces.live.com/PhotoUpload/MsnPUpld.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} - http://www.bitdefender.de/scan/Msie/bitdefender.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} -
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) -
O17 - HKLM\System\CCS\Services\Tcpip\..\{AE60CE46-C8A7-4F46-9B82-19496EE1E875}: NameServer = 217.237.150.51 217.237.148.22
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~2.0\adialhk.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 7918 bytes

Alt 24.03.2008, 13:14   #2
Lizzaran
 
Virus winlogon.exe aufgegabelt?? - Standard

Virus winlogon.exe aufgegabelt??



Mal das neueste update hohlen
Code:
ATTFilter
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
         
Mal überprüfen auf www.virustotal.com
Code:
ATTFilter
C:\WINDOWS\system32\pidd.dll
         
Mehr findet man hier eig. nicht
__________________


Alt 24.03.2008, 13:29   #3
Verry-Verry
 
Virus winlogon.exe aufgegabelt?? - Standard

Virus winlogon.exe aufgegabelt??



Meinst du, das ganze SP 1 nochmals überspielen? Einzeln habe ich die von dir genannte Version nicht gefunden beim googeln.


Übrigens: der MSIE, also der Windows-Installer, funzt auch nicht mehr :-(
Alle Versuche, einen neuen aufzuspielen, den vorhandenen ab- und dann wieder anzumelden haben nichts gebracht. Windows-Installer ist futsch :-(

Deine Empfehlung, "MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)", das war der Installer, der im SP 1 mit dabei ist.
Und nun hab ich irgendwie eine andere Version drauf, die wohl nicht funzt.
Und zwar die Version 3.1.4000.1823.
Verry
__________________

Antwort

Themen zu Virus winlogon.exe aufgegabelt??
adobe, appinit_dlls, ctfmon.exe, dateien, defender, einstellungen, explorer, hijack, hijackthis, home, hotkey, internet, internet explorer, internet security, kaspersky, logon.exe, microsoft, msn, object, programme, registry, security, shockwave, software, system, trojaner, urlsearchhook, virus, windows, windows xp, winlogon.exe



Ähnliche Themen: Virus winlogon.exe aufgegabelt??


  1. Virus (csrss.exe/winlogon.exe) nach mbr und normaler Formatierung immer noch da
    Log-Analyse und Auswertung - 19.05.2014 (7)
  2. Ich glaube Ich haben einen VIRUS winlogon.exe
    Plagegeister aller Art und deren Bekämpfung - 23.03.2014 (7)
  3. Ist der Prozess winlogon.exe ein Virus, wenn er keine Details hat? Und was bedeuten diese Konten?
    Plagegeister aller Art und deren Bekämpfung - 17.06.2013 (3)
  4. Winlogon.exe, CHKDSK, Thunderbird weg, Malwarebytes deaktiviert, Virus?
    Plagegeister aller Art und deren Bekämpfung - 22.11.2012 (34)
  5. Winlogon.exe & csrss.exe...Virus? Trojan (?)
    Plagegeister aller Art und deren Bekämpfung - 14.09.2012 (22)
  6. (2x) Winlogon.exe, CHKDSK, Thunderbird weg, Malwarebytes deaktiviert, Virus?
    Mülltonne - 01.09.2012 (1)
  7. winlogon.exe trojaner oder virus entfernen, aber wie?
    Log-Analyse und Auswertung - 08.05.2012 (3)
  8. Facebook-Virus?, *.JPG.scr geöffnet, Folge: winsvc.exe, csrss.exe, atiedxx.exe, winlogon.exe
    Log-Analyse und Auswertung - 16.08.2011 (2)
  9. Winlogon.exe hat vermutlich Virus. Explorer.exe spielt verrückt.
    Plagegeister aller Art und deren Bekämpfung - 31.01.2011 (1)
  10. winlogon in anwedungsdaten -> virus?
    Plagegeister aller Art und deren Bekämpfung - 29.09.2010 (3)
  11. 2*Winlogon.exe, eine mit 50%CPUAuslastung! Virus?
    Plagegeister aller Art und deren Bekämpfung - 19.07.2010 (54)
  12. Antivir zeigt winlogon,svchost und mehr als virus!
    Plagegeister aller Art und deren Bekämpfung - 10.09.2009 (1)
  13. Microsoft winlogon.exe is downloading Trojans,Virus&Spyware !
    Plagegeister aller Art und deren Bekämpfung - 19.02.2009 (2)
  14. Logfile!!! Winlogon Virus und andere Probleme! Bitte helft mir!!!
    Log-Analyse und Auswertung - 14.10.2008 (1)
  15. Wie entferne ich den virus/Trojaner winlogon.exe
    Plagegeister aller Art und deren Bekämpfung - 20.03.2008 (25)
  16. Winlogon Trojaner/Virus
    Log-Analyse und Auswertung - 17.04.2007 (8)
  17. winlogon.exe ersetzen?Virus hat sich eingeschlichn und will nich gelöscht werden
    Plagegeister aller Art und deren Bekämpfung - 31.01.2006 (58)

Zum Thema Virus winlogon.exe aufgegabelt?? - Hallo, ich habe in letzer Zeit folgende Meldung im Kaspersky: 24.03.2008 12:46:42 Prozess C:\WINDOWS\system32\winlogon.exe (PID: 680): Versuch eine Auswahl von Modulen, die beim Hochfahren des Computers geladen werden, (Schlüssel \REGISTRY\USER\S-1-5-21-549770323-1257248775-2991724372-1008\Software\Microsoft\Windows\CurrentVersion\Explorer\CLSID, - Virus winlogon.exe aufgegabelt??...
Archiv
Du betrachtest: Virus winlogon.exe aufgegabelt?? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.