Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Winlogon.exe infiziert

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 23.02.2009, 20:56   #1
Kadas21
 
Winlogon.exe infiziert - Standard

Winlogon.exe infiziert



Hallo,meine winlogon.exe datei ist mit einem virus infiziert.
Der Virus heißt (BlockReason.0)
Immer wenn ich ein spiel starte stürtzt mein pc ab und es steht beim neustart das der winlogon prozess unerwartet beendet wurde.
Hier meine log files:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:53:03, on 23.02.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\avmwlanstick\WlanNetService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\ICQ6Toolbar\ICQ Service.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\Programme\Sandboxie\SbieSvc.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\Winamp Remote\bin\OrbTray.exe
C:\Programme\Windows Media Player\WMPNSCFG.exe
C:\Programme\Sandboxie\SbieCtrl.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\ICQ6.5\ICQ.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Kevin Schmidt\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSource=10&ctid=CT2096149
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedirect?o=13165&gct=&gc=1&q=
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedirect?o=13165&gct=&gc=1&q=
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://toolbar.ask.com/toolbarv/askRedirect?o=13165&gct=&gc=1&q=%s
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.aldi.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = socks=
R3 - URLSearchHook: Winamp Search Class - {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - C:\Programme\Winamp Toolbar\winamptb.dll
R3 - URLSearchHook: (no name) - - (no file)
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
R3 - URLSearchHook: DefaultSearchHook Class - {C94E154B-1459-4A47-966B-4B843BEFC7DB} - C:\Programme\AskSearch\bin\DefaultSearch.dll
R3 - URLSearchHook: Eazel-DE Toolbar - {69b6939f-c70d-45c5-9bbd-e2e2cc3dd8e5} - C:\Programme\Eazel-DE\tbEaz1.dll
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Programme\AskBarDis\bar\bin\askBar.dll
O2 - BHO: Winamp Toolbar Loader - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Programme\Winamp Toolbar\winamptb.dll
O2 - BHO: Eazel-DE Toolbar - {69b6939f-c70d-45c5-9bbd-e2e2cc3dd8e5} - C:\Programme\Eazel-DE\tbEaz1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Programme\AskBarDis\bar\bin\askBar.dll
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Programme\Winamp Toolbar\winamptb.dll
O3 - Toolbar: Eazel-DE Toolbar - {69b6939f-c70d-45c5-9bbd-e2e2cc3dd8e5} - C:\Programme\Eazel-DE\tbEaz1.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [] C:\WINDOWS\system32\keylogger.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKCU\..\Run: [Microsoft] "C:\WINDOWS\system\svchost.exe"
O4 - HKCU\..\Run: [Orb] "C:\Programme\Winamp Remote\bin\OrbTray.exe" /background
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [Klass] C:\WINDOWS\svchost.exe
O4 - HKCU\..\Run: [SandboxieControl] "C:\Programme\Sandboxie\SbieCtrl.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Winamp Search - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
O8 - Extra context menu item: Download with Xilisoft Download YouTube Video - C:\Programme\Xilisoft\Download YouTube Video\upod_link.HTM
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1163175161739
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: Media Center-Planerdienst (ehSched) - Unknown owner - C:\WINDOWS\eHome\ehSched.exe (file missing)
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Sandboxie Service (SbieSvc) - tzuk - C:\Programme\Sandboxie\SbieSvc.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 7223 bytes

Könnt ihr mir sagen was ich nun machen soll?

Alt 23.02.2009, 23:29   #2
KarlKarl
/// Helfer-Team
 
Winlogon.exe infiziert - Standard

Winlogon.exe infiziert



Hi,

geh mal zu VirusTotal und lass dort folgende Dateien scannnen, die Ergebnisse dann bitte hierher kopieren.
  • C:\WINDOWS\system32\keylogger.exe
  • C:\WINDOWS\system\svchost.exe
  • C:\WINDOWS\svchost.exe
Aber im Hinblick darauf, dass da noch einiges mehr ist (was bloß weniger unbekannt ist), schon mal nach der Windows-CD Ausschau halten. Irgendwie scheint Sandboxie nicht so der Bringer zu sein ...

Gruß, Karl
__________________


Alt 26.02.2009, 15:08   #3
Kadas21
 
Winlogon.exe infiziert - Standard

Winlogon.exe infiziert



svchost in C: windows ist garnicht bei mir vorhanden,außerdem ist komisch das mein spiel S.T.A.L.K.E.R immer abstürtzt woran liegt das? hat es was mit dem virus zu tun?

die anderen svchost enthält keinen virus,außerdem existiert auch die keylogger.exe nicht bei mir.
__________________

Alt 26.02.2009, 17:50   #4
KarlKarl
/// Helfer-Team
 
Winlogon.exe infiziert - Standard

Winlogon.exe infiziert



Stehen aber alle in deinem Log oben drin, sonst wäre ich nicht auf sie gekommen. Und in deinem HijackThis wurden sie bestimmt nur eingetragen, weil sie auf dein System gebracht wurden. Eventuell hat sie in der Zwischenzeit mal ein Virenscanner kassiert, das wäre aber sehr schlecht, dann besteht keine Möglichkeit mehr, herauszubekommen was sie waren. Womit der Verdacht auf Backdoorserver nicht mehr ausgeräumt werden kann.

Irgendwie habe ich vergessen, die angemeckerte winlogon.exe in der Liste oben einzutragen. Die sollte auch geprüft werden, hier sind die zusätzlichen Angaben wie MD5 besonders wichtig.

Einmal einen Backdoorserver installiert heißt, dass wirklich alles am System beliebig verändert worden sein kann, inklusive des Austauschs von Systemdateien.

Antwort

Themen zu Winlogon.exe infiziert
.com, .exe datei, antivirus, ask toolbar, avast, avast!, bho, desktop, einstellungen, explorer, firefox, google, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, log files, logon.exe, monitor, mozilla, neustart, prozess, registry, rundll, software, stick, system, virus, windows, windows xp



Ähnliche Themen: Winlogon.exe infiziert


  1. "csrss.exe" und "winlogon.exe" möglicherweise Infiziert
    Plagegeister aller Art und deren Bekämpfung - 11.06.2013 (3)
  2. System infiziert. USB-Stick und Datensicherung auch infiziert?
    Plagegeister aller Art und deren Bekämpfung - 05.07.2011 (2)
  3. The Cleaner 2012 findet .....Winlogon\Taskman - Trojan.Agent - System infiziert?
    Plagegeister aller Art und deren Bekämpfung - 07.03.2011 (2)
  4. winlogon
    Plagegeister aller Art und deren Bekämpfung - 16.11.2010 (26)
  5. Winlogon.exe ca. 40 mal in den Prozessen
    Antiviren-, Firewall- und andere Schutzprogramme - 23.10.2010 (1)
  6. Winlogon.exe und Sytemauslastung 100%
    Log-Analyse und Auswertung - 07.12.2009 (14)
  7. winlogon.exe, css.exe
    Plagegeister aller Art und deren Bekämpfung - 05.09.2009 (1)
  8. winlogon.exe infiziert mit Win32.LooksLike.Virut?
    Plagegeister aller Art und deren Bekämpfung - 01.05.2009 (6)
  9. winlogon.exe infiziert?
    Plagegeister aller Art und deren Bekämpfung - 21.03.2008 (9)
  10. winlogon.exe???
    Mülltonne - 16.03.2008 (0)
  11. TR/Patchd.winlogon.b
    Log-Analyse und Auswertung - 12.03.2008 (4)
  12. winlogon.exe
    Plagegeister aller Art und deren Bekämpfung - 11.03.2008 (7)
  13. Winlogon.exe - CPU Auslastung 100%
    Plagegeister aller Art und deren Bekämpfung - 22.11.2007 (12)
  14. winlogon.exe mit Trojaner infiziert
    Plagegeister aller Art und deren Bekämpfung - 30.03.2007 (3)
  15. winlogon.exe mit Trojaner Keylogger.iOpus.A.36 infiziert
    Plagegeister aller Art und deren Bekämpfung - 24.02.2007 (1)
  16. winlogon.exe
    Plagegeister aller Art und deren Bekämpfung - 06.01.2007 (2)
  17. winlogon.exe 50 - 70 % cpu
    Log-Analyse und Auswertung - 17.02.2006 (2)

Zum Thema Winlogon.exe infiziert - Hallo,meine winlogon.exe datei ist mit einem virus infiziert. Der Virus heißt (BlockReason.0) Immer wenn ich ein spiel starte stürtzt mein pc ab und es steht beim neustart das der winlogon - Winlogon.exe infiziert...
Archiv
Du betrachtest: Winlogon.exe infiziert auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.