Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: winlogon.exe infiziert mit Win32.LooksLike.Virut?

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 01.05.2009, 15:47   #1
eelaa
 
winlogon.exe infiziert mit Win32.LooksLike.Virut? - Standard

winlogon.exe infiziert mit Win32.LooksLike.Virut?



Hallo liebe Leute!

mit meiner winlogon.exe stimmt scheinbar irgendwas nicht. Vielleicht handelt es sich ja auch um einen Fehlalarm? Sie befindet sich im Ordner C:\WINDOWS\system32. Google und die Boardsuche brachten mir keine Antworten.
Anleitung für alle Hilfesuchenden hab ich gelesen. Bin frei von jeglichem Datenmüll, da ich permanent CCleaner benutze. Spybot und Adaware sowie Kaspersky haben seit Monaten keine Malware gefunden. Es gibt auch keine Symptome einer Infektion. Ich hoffe, es ist ein false positive.

Malwarebytes (benutze ich standardmäßig) ist ohne Infektionen.
Bitte bitte nicht mein Thema rausschmeißen! Ich wäre sehr dankbar für Hilfe.


Virustotal:


Code:
ATTFilter
Datei winlogon.exe empfangen 2009.04.30 21:12:52 (CET)
Antivirus	Version	letzte aktualisierung	Ergebnis
a-squared	4.0.0.101	2009.04.30	-
AhnLab-V3	5.0.0.2	2009.04.30	-
AntiVir	7.9.0.160	2009.04.30	-
Antiy-AVL	2.0.3.1	2009.04.30	-
Authentium	5.1.2.4	2009.04.30	-
Avast	4.8.1335.0	2009.04.29	-
AVG	8.5.0.327	2009.04.30	-
BitDefender	7.2	2009.04.30	-
CAT-QuickHeal	10.00	2009.04.30	-
ClamAV	0.94.1	2009.04.30	-
Comodo	1141	2009.04.29	-
DrWeb	4.44.0.09170	2009.04.30	-
eSafe	7.0.17.0	2009.04.30	-
eTrust-Vet	31.6.6484	2009.04.30	-
F-Prot	4.4.4.56	2009.04.29	-
F-Secure	8.0.14470.0	2009.04.30	-
Fortinet	3.117.0.0	2009.04.30	-
GData	19	2009.04.30	-
Ikarus	T3.1.1.49.0	2009.04.30	-
K7AntiVirus	7.10.720	2009.04.30	-
Kaspersky	7.0.0.125	2009.04.30	-
McAfee	5601	2009.04.30	-
McAfee+Artemis	5601	2009.04.30	-
McAfee-GW-Edition	6.7.6	2009.04.30	Win32.LooksLike.Virut
Microsoft	1.4602	2009.04.30	-
NOD32	4046	2009.04.30	-
Norman	6.01.05	2009.04.30	-
nProtect	2009.1.8.0	2009.04.29	-
Panda	10.0.0.14	2009.04.30	-
PCTools	4.4.2.0	2009.04.30	-
Rising	21.27.31.00	2009.04.30	-
Sophos	4.41.0	2009.04.30	-
Sunbelt	3.2.1858.2	2009.04.29	-
Symantec	1.4.4.12	2009.04.30	-
TheHacker	6.3.4.1.317	2009.04.30	-
TrendMicro	8.950.0.1092	2009.04.30	-
VBA32	3.12.10.4	2009.04.30	-
ViRobot	2009.4.30.1716	2009.04.30	-
VirusBuster	4.6.5.0	2009.04.30	-
weitere Informationen
File size: 513024 bytes
MD5...: f09a527b422e25c478e38caa0e44417a
SHA1..: b180bed1bca42ae4cef259697c3d21320026752b
SHA256: 8e4d860c5c753b657a1bcb42579556e582cbdaabf07eae59f81519ac6997accb
SHA512: 052569a59a992fa0bbcac1cf48c4c3f8e5f0046fac362df9cf5f1588c31b5c4f<br>dd7737a2ac07146af4588b8a1b56dc35accac7af635975554cf273197d49991e
ssdeep: 6144:XNZlxEdL5RvGlcHF37newMLao6nMnKHOD13XRnCfOVSePfLtisgZYl6:Ydz<br>+lcDKao6nSKHsRqOMgxZg7<br>
PEiD..: -
TrID..: File type identification<br>Win64 Executable Generic (80.9%)<br>Win32 Executable Generic (8.0%)<br>Win32 Dynamic Link Library (generic) (7.1%)<br>Generic Win/DOS Executable (1.8%)<br>DOS Executable Generic (1.8%)
PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x3e5e1<br>timedatestamp.....: 0x48027549 (Sun Apr 13 21:04:09 2008)<br>machinetype.......: 0x14c (I386)<br><br>( 3 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>.text 0x1000 0x70991 0x70a00 6.82 908e56664ad48f24e1939d3b1ea309f3<br>.data 0x72000 0x4e70 0x2000 6.28 44bd27282514b5e3a27b570106930d8d<br>.rsrc 0x77000 0xa430 0xa600 3.73 8a12f4df598ec6ccae94a551cd8c69fb<br><br>( 20 imports ) <br>&gt; ADVAPI32.dll: ConvertStringSecurityDescriptorToSecurityDescriptorA, A_SHAInit, A_SHAUpdate, A_SHAFinal, LsaStorePrivateData, LsaRetrievePrivateData, LsaNtStatusToWinError, CryptGetUserKey, CryptGetKeyParam, CryptEncrypt, CryptSetProvParam, CryptSignHashW, CryptDeriveKey, CryptGetProvParam, RegOpenCurrentUser, RegDeleteKeyW, AddAccessAllowedAceEx, RegSetKeySecurity, I_ScSendTSMessage, MD5Init, MD5Update, MD5Final, SetFileSecurityA, AllocateLocallyUniqueId, LsaOpenPolicy, LsaQueryInformationPolicy, LsaFreeMemory, LsaClose, RegNotifyChangeKeyValue, QueryServiceConfigW, SetKernelObjectSecurity, ConvertStringSecurityDescriptorToSecurityDescriptorW, RegEnumKeyExW, GetCurrentHwProfileW, RegCloseKey, RegQueryValueExW, RegOpenKeyW, FreeSid, SetSecurityDescriptorDacl, InitializeSecurityDescriptor, AddAccessAllowedAce, InitializeAcl, GetLengthSid, AllocateAndInitializeSid, RegOpenKeyExW, CreateProcessAsUserW, DuplicateTokenEx, CloseServiceHandle, ControlService, StartServiceW, QueryServiceStatus, OpenServiceW, OpenSCManagerW, EqualSid, GetTokenInformation, RegSetValueExW, RegCreateKeyExW, CryptGenRandom, CryptDestroyHash, CryptVerifySignatureW, CryptSetHashParam, CryptGetHashParam, CryptHashData, CryptCreateHash, CryptDecrypt, ReportEventW, RegisterEventSourceW, CryptImportKey, CryptAcquireContextW, CryptReleaseContext, CryptDestroyKey, RegEnumValueW, RegQueryInfoKeyW, RegDeleteValueW, CredFree, CredDeleteW, CredEnumerateW, CopySid, GetSidLengthRequired, GetSidSubAuthority, GetSidSubAuthorityCount, GetUserNameW, OpenThreadToken, EnumServicesStatusW, ImpersonateLoggedOnUser, RegQueryValueExA, CheckTokenMembership, DeregisterEventSource, LsaGetUserName, RevertToSelf, LookupAccountSidW, IsValidSid, SetTokenInformation, LogonUserW, LookupAccountNameW, OpenProcessToken, SynchronizeWindows31FilesAndWindowsNTRegistry, QueryWindows31FilesMigration, AdjustTokenPrivileges, RegQueryInfoKeyA<br>&gt; AUTHZ.dll: AuthzInitializeResourceManager, AuthzAccessCheck, AuthziFreeAuditEventType, AuthziInitializeAuditEvent, AuthziInitializeAuditParams, AuthziInitializeAuditEventType, AuthziLogAuditEvent, AuthzFreeAuditEvent, AuthzFreeResourceManager, AuthzFreeHandle<br>&gt; CRYPT32.dll: CryptImportPublicKeyInfo, CryptVerifyMessageSignature, CertCreateCertificateContext, CertSetCertificateContextProperty, CertVerifyCertificateChainPolicy, CryptSignMessage, CertCloseStore, CertComparePublicKeyInfo, CryptExportPublicKeyInfo, CertFindExtension, CryptDecryptMessage, CertGetCertificateContextProperty, CertAddCertificateContextToStore, CertOpenStore, CertVerifySubjectCertificateContext, CertGetIssuerCertificateFromStore, CertDuplicateCertificateContext, CertFreeCertificateContext, CertEnumCertificatesInStore, CryptImportPublicKeyInfoEx<br>&gt; GDI32.dll: RemoveFontResourceW, AddFontResourceW<br>&gt; KERNEL32.dll: WTSGetActiveConsoleSessionId, GetTimeFormatW, GetUserDefaultLCID, FileTimeToSystemTime, FileTimeToLocalFileTime, GetProcAddress, LoadLibraryW, GetModuleHandleW, SystemTimeToFileTime, GetSystemTime, SetLastError, TerminateProcess, GetCurrentProcess, CreateTimerQueueTimer, CreateThread, lstrcpynW, GetShortPathNameW, GetProfileStringW, FreeLibrary, ReleaseSemaphore, CreateSemaphoreW, GetSystemInfo, GetComputerNameW, GetEnvironmentVariableW, WaitForSingleObjectEx, LoadResource, FindResourceW, SetThreadExecutionState, DeleteTimerQueueTimer, ResetEvent, GetSystemDirectoryW, TransactNamedPipe, SetNamedPipeHandleState, GetTickCount, CreateFileW, GlobalGetAtomNameW, VirtualLock, VirtualQuery, GetDriveTypeW, Beep, ExpandEnvironmentStringsW, OpenMutexW, QueueUserWorkItem, LeaveCriticalSection, EnterCriticalSection, DisconnectNamedPipe, SearchPathW, lstrcatW, LocalReAlloc, TerminateThread, ResumeThread, GetDiskFreeSpaceExW, GlobalMemoryStatusEx, DeleteFileW, WriteProfileStringW, ReadFile, FindVolumeClose, FindNextVolumeW, FindFirstVolumeW, FormatMessageW, SetPriorityClass, MoveFileExW, WaitForMultipleObjectsEx, GetExitCodeProcess, SleepEx, InterlockedExchange, FindClose, FindFirstFileW, GetWindowsDirectoryW, SetTimerQueueTimer, GetComputerNameA, GetVersionExW, VerSetConditionMask, WriteFile, WaitNamedPipeW, WaitForMultipleObjects, ConnectNamedPipe, GetVersionExA, DuplicateHandle, OpenProcess, GetOverlappedResult, lstrcmpW, SetEnvironmentVariableW, UnregisterWait, CreateNamedPipeW, CreateRemoteThread, CreateActCtxW, GetModuleFileNameW, ExitProcess, LoadLibraryExW, SetErrorMode, SetUnhandledExceptionFilter, GetPrivateProfileStringW, LocalSize, VirtualAlloc, VirtualQueryEx, DebugBreak, CreateFileA, InitializeCriticalSection, ProcessIdToSessionId, SetInformationJobObject, AssignProcessToJobObject, TerminateJobObject, PostQueuedCompletionStatus, PulseEvent, GetQueuedCompletionStatus, CreateIoCompletionPort, CreateJobObjectW, ActivateActCtx, DeactivateActCtx, InterlockedCompareExchange, LoadLibraryA, QueryPerformanceCounter, GetSystemTimeAsFileTime, UnhandledExceptionFilter, GetModuleHandleA, GetStartupInfoA, GetCurrentProcessId, SetThreadPriority, GetCurrentThreadId, lstrcmpiW, GetProfileIntW, LoadLibraryExA, lstrcpyW, lstrlenW, Sleep, LocalAlloc, CreateEventW, GetExitCodeThread, SetThreadAffinityMask, GetProcessAffinityMask, CreateWaitableTimerW, CreateMutexW, OpenEventW, RegisterWaitForSingleObject, WaitForSingleObject, CreateProcessW, SetWaitableTimer, ReleaseMutex, SetEvent, UnregisterWaitEx, CloseHandle, lstrlenA, lstrcpyA, MultiByteToWideChar, GetACP, WideCharToMultiByte, HeapAlloc, GetProcessHeap, HeapFree, lstrcpynA, UnmapViewOfFile, MapViewOfFile, CreateFileMappingW, lstrcmpiA, GetFileSize, SetFilePointer, GlobalAlloc, GlobalFree, GetLastError, LocalFree, lstrcatA, lstrcmpA, GetLogicalDriveStringsA, GetDriveTypeA, GetVolumeInformationW, GlobalMemoryStatus, CreateMutexA, FindResourceExW, LockResource, SizeofResource, VerifyVersionInfoW, GetSystemDirectoryA, GetCurrentThread, DelayLoadFailureHook, BaseInitAppcompatCacheSupport, OpenProfileUserMapping, CloseProfileUserMapping, BaseCleanupAppcompatCacheSupport, InitializeCriticalSectionAndSpinCount, VirtualProtect, CreateEventA, TlsSetValue, TlsGetValue, DeleteCriticalSection, TlsAlloc, VirtualFree, TlsFree<br>&gt; msvcrt.dll: wcslen, _vsnwprintf, wcsncpy, wcsstr, atoi, wcstok, memmove, wcschr, swprintf, swscanf, _local_unwind2, _wcslwr, wcscmp, _snwprintf, malloc, _c_exit, _exit, _XcptFilter, _cexit, exit, _acmdln, __getmainargs, _initterm, __setusermatherr, _adjust_fdiv, __p__commode, __p__fmode, __set_app_type, __3@YAXPAX@Z, __2@YAPAXI@Z, __CxxFrameHandler, _itow, _snprintf, _wtol, _strnicmp, sscanf, wcstombs, sprintf, strchr, strncmp, atof, _ftol, isspace, wcscpy, _controlfp, wcsncmp, _wcsupr, ceil, wcscat, _except_handler3, free, _wcsicmp<br>&gt; NDdeApi.dll: -, -, -, -<br>&gt; ntdll.dll: RtlSubAuthoritySid, RtlAllocateHeap, NtPowerInformation, NtSetSystemPowerState, NtRaiseHardError, RtlDeleteCriticalSection, NtOpenSymbolicLinkObject, NtReplyPort, NtCompleteConnectPort, NtReplyWaitReceivePort, NtAcceptConnectPort, NtCreatePort, RtlConvertSidToUnicodeString, RtlFreeUnicodeString, NtLockProductActivationKeys, RtlTimeToTimeFields, NtUnmapViewOfSection, NtMapViewOfSection, NtOpenSection, NtQuerySymbolicLinkObject, NtQueryVolumeInformationFile, NtSetSecurityObject, RtlAdjustPrivilege, NtOpenFile, NtFsControlFile, RtlAllocateAndInitializeSid, RtlDestroyEnvironment, RtlFreeHeap, NtQueryInformationToken, NtShutdownSystem, RtlEnterCriticalSection, RtlLeaveCriticalSection, RtlInitializeCriticalSection, RtlCreateEnvironment, RtlQueryEnvironmentVariable_U, RtlSetEnvironmentVariable, RtlInitUnicodeString, NtOpenKey, NtQueryValueKey, RtlInitializeSid, RtlLengthRequiredSid, NtAllocateLocallyUniqueId, RtlGetDaclSecurityDescriptor, RtlCopySid, RtlLengthSid, NtSetInformationThread, NtDuplicateToken, NtDuplicateObject, RtlEqualSid, RtlSetDaclSecurityDescriptor, RtlCreateSecurityDescriptor, NtClose, RtlOpenCurrentUser, RtlAddAce, RtlCreateAcl, RtlNtStatusToDosError, NtSetInformationProcess, NtQuerySystemInformation, NtCreateEvent, NtCreatePagingFile, RtlDosPathNameToNtPathName_U, RtlRegisterWait, NtSetValueKey, NtCreateKey, RtlTimeToSecondsSince1980, NtQuerySystemTime, NtPrivilegeObjectAuditAlarm, NtPrivilegeCheck, NtOpenThreadToken, NtOpenProcessToken, RtlInitString, RtlUnhandledExceptionFilter, NtQueryInformationProcess, DbgBreakPoint, RtlCheckProcessParameters, RtlSetThreadIsCritical, RtlSetProcessIsCritical, RtlGetNtProductType, NtInitiatePowerAction, DbgPrint, NtFilterToken, NtQueryInformationJobObject, NtOpenEvent, RtlGetAce, RtlQueryInformationAcl, NtQuerySecurityObject, RtlCompareUnicodeString, NtOpenDirectoryObject<br>&gt; PROFMAP.dll: InitializeProfileMappingApi, RemapAndMoveUserW<br>&gt; PSAPI.DLL: EnumProcesses, EnumProcessModules, GetModuleBaseNameW<br>&gt; REGAPI.dll: RegDefaultUserConfigQueryW, RegUserConfigQuery<br>&gt; RPCRT4.dll: RpcServerRegisterIfEx, RpcServerUseProtseqEpW, RpcImpersonateClient, I_RpcMapWin32Status, RpcServerRegisterIf, RpcGetAuthorizationContextForClient, RpcFreeAuthorizationContext, RpcServerListen, RpcRevertToSelf, NdrServerCall2, UuidCreate<br>&gt; Secur32.dll: LsaCallAuthenticationPackage, GetUserNameExW, LsaLookupAuthenticationPackage, LsaRegisterLogonProcess<br>&gt; SETUPAPI.dll: SetupDiDestroyDeviceInfoList, SetupDiEnumDeviceInfo, SetupDiGetClassDevsW, SetupDiGetDeviceRegistryPropertyW<br>&gt; USER32.dll: SetFocus, EnumWindows, CreateWindowStationW, RegisterLogonProcess, RecordShutdownReason, LoadLocalFonts, UnhookWindowsHook, SetWindowsHookW, GetWindowTextW, CallNextHookEx, DialogBoxParamW, GetWindowPlacement, GetSystemMenu, DeleteMenu, SetWindowPlacement, SetUserObjectInformationW, GetAsyncKeyState, PostThreadMessageW, SetUserObjectSecurity, CreateDesktopW, GetMessageTime, SetTimer, SetLogonNotifyWindow, UnlockWindowStation, ReplyMessage, UnregisterHotKey, RegisterHotKey, OpenInputDesktop, GetUserObjectInformationW, CloseDesktop, RegisterDeviceNotificationW, SetThreadDesktop, CreateWindowExW, GetMessageW, TranslateMessage, RegisterWindowMessageW, RegisterClassW, SetCursor, FindWindowW, MessageBoxW, SendNotifyMessageW, PostQuitMessage, MsgWaitForMultipleObjects, GetWindowRect, GetSystemMetrics, PeekMessageW, DispatchMessageW, KillTimer, SetProcessWindowStation, UpdateWindow, ShowWindow, SetWindowPos, PostMessageW, ExitWindowsEx, EnumDisplayMonitors, SystemParametersInfoW, GetDlgItem, SendMessageW, CreateDialogParamW, DestroyWindow, GetWindowLongW, GetDlgItemTextW, EndDialog, SetWindowLongW, LoadStringW, SetWindowTextW, SetDlgItemTextW, wsprintfW, wsprintfA, LockWindowStation, MBToWCSEx, SetWindowStationUser, UpdatePerUserSystemParameters, DialogBoxIndirectParamW, wvsprintfW, SetLastErrorEx, LoadCursorW, CheckDlgButton, IsDlgButtonChecked, DefWindowProcW, CloseWindowStation, LoadImageW, GetParent, GetKeyState, GetDesktopWindow, SetForegroundWindow, SwitchDesktop, OpenDesktopW<br>&gt; USERENV.dll: -, WaitForUserPolicyForegroundProcessing, GetAllUsersProfileDirectoryW, -, -, -, WaitForMachinePolicyForegroundProcessing, -, -, -, UnloadUserProfile, LoadUserProfileW, -, RegisterGPNotification, CreateEnvironmentBlock, DestroyEnvironmentBlock, UnregisterGPNotification, GetUserProfileDirectoryW<br>&gt; VERSION.dll: GetFileVersionInfoSizeW, GetFileVersionInfoW, VerQueryValueW<br>&gt; WINSTA.dll: WinStationRequestSessionsList, WinStationQueryLogonCredentialsW, WinStationIsHelpAssistantSession, WinStationAutoReconnect, _WinStationWaitForConnect, _WinStationNotifyLogoff, WinStationDisconnect, _WinStationCallback, WinStationNameFromLogonIdW, _WinStationFUSCanRemoteUserDisconnect, WinStationEnumerate_IndexedW, WinStationGetMachinePolicy, WinStationQueryInformationW, WinStationFreeMemory, WinStationReset, _WinStationNotifyDisconnectPipe, WinStationConnectW, WinStationSetInformationW, WinStationShutdownSystem, WinStationCheckLoopBack, _WinStationNotifyLogon<br>&gt; WINTRUST.dll: CryptCATAdminEnumCatalogFromHash, CryptCATCatalogInfoFromContext, CryptCATAdminCalcHashFromFileHandle, CryptCATAdminAcquireContext, CryptCATAdminReleaseCatalogContext, WTHelperProvDataFromStateData, WinVerifyTrust, WTHelperGetProvSignerFromChain, CryptCATAdminReleaseContext<br>&gt; WS2_32.dll: -, -, getaddrinfo<br><br>( 0 exports ) <br>
PDFiD.: -
RDS...: NSRL Reference Data Set<br>-
CWSandbox info: <a href="http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=f09a527b422e25c478e38caa0e44417a" target="_blank">http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=f09a527b422e25c478e38caa0e44417a</a>
         

HiJackthis:


Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:30:46, on 01.05.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16827)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\Programme\Sandboxie\SbieSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\Programme\UMTS USB Modem Manager\UMTS USB Modem Manager.exe
C:\Programme\Sandboxie\SbieCtrl.exe
C:\Sandbox\***\DefaultBox\drive\C\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Sandboxie\SandboxieRpcSs.exe
C:\Programme\Sandboxie\SandboxieDcomLaunch.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
O4 - HKCU\..\Run: [Mobile Partner] "C:\Programme\UMTS USB Modem Manager\UMTS USB Modem Manager.exe"
O8 - Extra context menu item: Hinzufügen zu Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm
O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{54C93FD3-FEE9-46C4-A1DE-ADAAEA925764}: NameServer = 212.23.97.2 212.23.97.3
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: Sandboxie Service (SbieSvc) - tzuk - C:\Programme\Sandboxie\SbieSvc.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 4123 bytes
         

Uninstall-Liste:


Code:
ATTFilter
Acrobat.com
Ad-Aware
Adobe AIR
Adobe AIR
Adobe Flash Player 10 ActiveX
Adobe Flash Player 10 Plugin
Adobe Reader 9.1
Apple Mobile Device Support
ArchiCrypt Rescue-Master 2008 Version 1.0.6.1293
a-squared Free 3.5
Athlon 64 Processor Driver
ATI - Dienstprogramm zur Deinstallation der Software
ATI Display Driver
ATI Systemsteuerung
Autostart-Manager 2006
CCleaner (remove only)
Defraggler (remove only)
Die Sims Deluxe 
ERUNT 1.1j
FAST Defrag Freeware 2.29 [final]
Genesys USB Mass Storage Device
Google Earth
GTK+ Runtime 2.6.7 rev a (nur entfernen)
HijackThis 2.0.2
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)
InterActual Player
InterVideo WinDVD
Java(TM) 6 Update 13
Kaspersky Internet Security 2009
Kaspersky Internet Security 2009
LimeWire 4.18.8
Logitech QuickCam
Logitech QuickCam-Treiberpaket
Macromedia Flash Player 8
MAGIX Digital Foto Maker (2005) SE
Malwarebytes' Anti-Malware
Microsoft .NET Framework 2.0 Service Pack 2
Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU
Microsoft .NET Framework 3.0 Service Pack 2
Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU
Microsoft .NET Framework 3.5 Language Pack SP1 - deu
Microsoft .NET Framework 3.5 Language Pack SP1 - DEU
Microsoft .NET Framework 3.5 SP1
Microsoft .NET Framework 3.5 SP1
Microsoft Works
Motorola SM56 Data Fax Modem
Mozilla Firefox (3.0.10)
MSXML 4.0 SP2 (KB954430)
Nero BurnRights
Nero OEM
NeroVision Express 3 SE
NeroVision Express Content
Nokia Connectivity Cable Driver
Nokia PC Suite
Nokia PC Suite
Patrimonium Akt 1+2
PC Connectivity Solution
Power Manager 1.11.5
QuickTime
RadioJack 2008
Sandboxie 3.34
Security Update for CAPICOM (KB931906)
Security Update for CAPICOM (KB931906)
Sentinel Protection Installer 7.2.2
Sicherheitsupdate für Windows Internet Explorer 7 (KB938127-v2)
Sicherheitsupdate für Windows Internet Explorer 7 (KB953838)
Sicherheitsupdate für Windows Internet Explorer 7 (KB956390)
Sicherheitsupdate für Windows Internet Explorer 7 (KB958215)
Sicherheitsupdate für Windows Internet Explorer 7 (KB960714)
Sicherheitsupdate für Windows Internet Explorer 7 (KB961260)
Sicherheitsupdate für Windows Internet Explorer 7 (KB963027)
Spybot - Search & Destroy
TC Native Essentials 2.02
UMTS USB Modem Manager
Venue InterLok Driver Kit
Virtual DJ - Atomix Productions
Windows Installer Clean Up
Windows Live Anmelde-Assistent
Windows Live Call
Windows Live Messenger
Windows Live OneCare safety scanner
Windows Media Format 11 runtime
Windows Media Player 11
Windows-Treiberpaket - Nokia (WUDFRd) WPD  (06/01/2007 6.84.33.0)
Windows-Treiberpaket - Nokia Modem  (02/15/2007 3.1)
Windows-Treiberpaket - Nokia Modem  (02/15/2007 3.1)
Windows-Treiberpaket - Nokia Modem  (05/24/2007 6.84.0.1)
WinRAR Archivierer
Z-DBackup
         

Vielen Dank im voraus!

eelaa

Geändert von eelaa (01.05.2009 um 16:00 Uhr)

Alt 01.05.2009, 17:14   #2
raman
 
winlogon.exe infiziert mit Win32.LooksLike.Virut? - Standard

winlogon.exe infiziert mit Win32.LooksLike.Virut?



Wie bist du denn auf die Idee gekommen, die Datei pruefen zu lassen? Das sieht extremst nach Fehlalarm aus. Mich wundert, das Webwasher diese "lookslike" Technik fuer Viren anwendet.....
__________________

__________________

Alt 01.05.2009, 17:50   #3
.keNNy#
 
winlogon.exe infiziert mit Win32.LooksLike.Virut? - Standard

winlogon.exe infiziert mit Win32.LooksLike.Virut?



Hallo eelaa und

Dein HijackThis-log scheint sauber zu sein.
Ich denke auch das es sich um nen Fehlalarm handelt.
Aber ich muss mit dir bisschen meckern
Du hast Kaspersky. Warum hast du dann zusätzlich noch a-squared installiert?
Auch wenn a-squared keinen Hintergrundwächter hat rate ich dir es zu deinstallieren. Du hast ja schon Malwarebytes installiert.
Ich rate dir auch
Zitat:
Ad-Aware
Limewire
Spybot S&D
zu deinstallieren.
Ad-Aware sowie Spybot sind veraltet. Als ersatz empfehle ich dir SUPERAntispyware.
Limewire ist, genauso wie eMule und alle anderen Filesharingprogramme eine echte Virenschleuder. Da kann man sich schnell was böses einfangen.

.keNNy#
__________________

Alt 01.05.2009, 18:06   #4
eelaa
 
winlogon.exe infiziert mit Win32.LooksLike.Virut? - Standard

winlogon.exe infiziert mit Win32.LooksLike.Virut?



Danke für Eure Ratschläge,

ich lasse alle Dateien, die ich im HJT-Log finde hier und da mal online prüfen, nur aus Langeweile und wegen Kontrollzwang.
Superantispyware nutze ich auch hin und wieder, findet nie was, deinstalliere es aber dann wieder, spybot mag ich sehr sehr gern. Könnte mich nur schwer davon trennen....
a-squared nutze ich auch hin und wieder, findet nie was, aber ich denke mehrere Spyware-Scanner sind doch besser?! Sind denn Adaware und spybot potenzielle Gefahrenträger? Limewire nutze ich garnicht, ist mir zu gefährlich, werd ich auch rausschmeissen.
Sind denn in meinem HJT noch andere unnötige Sachen zu finden? Möchte gern alles unnötige weghaben.

Danke,eelaa

Alt 01.05.2009, 18:39   #5
.keNNy#
 
winlogon.exe infiziert mit Win32.LooksLike.Virut? - Standard

winlogon.exe infiziert mit Win32.LooksLike.Virut?



A-Squared sofort runterschmeißen!!!
Da kann es nur zu Komplikationen mit Kaspersky kommen.
Spyware und Ad-Aware sind zwar keine Gefahrenherde aber sind extrem veraltet. Oft können sie das gefundene nicht entfernen. Lass lieber SUPERAntiSpyware installiert.
Mehrere Antivirenprogramme sind nicht gut, solange sie einen Hintergrundwächter haben. Da gibt es nur KOMPLIKATIONEN.

.keNNy#


Alt 01.05.2009, 18:53   #6
eelaa
 
winlogon.exe infiziert mit Win32.LooksLike.Virut? - Standard

winlogon.exe infiziert mit Win32.LooksLike.Virut?



Ok.....

nur nutze ich die Programme NUR zum Scannen. Keins von denen hat nen Hintergrundwächter aktiviert, außer Kaspersky. Ich würde mir SUPERAntiSpyware noch dazu holen, danke für den Tip. Ich könnte nie auf all meine Scanner verzichten. Aber trotzdem danke für gut gemeinte Tips.


Alt 01.05.2009, 18:58   #7
eelaa
 
winlogon.exe infiziert mit Win32.LooksLike.Virut? - Standard

winlogon.exe infiziert mit Win32.LooksLike.Virut?



trotzdem danke nochmal

Geändert von eelaa (01.05.2009 um 19:04 Uhr)

Antwort

Themen zu winlogon.exe infiziert mit Win32.LooksLike.Virut?
ad-aware, adobe, bho, computer, cursor, encrypt, entfernen, error, essentials, explorer, fehlalarm, firefox, flash player, focus, gen 2, google, handel, hijack, hijackthis, internet, internet explorer, internet security, kaspersky, logon.exe, malware, mozilla, ntdll.dll, registry, schutz, solution, system, virus, win64, windows, windows internet, windows internet explorer, windows xp, wintrust.dll



Ähnliche Themen: winlogon.exe infiziert mit Win32.LooksLike.Virut?


  1. Eset meldet Win32/Virut.NBP Virus
    Plagegeister aller Art und deren Bekämpfung - 25.10.2013 (9)
  2. The Cleaner 2012 findet .....Winlogon\Taskman - Trojan.Agent - System infiziert?
    Plagegeister aller Art und deren Bekämpfung - 07.03.2011 (2)
  3. Win32.AutoRun.tmp - ...\Winlogon\Taskman
    Plagegeister aller Art und deren Bekämpfung - 18.12.2010 (3)
  4. Virus.Win32.virut!K - Gefunden - Bekämpft - Aber wirklich weg?
    Plagegeister aller Art und deren Bekämpfung - 01.04.2010 (3)
  5. Win32/Virut gefunden und in Quarantäne, seitdem ständig Trojanermeldungen
    Log-Analyse und Auswertung - 29.11.2009 (1)
  6. WIN32.Virut.gen Infektion
    Log-Analyse und Auswertung - 08.11.2009 (3)
  7. EXE'n (virut) und HTML auf Externen infiziert. Rettung?
    Plagegeister aller Art und deren Bekämpfung - 21.07.2009 (6)
  8. Virus.Win32.Virut.ce bzw Win32/Virut.gen!O
    Log-Analyse und Auswertung - 26.05.2009 (0)
  9. Virus.Win32.Virut.q!IK
    Log-Analyse und Auswertung - 30.03.2009 (17)
  10. Winlogon.exe infiziert
    Log-Analyse und Auswertung - 26.02.2009 (3)
  11. Trojan-Spy.Win32.Pophot.gzv / Trojan.Win32.Buzus.alwl / Virus.Win32.Virut.ce
    Plagegeister aller Art und deren Bekämpfung - 19.02.2009 (1)
  12. winlogon.exe infiziert?
    Plagegeister aller Art und deren Bekämpfung - 21.03.2008 (9)
  13. W32.virut.w - alle exe-Dateien infiziert- brauchen Hilfe!
    Plagegeister aller Art und deren Bekämpfung - 23.10.2007 (6)
  14. winlogon.exe mit Trojaner infiziert
    Plagegeister aller Art und deren Bekämpfung - 30.03.2007 (3)
  15. winlogon.exe mit Trojaner Keylogger.iOpus.A.36 infiziert
    Plagegeister aller Art und deren Bekämpfung - 24.02.2007 (1)
  16. Win32/Virut.4960
    Plagegeister aller Art und deren Bekämpfung - 03.01.2007 (8)

Zum Thema winlogon.exe infiziert mit Win32.LooksLike.Virut? - Hallo liebe Leute! mit meiner winlogon.exe stimmt scheinbar irgendwas nicht. Vielleicht handelt es sich ja auch um einen Fehlalarm? Sie befindet sich im Ordner C:\WINDOWS\system32. Google und die Boardsuche brachten - winlogon.exe infiziert mit Win32.LooksLike.Virut?...
Archiv
Du betrachtest: winlogon.exe infiziert mit Win32.LooksLike.Virut? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.