Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: logon.exe

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 22.10.2004, 20:59   #1
nici
 
logon.exe - Standard

logon.exe



Hallo @all,

ich weiß hier irgendwie nicht mehr weiter und hoffe, daß vielleicht Ihr mir helfen könnt.

Also, folgendes ist passiert: Vorhin beim E-Mail-Abrufen (ich war zu der Zeit weder mit dem Browser im Internet unterwegs, noch habe ich auf einen Link in den Mails geklickt) öffnete sich plötzlich der IE (welche Seite weiß ich nicht mehr...) und gleich darauf sprangen mehrere Fenster vom KAV-Hintergrundwächter auf: er hatte u.a. den "Exploit.CodeBaseExec" in

"C:\Dokumente und Einstellungen\Nici\Lokale Einstellungen\Temporary Internet
Files\Content.IE5\IE5\CDMN4PMF\send_exe1(1).htm"

gefunden und auch andere, alle unter "C:\Dokumente und Einstellungen \Nici\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IE5\..." Zonealarm lief zu der Zeit nicht. Irgendwie ging das alles so schnell, habe dann vor Schreck erstmal alles weggeklickt.

Nach einem Neustart fragte ZA, ob eine "logon.exe" auf das Internet zugreifen darf. Lt. ZA liegt diese "logon.exe" in "C:\Windows\logon.exe". Diese Datei wurde auch mit heutigem Datum erstellt. Ich habe dann KAV über diese Datei laufen lassen, es wurde aber nicht gefunden (KAV mit heutigem Update). Spybot findet auch nichts.

Habe dann nach dieser "logon.exe" gegooglet, aber nichts genaues gefunden, außer daß es sich evtl. um den "Troj/Golon-A" handeln könnte. Aber dieser ist ja schon älter und dann müßte ihn KAV doch erkennen, oder? Im Taskmanager läuft diese "logon.exe", aber auch eine "winlogon.exe". Kann diese "winlogon.exe" mit der "logon.exe" zu tun haben, oder gehört diese zu xp? *verwirrtbin*.

Hoffe, daß klingt jetzt alles nicht zu konfus, aber ich weiß nun gar nicht, was ich machen soll. Habe ich mir da jetzt was eingefangen oder nicht? *grübel* Diese "logon.exe" kommt mir jedenfalls merkwürdig vor.

Viele liebe Grüße
Nici

P.S.: BS ist XP Home

Alt 22.10.2004, 21:11   #2
Haui45
 
logon.exe - Standard

logon.exe



Hallo nici,
poste bitte ein Log mit HijackThis.
__________________


Alt 22.10.2004, 21:34   #3
nici
 
logon.exe - Standard

logon.exe



Hallo und danke Haui, hier isses:

Logfile of HijackThis v1.98.2
Scan saved at 22:28:07, on 22.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Home Edition\avpm.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
D:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\WINDOWS\SOUNDMAN.EXE
D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\logon.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Home Edition\AvpM.exe
D:\PROGRA~1\INCRED~1\bin\IMApp.exe
D:\Programme\T-DSL SpeedManager\tsmsvc.exe
D:\Programme\IncrediMail\bin\IncMail.exe
D:\Programme\SlimBrowser\sbrowser.exe
C:\Dokumente und Einstellungen\Nici\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.de/
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "D:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [Zone Labs Client] "D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WinLogon] C:\WINDOWS\logon.exe
O4 - HKCU\..\Run: [IncrediMail] D:\PROGRA~1\INCRED~1\bin\IncMail.exe /c
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Kaspersky Anti-Virus Monitor.lnk = C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Home Edition\AvpM.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - D:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O9 - Extra button: concept/design's onlineTV - {3EC38D54-07BF-493A-B341-A989CD0C34B2} - C:\Programme\onlineTV\onlineTV.exe
O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://207.234.185.217/ABoxInst.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1095717914485
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/z...ylomloader.cab
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents...r/imloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{DC5FF285-6D20-45D9-A436-B381E3A191B3}: NameServer = 213.191.92.87 213.191.74.18

Lieben Gruß
nici
__________________

Alt 22.10.2004, 21:42   #4
*Christian*
Gast
 
logon.exe - Standard

logon.exe



Sende die Datei C:\WINDOWS\logon.exe an partytime-germany.ice@web.de

Leere deine Temp. Internet Files und deinen Temp-Ordner.

Anschließend lösche die Datei C:\WINDOWS\logon.exe im abgesicherten Modus.

Fixe mit HijackThis dies:

O4 - HKLM\..\Run: [WinLogon] C:\WINDOWS\logon.exe
O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://207.234.185.217/ABoxInst.exe
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/content...er/imloader.cab

Alt 22.10.2004, 21:56   #5
nici
 
logon.exe - Standard

logon.exe



@Christian

hab lieben Dank! Sende Dir die Datei gleich zu. Soll ich sie gezippt oder einfach so schicken?

Lieben Gruß
Nici


Alt 22.10.2004, 22:13   #6
*Christian*
Gast
 
logon.exe - Standard

logon.exe



Gezippt und mit Passwort geschützt bitte.

Danke!

Alt 22.10.2004, 22:32   #7
nici
 
logon.exe - Standard

logon.exe



@Christian

Okay, geht gleich raus! Und danach mach ich mich ans Löschen und fixen.

Herzlichen Dank nochmal für die schnelle und nette Hilfe!

Lieben Gruß
Nici

Alt 23.10.2004, 18:03   #8
nici
 
logon.exe - Standard

logon.exe



Soo, Mail ist gestern noch raus. Die Temp. Internet Files und Temp Ordner sind geleert, die "logon.exe" gelöscht und die drei Einträge in Hijack This gefixt.

Hier ein neues Log:

Logfile of HijackThis v1.98.2
Scan saved at 19:01:40, on 23.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
D:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\WINDOWS\SOUNDMAN.EXE
D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
D:\PROGRA~1\INCRED~1\bin\IMApp.exe
D:\Programme\T-DSL SpeedManager\tsmsvc.exe
D:\Programme\IncrediMail\bin\IncMail.exe
D:\Programme\SlimBrowser\sbrowser.exe
C:\Dokumente und Einstellungen\Nici\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.de/
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "D:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [Zone Labs Client] "D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [IncrediMail] D:\PROGRA~1\INCRED~1\bin\IncMail.exe /c
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Kaspersky Anti-Virus Monitor.lnk = C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Home Edition\AvpM.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - D:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O9 - Extra button: concept/design's onlineTV - {3EC38D54-07BF-493A-B341-A989CD0C34B2} - C:\Programme\onlineTV\onlineTV.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1095717914485
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/z...ylomloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{DC5FF285-6D20-45D9-A436-B381E3A191B3}: NameServer = 213.191.92.87 213.191.74.18


Eben habe ich dann nochmal KAV komplett durchlaufen lassen und folgendes hat er gefunden und gelöscht:

C:\WINDOWS\wsem302.dll Infiziert TrojanDownloader.Win32.Dyfuca.dc

C:\WINDOWS\Downloaded Program Files\ABoxInst.exe Infiziert TrojanDownloader.Win32.VB.ff

Können die was mit der "logon.exe" zu tun haben? Aber wahrscheinlich wohl eher weniger, denn sonst hätte KAV ja auch bei der "logon.exe" gemeckert...

Liebe Grüße
nici

Alt 23.10.2004, 19:01   #9
chaosman
 
logon.exe - Standard

logon.exe



@nici
dein log schaut sauber aus.
hoffentlich hast du die 2 dateien gesichert, als beweismittel
http://www.sophos.de/virusinfo/analy...aldyfucaa.html
wahrscheinlich gehört der zweite zu diese familie
http://www.pestpatrol.com/pestinfo/t...r_win32_vb.asp
chaosman
__________________
Bonus vir semper tiro

Alt 23.10.2004, 20:32   #10
nici
 
logon.exe - Standard

logon.exe



@chaosman

danke dir

...nein, gesichert habe ich die beiden Dateien nicht...

Lieben Gruß
nici

Antwort

Themen zu logon.exe
.exe, browser, c:\windows, content.ie5, datei, eingefangen, einstellungen, erkennen, folge, handel, home, internet, link, logon.exe, lokale, mails, mehrere, mehrere fenster, merkwürdig, neustart, nicht gefunden, nicht mehr, plötzlich, schnell, seite, spybot, taskmanager, update, windows, winlogon.exe, xp home, zonealarm



Ähnliche Themen: logon.exe


  1. Classic Logon Screen Mode - wie ändern?
    Alles rund um Windows - 30.09.2015 (2)
  2. Trojan Agent in logon.exe
    Log-Analyse und Auswertung - 29.11.2014 (9)
  3. Win 7: Smart Logon / manuelles Passwort deaktivieren
    Alles rund um Windows - 16.07.2014 (1)
  4. Versionsinfo in Logon.exe ändern
    Alles rund um Windows - 01.12.2011 (2)
  5. Real Upgrade Logon TaskS-1-5-21....
    Log-Analyse und Auswertung - 21.11.2011 (30)
  6. logon.exe , Adobe - Fehlermeldung
    Plagegeister aller Art und deren Bekämpfung - 14.02.2010 (2)
  7. Logon.exe beschädigt?
    Log-Analyse und Auswertung - 04.11.2009 (1)
  8. Logon.exe und anderes
    Plagegeister aller Art und deren Bekämpfung - 02.09.2009 (8)
  9. hilfe bei logon exe
    Plagegeister aller Art und deren Bekämpfung - 01.09.2009 (10)
  10. Logon.exe
    Log-Analyse und Auswertung - 08.07.2009 (3)
  11. logon.exe
    Log-Analyse und Auswertung - 13.06.2009 (2)
  12. winlogon.exe ---> Windows Logon Procedure
    Plagegeister aller Art und deren Bekämpfung - 09.08.2005 (1)
  13. Windows Logon - Hinweis auf neue Mails
    Alles rund um Windows - 30.07.2005 (5)
  14. logon.exe
    Log-Analyse und Auswertung - 22.12.2004 (1)
  15. RBOT LOGON.EXE in allen Formen
    Plagegeister aller Art und deren Bekämpfung - 23.11.2004 (32)
  16. Nochmals Probleme mit logon.exe
    Log-Analyse und Auswertung - 11.11.2004 (1)
  17. Problem mit logon.exe
    Log-Analyse und Auswertung - 10.11.2004 (7)

Zum Thema logon.exe - Hallo @all, ich weiß hier irgendwie nicht mehr weiter und hoffe, daß vielleicht Ihr mir helfen könnt. Also, folgendes ist passiert: Vorhin beim E-Mail-Abrufen (ich war zu der Zeit weder - logon.exe...
Archiv
Du betrachtest: logon.exe auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.