Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
Nach GabPath-"Infektion": Avira sagt, winlogon.exe sei Trojaner!

Nach GabPath-"Infektion": Avira sagt, winlogon.exe sei Trojaner!


Plagegeister aller Art und deren Bekämpfung: Nach GabPath-"Infektion": Avira sagt, winlogon.exe sei Trojaner!

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

 
Vorheriger Beitrag Vorheriger Beitrag   Nächster Beitrag Nächster Beitrag
Alt 16.08.2010, 21:26   #1
RFTC
 
Nach GabPath-"Infektion": Avira sagt, winlogon.exe sei Trojaner! - Standard

Nach GabPath-"Infektion": Avira sagt, winlogon.exe sei Trojaner!


Hallo zusammen,

hab heute auf meinem XP Pro Rechner nach Download einer Datei (von einem One-Klick-Hoster, ich schäme mich!) zack 6 Viren eingefangen. Zumindest meldete mir das Avira Antivir. Ich dachte, es wäre nur einer gewesen (Gabpath.exe), welcher auch einen Ordner in den Anwendungsdaten hinterlassen hat. Hab das gelöscht. Zusätzlich alle Registry-Einträge zu GabPath.exe gelöscht (hab den Trojaner gegoogelt und alle Stellen in der Registry nach Anleitung entfernt). Nun hatte ich aber ignoriert, dass Avira winlogon.exe (aus den korrekten Orten .../system32 und .../system32/dllcache) in die Quarantäne verschoben hat. Ihr könnt euch denken, was passiert ist: Mein PC wollte nicht mehr starten. Mir fiel das Herz in die Hose. Habe mich auf dem 2. Laptop durch 1000 Themen durchgelesen und zum Glück gelang mir nach ca. 2h über DOS-Konsolenbefehle (schwitz, ächz), die winlogon.exe mit der WinXP-CD wieder an den beiden Orten herzustellen. So, wie weiter? Jetzt meldet Avira aber immer noch, dass die winlogon.exe verseucht sei. Musste das File dauerhaft "ignorieren", damit mein PC überhaupt startet und nicht wieder das gleiche Drama passiert. Ich habe nochmals gescannt, und ausser diesem winlogon.exe findet Avira und auch Malwarebites' Antimalware "nichts" mehr. Ich fühle mich logischerweise aber nicht wirklich wohl damit.

Zusätzlich habe ich einen "normalen" Programmordner gefunden namens "ResultDns", welche vorher (vor dem Befall) noch nicht da war. Der hatte auch zwei Prozesse am Laufen (sind auf dem Log-File ersichtlich). Zudem hat mir Firefox ein Add-On installiert, welches ich ihm nicht "befohlen" habe. Ich Depp hab's leider verpasst, den Namen aufzuschreiben, hatte aber glaube ich auch was mit ...DNS zu tun, könnte also vom selben gewesen sein. Hab's aber eben gleich wieder entfernt, bevor ich Verdacht geschöpft habe, tja...

Was ist zu tun? Kann mir igendeine/-r helfen? Hier habe ich schon mal das Log-File von Avira (vom eigentlichen Befall) angehängt. Im Anschluss folgt dann das Hijack-This Logfile. Ich freue mich über jede Art von Hilfe!!

[EDIT 1:] Hab' ich vergessen zu erwähnen: CCleaner wurde ebenfalls ausgeführt und Registry gecleant!
[EDIT 2:] Das Program "ResultDns" habe ich jetzt nachträglich deinstalliert. Hat geklappt, aber eben, keine Ahnung was es war...

Avira-Protokoll:
Typ: Datei
Quelle: C:\WINDOWS\system32\dllcache\winlogon.exe
Status: Infiziert
Quarantäne-Objekt: 4f8f309d.qua
Wiederhergestellt: NEIN
Zu Avira hochgeladen: NEIN
Betriebssystem: Windows 2000/XP/VISTA Workstation
Suchengine: 8.02.04.34
Virendefinitionsdatei: 7.10.10.176
Meldung: Ist das Trojanische Pferd TR/Spy.513024.11
Datum/Uhrzeit: 16.08.2010, 21:29

Typ: Datei
Quelle: C:\WINDOWS\system32\winlogon.exe
Status: Infiziert
Quarantäne-Objekt: 5718e9e5.qua
Wiederhergestellt: NEIN
Zu Avira hochgeladen: NEIN
Betriebssystem: Windows 2000/XP/VISTA Workstation
Suchengine: 8.02.04.34
Virendefinitionsdatei: 7.10.10.176
Meldung: Ist das Trojanische Pferd TR/Spy.513024.11
Datum/Uhrzeit: 16.08.2010, 18:26

Typ: Datei
Quelle: C:\Dokumente und Einstellungen\USER\Anwendungsdaten\GabPath\gabpath.exe
Status: Infiziert
Quarantäne-Objekt: 4f93c3d6.qua
Wiederhergestellt: NEIN
Zu Avira hochgeladen: NEIN
Betriebssystem: Windows 2000/XP/VISTA Workstation
Suchengine: 8.02.04.34
Virendefinitionsdatei: 7.10.10.176
Meldung: Ist das Trojanische Pferd TR/Dldr.Agent.egiu.2
Datum/Uhrzeit: 16.08.2010, 18:27

Typ: Datei
Quelle: C:\Dokumente und Einstellungen\USER\Lokale Einstellungen\Temp\102.exe
Status: Infiziert
Quarantäne-Objekt: 633cfd06.qua
Wiederhergestellt: NEIN
Zu Avira hochgeladen: NEIN
Betriebssystem: Windows 2000/XP/VISTA Workstation
Suchengine: 8.02.04.34
Virendefinitionsdatei: 7.10.10.176
Meldung: Ist das Trojanische Pferd TR/Pasta.mfw
Datum/Uhrzeit: 16.08.2010, 18:26

Typ: Datei
Quelle: C:\Dokumente und Einstellungen\USER\Lokale Einstellungen\Temp\ecwaxrnosm.tmp
Status: Infiziert
Quarantäne-Objekt: 4fb8c678.qua
Wiederhergestellt: NEIN
Zu Avira hochgeladen: NEIN
Betriebssystem: Windows 2000/XP/VISTA Workstation
Suchengine: 8.02.04.34
Virendefinitionsdatei: 7.10.10.176
Meldung: Ist das Trojanische Pferd TR/Agent.AO.2953
Datum/Uhrzeit: 16.08.2010, 18:26

Typ: Datei
Quelle: C:\Dokumente und Einstellungen\USER\Lokale Einstellungen\Temp\amwornecxs.tmp
Status: Infiziert
Quarantäne-Objekt: 4fe3c66a.qua
Wiederhergestellt: NEIN
Zu Avira hochgeladen: NEIN
Betriebssystem: Windows 2000/XP/VISTA Workstation
Suchengine: 8.02.04.34
Virendefinitionsdatei: 7.10.10.176
Meldung: Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
Datum/Uhrzeit: 16.08.2010, 18:26

Hijack-This Logfile:
[SIZE="1"]HiJackthis Logfile:
Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 21:42:50, on 16.08.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\system32\dgdersvc.exe
C:\WINDOWS\system32\FsUsbExService.Exe
C:\Programme\GIGABYTE\EnergySaver\GSvr.exe
C:\Programme\Avira\AntiVir Desktop\avshadow.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Canon\IJPLM\IJPLMSVC.EXE
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\mdm.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ResultDns\resultdns110.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\Programme\Intel\Intel Matrix Storage Manager\IAANTMon.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\ResultDns\resultdns.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
c:\programme\avira\antivir desktop\avcenter.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Mozilla Firefox\plugin-container.exe
C:\Programme\Avira\AntiVir Desktop\avscan.exe
C:\WINDOWS\system32\SearchProtocolHost.exe
C:\Dokumente und Einstellungen\USER\Desktop\HiJackThis204.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.bing.ch/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
F2 - REG:system.ini: Shell=Explorer.exe 
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Programme\Free Download Manager\iefdm2.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O8 - Extra context menu item: Download all with Free Download Manager - file://C:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Download selected with Free Download Manager - file://C:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Download video with Free Download Manager - file://C:\Programme\Free Download Manager\dlfvideo.htm
O8 - Extra context menu item: Download with Free Download Manager - file://C:\Programme\Free Download Manager\dllink.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{3C9121F3-3E60-4581-835B-E3E91B6B99A5}: NameServer = 195.186.1.162,195.186.4.162
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Device Error Recovery Service (dgdersvc) - Devguru Co., Ltd. - C:\WINDOWS\system32\dgdersvc.exe
O23 - Service: DHCP-Client Dhcpaspnet_state (Dhcpaspnet_state) - Unknown owner - C:\WINDOWS\system32\ac3filteru.exe (file missing)
O23 - Service: FsUsbExService - Teruten - C:\WINDOWS\system32\FsUsbExService.Exe
O23 - Service: GEST Service for program management. (GEST Service) - Unknown owner - C:\Programme\GIGABYTE\EnergySaver\GSvr.exe
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Programme\Intel\Intel Matrix Storage Manager\IAANTMon.exe
O23 - Service: Inkjet Printer/Scanner Extended Survey Program (IJPLMSVC) - Unknown owner - C:\Programme\Canon\IJPLM\IJPLMSVC.EXE
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: ResultDns Service - Unknown owner - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ResultDns\resultdns110.exe
O23 - Service: Sicherheitskontenverwaltung SamSsRpcLocator (SamSsRpcLocator) - Unknown owner - C:\WINDOWS\system32\acctresg.exe (file missing)
O23 - Service: ServiceLayer - Nokia - C:\Programme\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 7017 bytes
--- --- ---
Geändert von RFTC (16.08.2010 um 21:45 Uhr)

 

Themen zu Nach GabPath-"Infektion": Avira sagt, winlogon.exe sei Trojaner!
adobe, antivir guard, avira, bho, canon, desktop, dhcp-client, einstellungen, error, excel, explorer, firefox, free download, gabpath.exe, google, hijackthis, internet, internet explorer, log-file, monitor, mozilla, nach download, plug-in, resultdns.exe, software, starten., temp, tr/spy., trojaner, viren, windows, windows xp, winlogon.exe


« Pc startet nach Anmeldung neu, in aec.sys Fehler aufgetreten | Spyware.Zbot/Trojan Downloader/Trojan.Hiloti Viren Problem! »


Ähnliche Themen: Nach GabPath-"Infektion": Avira sagt, winlogon.exe sei Trojaner!


  1. Nach Photo Transfer mit "MPE" nach"D", auf "C" ca. 5GB verloren? Rest: 5,6GB auf "C"!
    Alles rund um Windows - 17.04.2016 (21)
  2. Trojaner "c:\windows\system32\svchost.exe "Avast - Infektion geblockt"
    Log-Analyse und Auswertung - 07.06.2015 (16)
  3. Windows 8.1 "Telekom-Trojaner" Avira meldet "Emotet.A.43"
    Log-Analyse und Auswertung - 24.11.2014 (9)
  4. Avira: (Win7) Trojaner "TR/Rogue.11186992" in "C:\Windows\Temp\44158_updater.exe" gefunden
    Plagegeister aller Art und deren Bekämpfung - 25.04.2014 (77)
  5. Probleme mit Festplatte nach "Sweet Page" Infektion, Kontrolle des MBR ?
    Log-Analyse und Auswertung - 13.01.2014 (5)
  6. "monstermarketplace.com" Infektion und ihre Folgen; "Anti-Virus-Blocker"," unsichtbare Toolbars" + "Browser-Hijacker" von selbst installiert
    Log-Analyse und Auswertung - 16.11.2013 (21)
  7. Infektion "Internet Security Pro"/ "wmdefender.exe" unter Vista; Keine Erkennung mit MBAM
    Log-Analyse und Auswertung - 22.08.2013 (19)
  8. "csrss.exe" und "winlogon.exe" möglicherweise Infiziert
    Plagegeister aller Art und deren Bekämpfung - 11.06.2013 (3)
  9. Avira meldet Trojaner "TR/Sirefef.AG.9" und "TR/ATRAPS.Gen2"
    Plagegeister aller Art und deren Bekämpfung - 26.04.2013 (9)
  10. Avira meldet "TR/Downloader.Gen8" und "TR/Matsnu.EB.130" nach öffnen von Malware
    Plagegeister aller Art und deren Bekämpfung - 20.03.2013 (32)
  11. Desktop nach GVU-Infektion "unsortiert"
    Plagegeister aller Art und deren Bekämpfung - 17.09.2012 (5)
  12. AVIRA meldet "W32/Patched.ZA", "TR/ATRAPS.Gen2", "TR/ATRAPS.Gen", "ZR/sirefe.P.487"
    Log-Analyse und Auswertung - 30.07.2012 (9)
  13. Nach "smart protection 2012" infektion: System Clean?
    Plagegeister aller Art und deren Bekämpfung - 26.02.2012 (11)
  14. "WORM/Conficker.AK" & "WORM/Kido.IH.40" nach USB-Stick-Anschluss durch AVIRA gefunden
    Plagegeister aller Art und deren Bekämpfung - 25.01.2011 (28)
  15. Reste (mailbot o.ä.) nach "rootkit.bagle" infektion
    Plagegeister aller Art und deren Bekämpfung - 12.05.2009 (5)
  16. Versteckte Datei "kdzqj.exe" in System32 und Reg-Eintrag "System" unter Winlogon
    Plagegeister aller Art und deren Bekämpfung - 25.03.2008 (22)
  17. Nach Backdoor-Infektion: Bin ich jetzt "sicher"?
    Log-Analyse und Auswertung - 14.01.2005 (10)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Nach GabPath-"Infektion": Avira sagt, winlogon.exe sei Trojaner! - Hallo zusammen, hab heute auf meinem XP Pro Rechner nach Download einer Datei (von einem One-Klick-Hoster, ich schäme mich!) zack 6 Viren eingefangen. Zumindest meldete mir das Avira Antivir. Ich - Nach GabPath-"Infektion": Avira sagt, winlogon.exe sei Trojaner!...
Archiv
Du betrachtest: Nach GabPath-"Infektion": Avira sagt, winlogon.exe sei Trojaner! auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24