Trojaner-Board - TR/Patchd.winlogon.b

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - TR/Patchd.winlogon.b (https://www.trojaner-board.de/50368-tr-patchd-winlogon-b.html)

TR/Patchd.winlogon.b

Hallo Zusammen!

Hab heute morgen meinen Pc eingeschalte und da hat Anitvir diesen trojaner gefunden.
Alle Aktionen (löschen,Zugriff verweigern, Quarantäne...) bringen nichts da die Meldung ca. alle 30sec - 1min wieder kommt.
Ich hab in letzter Zeit auch nichts verdächtiges runter geladen...also kA wo das herkommt.

Zitat:

Logfile of HijackThis v1.99.1
Scan saved at 15:26:41, on 10.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\OpenOffice.org 2.3\program\soffice.exe
C:\Programme\OpenOffice.org 2.3\program\soffice.BIN
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avscan.exe
C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe
C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\****\Desktop\HJT\HijackThis.exe

O2 - BHO: Mediaplayer - {1536BA74-8625-4240-99B0-BE65883689C8} - C:\Programme\Mediapiraten\Mediapiraten\IEButtonMPInterface.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SBCSTray] C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Programme\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - Startup: OpenOffice.org 2.3.lnk = C:\Programme\OpenOffice.org 2.3\program\quickstart.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: Sunbelt CounterSpy Antispyware (SBCSSvc) - Sunbelt Software - C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe

Beim Systemscan hat Antivir wieder eine andere Meldung ausgespuckt:
http://img521.imageshack.us/img521/2571/mldwm5.th.jpg

Werde jetzt erst mal abwarten was ihr dazu zu sagen habt....

[EDIt] hab jetzt noch etwas gegoogelt und demnach wäre es eine ziehmlich schlechte Idee Winlogon.exe zu löschen? ODER???

danke im Vorraus
meatbox

Hi,

schlechte Idee. Wenn Du Glück hast ersetzt sie Windows aus einer Sicherheitskopie. wenn nicht ist Windows mit dem nächsten Neustart klinisch tot.

Idee: Geh mal mit dem Internet Explorer auf die Seite für die Wndows Updates und lass deinen Rechner dort prüfen. Ich erwarte mal so, dass dabei vielleicht erkannt wird, dass die Datei nciht in Ordnung ist und eine korrekte eingespeilt wird.

Ansonsten kannst Du eigentlich nur noch deine Festplatte nach Kopien der winlogon.exe durchsuchen. Die bei Virustotal scanenn lassen, anhand der MD5-Werte sollte man prüfen können, ob sie ok sind. Sigcheck sollte das auch lokal können durch Prüfung der Datei-Signatur.

Gruß, Karl

Neben dem bereits vorgeschlagenem SigCheck, werfe ich mal "testweise" SdFix ins Rennen.

SDFIX ausführen

Download SDFix und speichere es auf dem Desktop.
Mache einen Doppelklick auf die SDFix.exe und wähle "Install" um es in den Ordner X:\SDFix zu entpacken
(X = Dein Windowslaufwerk)

Bitte starte Deinen Pc im abgesicherten Modus neu

Starte den PC neu

Nachdem dein Rechner einmal bei starten gepiept hat, bevor das Windows Logo erscheint, drücke die F8 Taste mehrfach

Anstatt Windows normal zu starten wird ein Menü erscheinen

Wähle die Option "Starte Windows im abgesicherten Modus", dann drücke "Enter"

Wähle Deinen Anmeldenamen

Im abgesicherten Modus, gehst Du zum SDFix Ordner X:\SDFix (X = Dein Windowslaufwerk)

Öffne den Ordner und doppelklicke die Datei RunThis.bat um das Script zu starten

Drücke "Y" um das Script zu starten.

Es entfernt bösartige Dienste und repariert die Registry. Wenn es durchgelaufen ist, bittet es eine Taste zu drücken um zu rebooten.

Drücke eine Taste um zu reboooten.

Dein System wird länger brauchen um jetzt wieder im normalen Modus zu starten, denn das fixtool startet mit und löscht noch einige Dateien.

Wenn der Desktop geladen ist, ist das Fixtool mit der Bereinigung fertig und sagt das auch, jetzt drücke eine Taste um das Script zu beenden und Deinen Desktop zu laden.

Jetzt öffne den SDFix Ordner auf Deinem Desktop und copy & paste den Inhalt der Report.txt in Deinen Thread.

um hier die übersicht zu behalten wurden gem. der nubs die crosspostings entfernt.
http://www.trojaner-board.de/extra/impressum.html#NUB

GUA

Moin! Danke für die Antworten... :-)

Hab das Problem jetzt anders "gelöst" -->mir is irgendwann die Gedult ausgegangen und hab dann mittel Antivir die Winlogon.exe gelöscht! Natürlich war das der Kopfschuss fürs Windows :snyper:

-->Mein neues OS: Ubuntu 7.10 :daumenhoc

Trotzdem danke nochmal an euch fürs Kopf machen...

lg m