Trojaner-Board - winlogon.exe ersetzen?Virus hat sich eingeschlichn und will nich gelöscht werden

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - winlogon.exe ersetzen?Virus hat sich eingeschlichn und will nich gelöscht werden (https://www.trojaner-board.de/26343-winlogon-exe-ersetzen-virus-hat-eingeschlichn-will-nich-geloescht.html)

winlogon.exe ersetzen?Virus hat sich eingeschlichn und will nich gelöscht werden

hallo erstmal!

folgendes Problem...hatte auf meinem Rechner allerlei "Unkraut" wie z.b. Look2Me und son Spaß!Hab auch alles wegbekommen...soweit so gut...jedoch wurde durch was auch immer meine Winlogon Datei ersetzt...d.h. Speichertechnisch braucht sie jetzt nich um die 500k sondern fast 6.000k...was natürlich die Rechenleistung herrabsetzt!Hab die Datei auch schon x-mal gecheckt, aber da es ja eine generelle Windows Datei ist wird sie nicht als fehlerhaft erkannt.Folgen sind dann dadurch, dass mein PC einfach mal auf die schnelle neu startet, mein winamp einfach aus geht oder die Leistung wie gesagt zu wünschen übrig lässt!Hatte überlegt die Winlogon.exe einfach durch die orginale Datei zu ersetzen...würde das denn ohne schaden gehn?

Antworten wären toll :)

MfG Tequila

Hallo,
prinzipiell könnte das gehen, aber ich glaube nicht das der Fehler an der eigentlichen winlogon.exe liegt, sondern ev. an anderen Dateien die diese startet. Poste mal ein HijackThis Log vielleicht hat das ganze doch mit Malware zu tun.

Grüße Wildone

hm naja von malware ist mein pc eigentlich befreit...hab jetzt hijackthis nich hier da ich nicht an meinem eigenen pc sitze aber hab zich mal gecheckt ob nich doch noch irgendwas verstecktes drin ist!irritiert hat mir nur die hoche Speicherauslastung von winlogon.exe!Aber dann das einfache neu starten des computers...gelegentlich erscheint nach sonem neustart dann ein fehlerfenster das anzeigt dass winlogon ein fehler verursacht hat und beendet wird...danach läuft eigentlich alles wieder gut!Schrecklich diese Viren und Trojaner usw. *frustriert ist*
Übrigens thx für die schnelle Antwort :)

Hallo,
gerade weil sich dein oben erwähntes look2me z.B. in der Winlogon festsetzt hatte ich den Verdacht das es vielleicht doch noch nicht richtig beseitigt wurde, vielleicht ist aber auch bei der Beseitigung etwas beschädigt worden. Mit welchem Tool bist du look2me zu Leibe gerückt?

Grüße Wildone

erst hab ichs mit ewido versucht...das hat zwar angezeigt look2me erkannt und meinte auch es wurde entfernt aber pustekuchen...dann hatte ich panda...das hat aber dann nur verhindert dass look2me andere spyware runterläd...irgendwann hab ich dann im internet so einen look2me entferner gefunden...der hat es dann entfernt.jedenfalls wurde dann von keinem programm mehr look2me gefunden und ungewollten download von spyware gabs auch nicht mehr.Aber kann natürlich sein dass das sich immernoch festsetzt!Ich glaub ich muss dann wohl oder übel neu aufsetzen...denn einen virenscanner der alles giftige löscht hab ich bis jetzt noch nicht gefunden

Hier ist mal mein Hijackthis Log:

Logfile of HijackThis v1.99.1
Scan saved at 20:54:46, on 30.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\TPSrv.exe
C:\Programme\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\pavsrv51.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\AVENGINE.EXE
C:\WINDOWS\System32\svchost.exe
c:\programme\panda software\panda titanium 2006 antivirus + antispyware\firewall\PNMSRV.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\PROGRA~1\eScan\TRAYSSER.EXE
C:\Programme\ewido\security suite\ewidoctrl.exe
C:\PROGRA~1\eScan\avpm.exe
C:\PROGRA~1\eScan\TRAYICOS.EXE
C:\Programme\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\PavFnSvr.exe
C:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv.exe
C:\Programme\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\PsImSvc.exe
C:\Programme\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\apvxdwin.exe
C:\Programme\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\WebProxy.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\Mixer.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Winamp\winampa.exe
C:\PROGRA~1\MSNMES~1\msnmsgr.exe
C:\Programme\Opera\Opera.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\WinRAR\WinRAR.exe
D:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [APVXDWIN] "C:\Programme\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\PROGRA~1\MSNMES~1\msnmsgr.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'mwtsp.dll' missing
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: eScan Server-Updater (eScan-trayicos) - MWTI2 - C:\PROGRA~1\eScan\TRAYSSER.EXE
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: eScan Monitor Service (KAVMonitorService) - Kaspersky Labs. - C:\PROGRA~1\eScan\avpm.exe
O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software - C:\Programme\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\PavFnSvr.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Programme\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\pavsrv51.exe
O23 - Service: Panda Network Manager (PNMSRV) - Panda Software - c:\programme\panda software\panda titanium 2006 antivirus + antispyware\firewall\PNMSRV.EXE
O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software Internacional - C:\Programme\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\PsImSvc.exe
O23 - Service: Panda TPSrv (TPSrv) - Panda Software - C:\Programme\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\TPSrv.exe

Hallo,
deinstalliere mal Escan, das ist übrigens nicht die Freeversion. Es könnte durchaus sein das die verschiedenen Virenscanner Probleme machen. Deinstalliere auch Ewido (zumindest den Guard, weiß aber nicht ob das einzeln möglich ist). Oh je, ich sehe gerade da ist ja auch noch AntiVir, entscheide dich bitte für ein Antivirenprogramm und deinstalliere alle anderen. Vielleicht wäre damit dein Problem schon behoben.

Grüße Wildone

:) stimmt daran kann es auch liegen...aber wenn man erstmal verzweifelt ist dann versucht man natürlich alles ums wieder hinzubiegen!Super vielen dank :) werd dann mal schaun obs dann besser geht!aber kann das mit den virenprogrammen die winlogon datei beeinflussen?

MfG Tequila

Hallo,
durchaus möglich, z.B. Escan (Kaufversion) legt eine Datei im Winlogen bereich ab, Panda tut dieses auch. Einen Versuch ist es auf jeden Fall wert.

Grüße Wildone

hm hab jetzt erstmal das meiste deinstalliert....mal schaun ob es was bringt!Ich hoffe doch!I.M. zieht winlogon noch ne Menge aber mal schaun nach nem Neustart!
Woher weißt du eigentlich so viel darüber?Ich mein weiß ja nich jeder dass gewisse Programme Dateien in winlogon.exe ablegen ;)

MfG Tequila

Hallo,

Zitat:

Woher weißt du eigentlich so viel darüber?Ich mein weiß ja nich jeder dass gewisse Programme Dateien in winlogon.exe ablegen

Naja, man schnappt hier halt das ein oder andere auf ;) In HijackThis Logs werden auch Einträge in die Winlogon angezeigt, weil es auch ein Angriffspunkt von Malware ist. Und da sieht man dann welches Programm dort etwas ablegt (meist AVs).

Grüße Wildone

Ich sollt mich hier doch öfter mal rumtreiben *lol*
Also bis jetzt funktioniert alles gut!Mein einziges Problem ist dann nur noch wie ichs verhindern kann dass sich der Rechner einfach neu startet, und dass mein Winamp einfach aus geht immer nach so ca. 10min das kann ich mir noch nicht erklärn!
Danke nochmal für deine Hilfe :)

Tequila

Hallo,
hmm, also keine Verbesserung der Lage. Nimm mal folgende Einstellung vor:
Systemsteuerung>>System>>Erweitert>>Starten und Wiederherstellen>>Einstellungen
dort bei "automatisch Neustart durchführen" den Haken rausnehmen.
Dann wenn er wieder abstürzt den Inhalt des ev. auftrtenden Bluescreens posten.

Grüße Wildone

heyho

so hab ich gemacht. aber was soll das direkt bewirken?bei einem normal funktionierenden system gibt es doch generell auch keinen automatischen neustart.jaja frauen und technik ;)
Wenn jetzt alles wieder normal läuft dann lad ich dich gern mal auf was zu trinken ein *lach* der PC ist halt wie ein Baby und wenn das Baby wieder gesund is dann is die welt in ordnung :)

Hallo,

Zitat:

aber was soll das direkt bewirken?bei einem normal funktionierenden system gibt es doch generell auch keinen automatischen neustart.

Das ist soweit richtig, aber dein System arbeitet ja nicht normal, und je nach dem ob jetzt eine Fehlermeldung vor dem Neustart ausgegeben wird, kann man herausfinden woran es liegt.

Zitat:

jaja frauen und technik

Mach dich nicht kleiner als du bist, bis jetzt hast du dich doch mehr als wacker geschlagen, ich hatte auch schon User bei denen man die ersten fünf Postings dafür verwenden durfte die HijackThis Anleitung zu zitieren, und die waren meist männlich.

Zitat:

Wenn jetzt alles wieder normal läuft dann lad ich dich gern mal auf was zu trinken ein *lach*

Das kannst du machen, aber durch die wahrscheinliche Distanz wird es wohl beim virtuellen Bier bleiben.

:party: <--virtuelles Bier

Grüße Wildone