|
Prob. in winlogon.exe (dringend!!!) Hi Leute, Mein schwiegervater hat mir gerade sein Notebook gegeben und hat was von Trojanern gelabert. Ich hab mir das gaze angeguckt... AntiVir zeigt ständig die Meldung "C:\WINDOWS\system32\winlogon.exe Ist das Trojanische Pferd TR/Patches.I Auf der Platte sind noch wichtige programme und dateien gespeichert die er Beruflich nutzt, weshalb ich auch nicht einfach Windows neu installieren kann. Was soll ich nun tun? gibts Programme (Freeware) womit ich da Problem lösen kann? Vielen Dank im Vorraus!!! Viele Grüße, DaManny |
Hallo. Poste bitte als erstes ein Hijacklog des betroffenen Systems und poste es hier in deinen Beitrag. Die Anleitung dazu findest du in meiner Signatur verlinkt. ;) Außerdem kannst du die Datei (winlogon.exe) gleich mal bei Virustotal hochladen und auswerten lassen. Danach einfach das Ergebnis des Scans abkopieren und hier in deinen Beitrag posten! Gruß Sunny |
so... hijackthis sagt folgendes: Logfile of HijackThis v1.99.1 Scan saved at 21:35:00, on 05.01.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\System32\keyhook.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe C:\Programme\Java\jre1.5.0_08\bin\jusched.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\ETeX AG\Speak&Win\ETeXSecureClientXP.exe C:\Programme\DTV\DVB-T USB 2.0\RC.exe C:\Programme\Gemeinsame Dateien\Teleca Shared\CapabilityManager.exe c:\programme\etex ag\speak&win\bin\ETTSengine.exe C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLacsd.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\slserv.exe C:\WINDOWS\system32\wdfmgr.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\System32\wbem\wmiprvse.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\explorer.exe C:\Programme\Opera\Opera.exe C:\Programme\Spyware Doctor\sdhelp.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\XP\Eigene Dateien\hijackthis\HijackThis.exe R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQToolbar\toolbaru.dll O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\System32\keyhook.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_08\bin\jusched.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [WinMedia] "C:\WINDOWS\34rl8zjq9260781.exe " O4 - HKCU\..\Run: [WinUpgrade] "C:\WINDOWS\34rl8zjq9263578.exe " O4 - HKCU\..\Run: [WinUpdate] "C:\WINDOWS\34rl8zjq9294203.exe " O4 - Startup: RC.exe.lnk = C:\Programme\DTV\DVB-T USB 2.0\RC.exe O4 - Global Startup: ETeX Secure Client.lnk = C:\Programme\ETeX AG\Speak&Win\ETeXSecureClientXP.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Programme\Spyware Doctor\sdhelp.exe O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe virustotal sagt mir schon seit 15min. das die datei hochgeladen wird, is doch nicht normal bei ner DSL verbindung oder??? :confused: |
Prüfe das System mit F-Secure Blacklight und poste danach das Logfile. Prüfe Dein System mit Ewido ewido - anti-spyware and anti-malware solutions Lasse alles löschen, was vorgeschlagen wird. Poste das Ergebnis, aber bitte lösche vorher aus dem Log alles was mit Cookies zu tun hat. |
Zitat:
Abgesehen davon sind folgende Einträge schon sehr verdächtig: Zitat:
Moin Felix :party: |
Erstmal vielen dank für eure schnelle Hilfe!!! :bussi: werd das dann mal machen und melde mich gleich wieder... |
Zitat:
Vielleicht hat der TO Glück. @Sunny:party: LG Der Felix |
Zitat:
AVG Anti-Spyware hat nur 5 cookies gelöscht was aber das Problem nicht löst. Ich denke mit dem Bericht könnt ihr nichts anfangen oder? Felix sagte ja eh schon dass ich alles was mit cookies zu tun hat nicht Posten soll. F-Secure BlackLight findet überhaupt keine infizierten dateien |
Du hast meinen Post schon bis zum Ende gelesen? |
klar hab ich das, meinste a) weil ich gerade etwas komisch geantwortet hab oder b) weil ich erst noch die dateien die sunny angesprochen hat prüfen soll befor ich mich wieder melde? |
Die Ergebnisse will ich sehen: Zitat:
|
--------------------------------------------------------- AVG Anti-Spyware - Scan-Bericht --------------------------------------------------------- + Erstellt um: 00:56:43 06.01.2007 + Scan-Ergebnis: C:\Dokumente und Einstellungen\XP\Cookies\xp@2o7[2].txt -> TrackingCookie.2o7 : Gesäubert. C:\Dokumente und Einstellungen\XP\Cookies\xp@adtech[2].txt -> TrackingCookie.Adtech : Gesäubert. C:\Dokumente und Einstellungen\XP\Cookies\xp@ivwbox[1].txt -> TrackingCookie.Ivwbox : Gesäubert. C:\WINDOWS\system32\config\systemprofile\Cookies\system@server.iad.liveperson[1].txt -> TrackingCookie.Liveperson : Gesäubert. C:\WINDOWS\system32\config\systemprofile\Cookies\system@data3.perf.overture[1].txt -> TrackingCookie.Overture : Gesäubert. C:\WINDOWS\system32\config\systemprofile\Cookies\system@perf.overture[1].txt -> TrackingCookie.Overture : Gesäubert. ::Berichtende und BlackLight 01/06/07 00:54:07 [Info]: BlackLight Engine 1.0.55 initialized 01/06/07 00:54:07 [Info]: OS: 5.1 build 2600 (Service Pack 2) 01/06/07 00:54:08 [Note]: 7019 4 01/06/07 00:54:08 [Note]: 7005 0 01/06/07 00:54:21 [Note]: 7006 0 01/06/07 00:54:21 [Note]: 7011 3080 01/06/07 00:54:21 [Note]: 7026 0 01/06/07 00:54:22 [Note]: 7026 0 01/06/07 00:54:49 [Note]: FSRAW library version 1.7.1021 01/06/07 01:00:49 [Note]: 7007 0 |
Hab mir jetzt eine externe Festplatte ausgeliehn, formatiere jetzt die HDD. Vielen dank für eure Hilfe aber ich hatte keine Lust jetzt noch lnge hier dran zu sitzen, ausserdem muss der rechner bin Sonntag abend wieder laufen. Viele Grüße, DaManny |
Zitat:
Bis bald ... Gruß ;) Sunny |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 11:16 Uhr. |
Copyright ©2000-2025, Trojaner-Board