Hallo liebe Leute,

gestern hat mein Virenscanner einen Trojaner entdeckt und auch gleich gelöscht. Leider funktioniert nun aber mein IE nicht mehr richtig. Verlinkungen, die in einem neuen Fenster erscheinen sollten, erscheinen nicht mehr und der CPU erreicht auch schnell die Schmerzgrenze. Ad-aware habe ich auch schon drüber laufen lassen und Hijackthis mit folgendem Inhalt:

Logfile of HijackThis v1.97.7
Scan saved at 17:14:20, on 08.01.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\Winamp\Winampa.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\windows\winlogon.exe
C:\Program Files\E-Color\Common\IconMgr.exe
C:\Program Files\E-Color\E-Color Indicator\TICIcon.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Netscape\Netscape 6\netscp6.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Dokumente und Einstellungen\sisko\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de/
O2 - BHO: (no name) - {00110011-4B0B-44D5-9718-90C88817369B} - C:\WINDOWS\NavExt.dll (file missing)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [winlogon] c:\windows\winlogon.exe
O4 - Global Startup: E-Color.lnk = C:\Program Files\E-Color\Common\IconMgr.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: Net2Phone (HKLM)
O9 - Extra 'Tools' menuitem: Net2Phone (HKLM)
O9 - Extra button: Recherchieren (HKLM)
O17 - HKLM\System\CCS\Services\Tcpip\..\{C9A5EE0F-5EF5-4CFB-A372-5F33BF46A1B2}: NameServer = 195.182.110.132 62.134.44.22


Mein Freund hat auch schon einiges versucht aber nichts erreicht!!!

Kann mir jemand von euch weiterhelfen. Wäre echt sehr lieb von euch, denn ich bin hier wirklich schon am Rande der Verzweiflung SCHLUCHZ!!!

Viele Grüße Vivi [img]graemlins/heulen.gif[/img] [img]graemlins/heulen.gif[/img] [img]graemlins/heulen.gif[/img]

Hallo und Willkommen an Board! ;)

</font><blockquote>Zitat:</font><hr />Original erstellt von mayworkbar:
C:\windows\winlogon.exe

O2 - BHO: (no name) - {00110011-4B0B-44D5-9718-90C88817369B} - C:\WINDOWS\NavExt.dll (file missing)
O4 - HKCU\..\Run: [winlogon] c:\windows\winlogon.exe
</font>[/QUOTE]Den Internet Explorer schließen.

Nun den ersten genannten Eintrag wie folgt behandeln: Windows Taskamanger aufrufen, Prozesse der Datei winlogon.exe in C:\windows\ beenden, dann in den Ordner gehen und diese Datei löschen.

Die beiden letzten Einträge in HijackThis anhaken und anschließen "Fix checked" wählen.

Jetzt sollte das Problem behoben sein. Solange man jedoch weiterhin am IE als Browser festhält, kann es relativ leicht immer wieder zu diesen oder ähnlich gelagerten Problemen kommen. Daher meine Empfehlung: System updaten und Browser wechseln (zu Mozilla, Firebird oder Opera).

Hi!
Immer mit der Ruhe!

Die Zeile </font><blockquote>Zitat:</font><hr />C:\WINDOWS\System32\wuauclt.exe</font>[/QUOTE]deutet darauf hin, dass Du Dir einen Trojaner eingefangen hast und zwar "Troj/Cult-B".
Info und Anleitung zum Entfernen gibt es hier.

Insgesamt solltest Du Dein System absichern, indem Du das Service Pack 1 und die aktuellen Patches aufspielst.
Sicherer surfst Du übrigens mit dem Firebird-Browser.

WinXP -SP1
Sammelpatch

Gruß!
MyThinkTank

Diese Datei in diesem Verzeichniss ist eine Systemdatei: http://www.reger24.de/prozesse/wuauclt.exe.php

@raman:
Sophos sagt:

Troj/Cult-B is a backdoor Trojan which allows a remote intruder to access and control the computer via IRC channels.

Each time the Trojan is run it tries to connect to a remote IRC server and join a specific channel. The Trojan then runs in the background as a server process, listening for commands to execute.

When first run the Trojan copies itself to the Windows System folder as WUAUCLT.EXE and creates the following registry entry so that WUAUCLT.EXE is run automatically each time Windows is started:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
Microsoft auto update = WUAUCLT.EXE

Link: http://www.sophos.com/virusinfo/analyses/trojcultb.html

Korrigiere mich, falls ich mich irre!

MyThinkTank

Ich denke nicht, dass es sich hierbei um einen Trojaner handelt.

http://www.reger24.de/prozesse/wuauclt.exe.php

Hgrmph... ;)

Ich möchte "mmk" und "raman" nicht widersprechen, denn die haben mehr Ahnung als meine Wenigkeit.

Ggf. mache bitte einen Scan mit der Kav-Trialversion, die gibt es hier:
www.kaspersky.com/de

Gruß!
MyThinkTank

2 zu 1 ! ;) Aber beim Windowsupdate wage ich nicht zu widersprechen! [img]smile.gif[/img]

Hallo Ihr,

vielen Dank für eure Hilfe. Es hat alles nichts genutzt. Prozesse für WinLogon lassen sich bei mir nicht beenden und ansonsten ist der PC sauber (habe alle Scans drüberlaufen lassen) aber er hat immer noch eine wahnsinns hohe CPU Auslastung und der IE funktioniert immer noch nicht richtig.

Ich glaube ich mache ein format C und fange nochmal von vorne an.

Viele liebe Grüße
Vivi ;)

hast du denn versucht, die richtige winlogon.exe zu beenden? müssten ja jetzt bei dir im taskmanager zwei winlogon.exe auftauchen, oder? eine davon lässt sich jedoch nicht beenden, was auch normal ist.

Hallo,

das mit dem Winlogon hat nicht geklappt. Obwohl im Taskmanager nur ein Winlogon drin ist, kann ich das Winlogon im Ordner C:/Windows nicht löschen, oder mache ich da etwas falsch?

Gruß Vivi

Hallo Leute,

es hat geklappt, mein IE funktioniert wieder einwandfrei!!!!!!!!!!!!!
[img]graemlins/lach.gif[/img]

Ich habe jetzt einfach die beiden Einträge gefixet, die mir Markus genannt hatte. Dafür an Markus nochmal einen großen [img]graemlins/bussi.gif[/img] und allen anderen ein großes Dankeschön für eure supi schnelle Hilfe [img]graemlins/party.gif[/img]

Bis bald

Vivi