winlogon.exe infiziert von Trojan.Win32.Agent.ha (KAV)

#0
24.09.2005, 12:59
Member

Themenstarter

Beiträge: 45
#46 werde am Abend die infizierte HDD nochmal anklemmen und das nochmal überprüfen.
Ich hab schon verstanden, dass dies dann wohl ein id-10-T Problem zu sein scheint... ;)


P.S.: for those how couldn't follow: write the word with capital letters, without minuses and best with an american "1"(="l").
__________
>>> have a real nice day today! <<<
PCs: manchmal wie Kinder - erziehbar - aber vorhersehbar?
Seitenanfang Seitenende
24.09.2005, 13:50
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#47 nun im Grunde kannst du machen, was raman geraten hat,(formatieren) aber es waere gut, wenn wir den Loader finden koennten,gerade weil du wie raman schrieb, pfiffig bist und uns helfen kannst, das Mistding zu finden, denn die Antivirenprogramme finden ihn noch nicht und bestimmt gibt es hier bald eine Schwemme an infizierten winlogon.exe und dann wissen wir nicht, was tun .....
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
24.09.2005, 15:57
Member

Themenstarter

Beiträge: 45
#48 erstmal haben wir noch 2 Abende, da ich mit der Neuinstallation auf irgend ner anderen Platte anfangen werde, die kann ich ja per Image auf die ursprüngliche schieben. Da kann ich solange zwischendrin mal die infizierte "einlegen".
Problem ist, dass ich danach den PC zurückgeben muß, da Heimarbeitsplatz. Ab da kann ich ohne viel Umstände nur noch am alten (und evtl. aktuellem) Image recherchieren.

Jetzt noch zu was anderem, sehr wichtigen: in meiner jetzigen Situation werden viele Board-Besucher sein: Neuinstallation

Situation A:
Neuinstallation mit Neuformatierung(aller Partitionen und Platten und USB-Sticks,...), keine alten Daten werden eingespielt (keine Sicherungen vorh.)
Da ist es in der Hauptsache eigentlich nur wichtig, dass man die Chance eines 100,00% sauberen Systems nutzt und korrekt formatiert. Könnt ihr da ein Miniprogramm nennen, das sowas wie fdisk /mbr leistet und ne low-level-Formatierung ermöglicht?

Situation B:
Neuinstallation mit Formatierung nur der Systempartition bei Vorhandensein weiterer Datenträger. Jetzt wirds interessant. Wie ist da "best practice" zu definieren, vielleicht für ne 98% und ne 99,9%-Lösung? Mehr geht da wohl eh nicht.

Einige Links dazu wären auch hilfreich, bitte nicht nur zu ebooks ;)
(ich gebe zu: hab im Board noch nicht gesucht...*schäm*)
__________
>>> have a real nice day today! <<<
PCs: manchmal wie Kinder - erziehbar - aber vorhersehbar?
Seitenanfang Seitenende
24.09.2005, 22:22
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#49 wo bleibt ADS Spy: ;)

zu deiner Frage:
normalerweise wird empfohlen nur die Partition von Windows zu formatieren.
In diesem Fall, da wir nicht wissen, was los ist, wuerde ich alles platt machen....
oder erst mal die erstere Variante versuchen und schauen......
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
25.09.2005, 00:22
Member

Themenstarter

Beiträge: 45
#50 Here it is: ADSspy

C:\WINDOWS\Angler.bmp : KAVICHS (36 bytes)
C:\WINDOWS\asym.ini : KAVICHS (36 bytes)
C:\WINDOWS\barcode.ini : KAVICHS (36 bytes)
C:\WINDOWS\Blaue Spitzen 16.bmp : KAVICHS (36 bytes)
C:\WINDOWS\bootstat.dat : KAVICHS (228 bytes)
C:\WINDOWS\BUHL.INI : KAVICHS (36 bytes)
C:\WINDOWS\Capictrl.INI : KAVICHS (36 bytes)
C:\WINDOWS\clock.avi : KAVICHS (36 bytes)
C:\WINDOWS\Ctregrun.exe : KAVICHS (36 bytes)
C:\WINDOWS\EPSTPLOG.BAK : KAVICHS (36 bytes)
C:\WINDOWS\exchng.ini : KAVICHS (36 bytes)
C:\WINDOWS\explorer.exe : KAVICHS (36 bytes)
C:\WINDOWS\explorer.scf : KAVICHS (36 bytes)
C:\WINDOWS\Fächer.bmp : KAVICHS (36 bytes)
C:\WINDOWS\Feder.bmp : KAVICHS (36 bytes)
C:\WINDOWS\Granit.bmp : KAVICHS (36 bytes)
C:\WINDOWS\hh.exe : KAVICHS (36 bytes)
C:\WINDOWS\HNetCtrl.INI : KAVICHS (36 bytes)
C:\WINDOWS\hpoins01.dat : KAVICHS (36 bytes)
C:\WINDOWS\hpoins01.dat.temp : KAVICHS (36 bytes)
C:\WINDOWS\hpomdl01.dat : KAVICHS (36 bytes)
C:\WINDOWS\hpomdl01.dat.temp : KAVICHS (36 bytes)
C:\WINDOWS\iccsigs.dat : KAVICHS (36 bytes)
C:\WINDOWS\imsins.BAK : KAVICHS (36 bytes)
C:\WINDOWS\IsUn0407.exe : KAVICHS (36 bytes)
C:\WINDOWS\IsUninst.exe : KAVICHS (36 bytes)
C:\WINDOWS\Kaffeetasse.bmp : KAVICHS (36 bytes)
C:\WINDOWS\msdfmap.ini : KAVICHS (36 bytes)
C:\WINDOWS\NeroDigital.ini : KAVICHS (36 bytes)
C:\WINDOWS\notepad.exe : KAVICHS (36 bytes)
C:\WINDOWS\ODBC.INI : KAVICHS (36 bytes)
C:\WINDOWS\ODBCINST.INI : KAVICHS (36 bytes)
C:\WINDOWS\OUTLOOK.PRF : KAVICHS (36 bytes)
C:\WINDOWS\P2kRotate.ini : KAVICHS (36 bytes)
C:\WINDOWS\Präriewind.bmp : KAVICHS (36 bytes)
C:\WINDOWS\regedit.exe : KAVICHS (36 bytes)
C:\WINDOWS\REGLOCS.OLD : KAVICHS (36 bytes)
C:\WINDOWS\Rhododendron.bmp : KAVICHS (36 bytes)
C:\WINDOWS\Santa Fe-Stuck.bmp : KAVICHS (36 bytes)
C:\WINDOWS\SchedLgU.Txt : KAVICHS (100 bytes)
C:\WINDOWS\Seifenblase.bmp : KAVICHS (36 bytes)
C:\WINDOWS\xxx.acl : KAVICHS (36 bytes)
C:\WINDOWS\xxx.pcb : KAVICHS (36 bytes)
C:\WINDOWS\setup.iss : KAVICHS (36 bytes)
C:\WINDOWS\setupact.log : KAVICHS (36 bytes)
C:\WINDOWS\setupapi.log : KAVICHS (36 bytes)
C:\WINDOWS\SIGVERIF.TXT : KAVICHS (36 bytes)
C:\WINDOWS\SIGVERIF_kurz.TXT : KAVICHS (36 bytes)
C:\WINDOWS\slrundll.exe : KAVICHS (36 bytes)
C:\WINDOWS\SwSetupu.exe : KAVICHS (36 bytes)
C:\WINDOWS\system.ini : KAVICHS (100 bytes)
C:\WINDOWS\TASKMAN.EXE : KAVICHS (36 bytes)
C:\WINDOWS\TB50.INI : KAVICHS (36 bytes)
C:\WINDOWS\TDF.DII : KAVICHS (36 bytes)
C:\WINDOWS\tm.ini : KAVICHS (36 bytes)
C:\WINDOWS\twain.dll : KAVICHS (36 bytes)
C:\WINDOWS\twain_32.dll : KAVICHS (36 bytes)
C:\WINDOWS\twunk_16.exe : KAVICHS (36 bytes)
C:\WINDOWS\twunk_32.exe : KAVICHS (36 bytes)
C:\WINDOWS\unin0407.exe : KAVICHS (36 bytes)
C:\WINDOWS\UNWISE.EXE : KAVICHS (36 bytes)
C:\WINDOWS\UNWISE.INI : KAVICHS (36 bytes)
C:\WINDOWS\vb.ini : KAVICHS (36 bytes)
C:\WINDOWS\vbaddin.ini : KAVICHS (36 bytes)
C:\WINDOWS\vmmreg32.dll : KAVICHS (36 bytes)
C:\WINDOWS\wiaservc.log : KAVICHS (100 bytes)
C:\WINDOWS\win.ini : KAVICHS (36 bytes)
C:\WINDOWS\winamp.ini : KAVICHS (36 bytes)
C:\WINDOWS\WindowsUpdate.log : KAVICHS (100 bytes)
C:\WINDOWS\winhelp.exe : KAVICHS (36 bytes)
C:\WINDOWS\winhlp32.exe : KAVICHS (36 bytes)
C:\WINDOWS\winnt.bmp : KAVICHS (36 bytes)
C:\WINDOWS\winnt256.bmp : KAVICHS (36 bytes)
C:\WINDOWS\WINPHONE.INI : KAVICHS (36 bytes)
C:\WINDOWS\WISO.INI : KAVICHS (36 bytes)
C:\WINDOWS\wmprfDEU.prx : KAVICHS (36 bytes)
C:\WINDOWS\WMSysPr9.prx : KAVICHS (36 bytes)
C:\WINDOWS\WMSysPrx.prx : KAVICHS (36 bytes)
C:\WINDOWS\Zapotek.bmp : KAVICHS (36 bytes)

...war eigentlich einfach, man muß nur ins Fenster rechtsklicken, dann kann man Textdatei abspeichern... :o

paar Kommentare noch dazu, allerdings ist mir nicht klar, was ADspy macht, also weiß ich auch nicht ob relevant:
Paar Dateien sind im Explorer sichtbar, jedoch nicht im adspy:
0.log mit 0KB, ohne Inhalt, erstellt beim letzten Hochfahren
ARTGALRY.CAG mit 1KB, ohne Inhalt, erstellt 14.12.1996 01:00
control.ini mit 0KB, ohne Inhalt, erstellt 08.11.2004 23:05
OAISetup.ini mit 0KB, ohne Inhalt, erstellt 09.11.2004 00:30
srchasst mit 0KB,ohne Inhalt, erstellt 09.11.2004 17:24
windowsShell.Manifest mit 1KB, Inhalt unauffällig, erstellt 08.11.2004 23:02
... und paar noch weniger auffällige


weiß nicht, ob wichtig: wenn ich mit dem TAskinfo auf den winlogon.exe-Prozess gehe, kommen die Fenster immer 1s nach wegklicken des Antivir-Fensters, sonst mehr im Minutenabstand, beginnend mit wegklicken des Fensters.


Bzgl. Neuinstallation
Habe natürlich das Problem, dass ich Daten portieren muß. Würde man da zumindest 3-4 aktuelle Virenscanner drüberlassen oder ist das wertvoll oder vielleicht sogar ne "Todsünde" in dieser Situation? Was tun?
__________
>>> have a real nice day today! <<<
PCs: manchmal wie Kinder - erziehbar - aber vorhersehbar?
Dieser Beitrag wurde am 25.09.2005 um 01:25 Uhr von Sunny-pc editiert.
Seitenanfang Seitenende
25.09.2005, 01:22
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#51 bitte ueberpruefen lassen, ob es "koescher " ist
C:\WINDOWS\vmmreg32.dll

oeffnen und poten, was du findest, bitte ;)
C:\WINDOWS\P2kRotate.ini
C:\WINDOWS\HNetCtrl.INI
C:\WINDOWS\system.ini
C:\WINDOWS\win.ini
C:\WINDOWS\EPSTPLOG.BAK
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
25.09.2005, 01:34
Member

Themenstarter

Beiträge: 45
#52 bitte auch editierten vorangegangenen Beitrag beachten!

EPSTPLOG.BAK

[Install Log]
Install Date/Time=2004-12-3 12:34:41
OS Information=Windows NT 5.01.2600 on DOS/V
Logon User=xxx
Base Directory=C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86
Setup Options=0x00000084
Installer Version=5.06.001
INF Load=Success
Logical Source Disk Path=C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86
Specified Printers=None
Master Copy Mode=0
Selected Printers
Setup Message=Das Setup-Programm ist beendet.
Base Window=Now Destroyed
Return Code=511
ExitInstance=Entry
ExitInstance=Exit
+++Ende EPSTPLOG.BAK
__________
>>> have a real nice day today! <<<
PCs: manchmal wie Kinder - erziehbar - aber vorhersehbar?
Seitenanfang Seitenende
25.09.2005, 01:49
Member

Themenstarter

Beiträge: 45
#53 C:\WINDOWS\P2kRotate.ini
[C:\Dokumente und Einstellungen\xxx\Eigene Dateien\Eigene Bilder\Filmrollen\063260-149381\]
FH000023.JPG=90
FH000030.JPG=90
FH000028.JPG=90
FH000043.JPG=90
FH000044.JPG=90
FH000045.JPG=90
FH000055.JPG=90
FH000047.JPG=90
FH000048.JPG=90
FH000049.JPG=90
FH000069.JPG=90
[c:\My Photos\Filmrollen\063260-149383\]
FH000061.JPG=90
FH000064.JPG=90
FH000057.JPG=90
FH000001.JPG=90
FH000003.JPG=90
FH000004.JPG=90
FH000013.JPG=90
FH000014.JPG=90
FH000017.JPG=90
FH000018.JPG=90
FH000031.JPG=90
FH000037.JPG=90
FH000046.JPG=90
FH000049.JPG=90
FH000051.JPG=90
FH000056.JPG=90
[C:\Dokumente und Einstellungen\xxx\Eigene Dateien\Eigene Bilder\Filmrollen\063260-149383\]
FH000061.JPG=90
FH000064.JPG=90
FH000057.JPG=90
FH000001.JPG=90
FH000003.JPG=90
FH000004.JPG=90
FH000013.JPG=90
FH000014.JPG=90
FH000017.JPG=90
FH000018.JPG=90
FH000031.JPG=90
FH000037.JPG=90
FH000046.JPG=90
FH000049.JPG=90
FH000051.JPG=90
FH000056.JPG=90
[EUROCOLORCD063260-149382]
FH000014.JPG=90
FH000015.JPG=90
FH000017.JPG=90
FH000018.JPG=90
FH000019.JPG=90
FH000020.JPG=90
FH000021.JPG=90
FH000022.JPG=90
FH000025.JPG=90
FH000026.JPG=90
FH000027.JPG=90
FH000028.JPG=90
FH000029.JPG=90
FH000033.JPG=90
FH000037.JPG=-90
FH000038.JPG=-90
FH000044.JPG=-90
FH000058.JPG=-90
FH000062.JPG=-90
FH000063.JPG=-90
FH000069.JPG=90
FH000070.JPG=-270
FH000045.JPG=-90
FH000064.JPG=-90
[BILLACD063260-149383]
FH000031.JPG=90
FH000057.JPG=90
FH000058.JPG=90
FH000059.JPG=90
FH000060.JPG=90
FH000061.JPG=90
FH000062.JPG=90
FH000063.JPG=90
FH000064.JPG=90
FH000067.JPG=90
[EUROCOLORCD063260-149381]
FH000005.JPG=90
FH000006.JPG=90
FH000016.JPG=90
FH000020.JPG=90
FH000025.JPG=180
FH000026.JPG=90
FH000027.JPG=90
FH000028.JPG=90
FH000048.JPG=90
+++Ende

C:\WINDOWS\HNetCtrl.INI
[Settings]
Foreground=0
+++Ende

C:\WINDOWS\system.ini
; for 16-bit app support

[drivers]
wave=mmdrv.dll
timer=timer.drv

[mci]
[driver32]
[386enh]
woafont=app850.FON
EGA80WOA.FON=EGA80850.FON
EGA40WOA.FON=EGA40850.FON
CGA80WOA.FON=CGA80850.FON
CGA40WOA.FON=CGA40850.FON
+++Ende

C:\WINDOWS\win.ini
; for 16-bit app support
[fonts]
[extensions]
[mci extensions]
[files]
[Mail]
MAPI=1
MAPIX=1
OLEMessaging=1
CMC=1
CMCDLLNAME=mapi.dll
CMCDLLNAME32=mapi32.dll
MAPIXVER=1.0.0.1
[MCI Extensions.BAK]
aif=MPEGVideo
aifc=MPEGVideo
aiff=MPEGVideo
asf=MPEGVideo2
asx=MPEGVideo2
au=MPEGVideo
ivf=MPEGVideo2
m1v=MPEGVideo
m3u=MPEGVideo2
mp2=MPEGVideo
mp2v=MPEGVideo
mp3=MPEGVideo2
mpa=MPEGVideo
mpe=MPEGVideo
mpeg=MPEGVideo
mpg=MPEGVideo
mpv2=MPEGVideo
snd=MPEGVideo
wax=MPEGVideo2
wm=MPEGVideo2
wma=MPEGVideo2
wmp=MPEGVideo2
wmv=MPEGVideo2
wmx=MPEGVideo2
wvx=MPEGVideo2
wpl=MPEGVideo
[EMusicClient]
dateInstalled=1100016453
datePitchPageLastShown=1099498053
[TfD]
AutoStart=1
[Readiris]
Scanner32=Twaino38,22
[IRIS_IPE]
menu=2
[DPE]
Toolbar=1
SN75=43011702
[spooler]
rd_cd=D5DBD730
+++Ende


This is a report processed by VirusTotal on 09/25/2005 at 01:47:03 (CET) after scanning the file "vmmreg32.dll" file.

Antivirus Version Update Result
AntiVir 6.32.0.6 09.23.2005 no virus found
Avast 4.6.695.0 09.23.2005 no virus found
AVG 718 09.23.2005 no virus found
Avira 6.32.0.6 09.23.2005 no virus found
BitDefender 7.2 09.25.2005 no virus found
CAT-QuickHeal 8.00 09.24.2005 no virus found
ClamAV devel-20050917 09.23.2005 no virus found
DrWeb 4.32b 09.24.2005 no virus found
eTrust-Iris 7.1.194.0 09.24.2005 no virus found
eTrust-Vet 11.9.1.0 09.23.2005 no virus found
F-Prot 3.16c 09.23.2005 no virus found
Ikarus 0.2.59.0 09.23.2005 no virus found
Kaspersky 4.0.2.24 09.25.2005 no virus found
McAfee 4589 09.23.2005 no virus found
NOD32v2 1.1231 09.23.2005 no virus found
Norman 5.70.10 09.23.2005 no virus found
Panda 8.02.00 09.24.2005 no virus found
Sophos 3.98.0 09.24.2005 no virus found
Symantec 8.0 09.24.2005 no virus found
TheHacker 5.8.2.114 09.22.2005 no virus found
VBA32 3.10.4 09.21.2005 no virus found


jotti.org
Datei: vmmreg32.dll
Status:
OK
Entdeckte Packprogramme:
-

AntiVir
Keine Viren gefunden
ArcaVir
Keine Viren gefunden
Avast
Keine Viren gefunden
AVG Antivirus
Keine Viren gefunden
BitDefender
Keine Viren gefunden
ClamAV
Keine Viren gefunden
Dr.Web
Keine Viren gefunden
F-Prot Antivirus
Keine Viren gefunden
Fortinet
Keine Viren gefunden
Kaspersky Anti-Virus
Keine Viren gefunden
NOD32
Keine Viren gefunden
Norman Virus Control
Keine Viren gefunden
UNA
Keine Viren gefunden
VBA32
Keine Viren gefunden
+++Ende

und übrigens: er meldet sich nach präzise 60 Sekunden zurück!(solange ich nichts tue)

Ich schicke raman mal ne filemon.log von den 5s innerhalb derer das Fenster vom Antivir neu aufpoppt.
__________
>>> have a real nice day today! <<<
PCs: manchmal wie Kinder - erziehbar - aber vorhersehbar?
Dieser Beitrag wurde am 25.09.2005 um 03:12 Uhr von Sunny-pc editiert.
Seitenanfang Seitenende
25.09.2005, 15:17
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#54 Hallo@

ich will ja nicht unverschaemt sein und dir hier Arbeit aufbuerden ;)

versuche bitte mal mit diesem MS-Tool die winlogon.exe zu finden + andere Dateien, die mit ihr in Verbindung stehen und berichte
http://virus-protect.org/artikel/tools/dependencywalker.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
25.09.2005, 15:33
Member

Themenstarter

Beiträge: 45
#55

Zitat

Ich schicke raman mal ne filemon.log von den 5s innerhalb derer das Fenster vom Antivir neu aufpoppt.
nochmal eines nachgereicht.

Zitat

ich will ja nicht unverschaemt sein und dir hier Arbeit aufbuerden
ach so?
;)

Dependency walker kann online auf die winlogon.exe nicht zugreifen(access denied). Sie erscheint auch ohne korrektes Icon, ist also tatsächlich die infizierte Variante. Trifft auch auf die im dllcache zu.
Funktioniert das ganze auch offline?

Habe dies auf einem sauberen WXPsp2 probiert, indem ich den DW auf das Image losgelassen hab. Hab jetzt ein 2MB-Log und ausdrücklich angemeckert hat er nur eine fehlende msjava.dll, die ich weder im Image noch im infiz. Online-System finden konnte.

Hatte die Idee, den Besitz der Datei zu übernehmen, schließlich bin ich doch admin!! ;)
Die Eigenschaften der Datei gehen zwar begleitet von einigen Antivir-Fenstern auf, jedoch enthält das Fenster nur die Reiter einer DOS-Anwendung und somit keinerlei Sicherheitseinstellungen ;)
tja...

was passiert eigentlich, wenn ich offline den Besitz übernehme und dem System die Schreibrechte nehme?
__________
>>> have a real nice day today! <<<
PCs: manchmal wie Kinder - erziehbar - aber vorhersehbar?
Dieser Beitrag wurde am 25.09.2005 um 15:55 Uhr von Sunny-pc editiert.
Seitenanfang Seitenende
25.09.2005, 16:47
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#56 ja, versuche es offline , nimm die Schreibrechte ..untersuche die verseuchte exe dann berichte.

dann kopiere wieder die zwei sauberen exe an den entsprechenden Platz..obwohl, sie werden sich wieder infizieren, nur wissen wir nicht, was das bewerkstelligt....
Kann man keine Abhaengigkeiten erkennen? also was mit der winlogon in Verbindung ist???
Der Fakt, das es sich ueber die Konsole abspielt (DOS)... ,und dass die Verseuchung vielleicht nur zustande kommt, wenn eine Internetverbindung existiert...????

wenn du die exe umkopierst, ohne online zu sein, und mit dem Antivirus scannst....kommt da eine Meldung ???
Oder geschieht das nur, wenn du wieder Online bist?

•Download Registry Search Tool :
http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip
Doppelklick:regsrch.vbs

reinkopieren:

winlogon.exe

Press 'OK'

(mache ein BackUp)
warten, bis die Suche beendet ist. (Ergebnis bitte posten)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
25.09.2005, 17:07
Member

Themenstarter

Beiträge: 45
#57

Zitat

Habe dies auf einem sauberen WXPsp2 probiert, indem ich den DW auf das Image losgelassen hab. Hab jetzt ein 2MB-Log und ausdrücklich angemeckert hat er nur eine fehlende msjava.dll, die ich weder im Image noch im infiz. Online-System finden konnte.
Das Gleiche nochmal mit extern angehängter Platte: dito
Allerdings hat die winlogon wieder ihr Icon zurück! Sie ist also vermutlich entweder zurückgetauscht oder desinfiziert worden, oder?

Werde mal nen very hard shutdown versuchen und die Platte dann mal offline dranhängen.

Zitat

,und dass die Verseuchung vielleicht nur zustande kommt, wenn eine Internetverbindung existiert...????
definitiv nein, habe gleich von Anfang an ISDN und LAN-Kabel durchschnitten! ;)
sonst hätten wir ja einen noch labileren Zustand, außerdem ist das System bis auf sp2 ungepatched.
Rest etwas später...
__________
>>> have a real nice day today! <<<
PCs: manchmal wie Kinder - erziehbar - aber vorhersehbar?
Dieser Beitrag wurde am 25.09.2005 um 17:30 Uhr von Sunny-pc editiert.
Seitenanfang Seitenende
25.09.2005, 18:31
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#58

Zitat

Das Gleiche nochmal mit extern angehängter Platte: dito
Allerdings hat die winlogon wieder ihr Icon zurück! Sie ist also vermutlich entweder zurückgetauscht oder desinfiziert worden,
hast du die verseuchten 2 winlogon.exe durch saubere vertauscht???? oder ist das einfach so geschehen, weil du offline warst ???
Oder weil du die Schreibrechte weggenommen hast?
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
25.09.2005, 22:56
Member

Beiträge: 13
#59 Hi Sunny-pc

Raman hat angefragt on ich evt noch ein paar Ideen hätte und ich dachte ich versuchs mal.

Als erstes wäre es schön wenn Du ein Image des infizierten PC erstellen könntest oder behalten könntest, damit wir etwas Zeit gewinnen. Du brauchst ja nur vorher den IDE controller auf Standard IDE controller umzustellen dann sollte das image auf jeden anderen Mainboard gebootet werden können.

Ich bin mir nicht sicher ob ich es evt nur überlesen habe aber könntest Du mal eine infizierte Variante der Winlogon.exe bei Jotti scannen lassen und das Ergebnis hier posten bitte.

Danach könntest Du bitte ein HijackThis log mit der infizierten winlogon.exe aus dem abgesicherten modus posten und bitte auch ein Winpfind log aus dem abgesicherten modus.
Seitenanfang Seitenende
26.09.2005, 00:53
Member

Themenstarter

Beiträge: 45
#60 @all
I'm back!
Sorry, hatte paar dringende Sachen und 2 Problemkinder, konnte jetzt wichtigstes erledigen. Des weiteren hatte ich Probleme, ne infizierte winlogon mit allen Merkmalen(z.B. fehlendes Icon) für den Offline-modus zu produzieren. Habe ansonsten eure Motivation schon verstanden. Normalerweise wäre ich auf Seite 2 des Threads ausgestiegen, weil no future. Andererseits hats mich auch gewurmt, weil ich dachte mit kompetenter Anleitung und meinem bisschen Grips schnell ne Lösung zu finden. Jetzt hab ich weder ne Lösung noch ne gesparte Neuinstallation.
*Frust* ;)
OK, hier mein Angebot: Werde bis Montag den Rechner behalten, haben also noch etwas Zeit(Montag aber nur abends). Werde dann ein Image ziehen, nachdem ich den IDE-Treiber auf Standard umgestellt hab. Dann ein weiteres Image ohne Eigene Dateien. Mal sehen, was wir draus machen.
Dies alles vor allem auch deshalb, weil auch ihr dann bisher mehr oder weniger eure Zeit vertan hättet - und ich hasse Zeitdiebe.

@gnmpf
o.g. mach ich als nächstes


@sabina

Zitat

Zitat

Das Gleiche nochmal mit extern angehängter Platte: dito
Allerdings hat die winlogon wieder ihr Icon zurück! Sie ist also vermutlich entweder zurückgetauscht oder desinfiziert worden,
hast du die verseuchten 2 winlogon.exe durch saubere vertauscht???? oder ist das einfach so geschehen, weil du offline warst ???
Oder weil du die Schreibrechte weggenommen hast?
nee, hab bloß den PC normal runtergefahren. War, als ob er sie wieder durchs Original ersetzt. Ist aber nur ne Verdachtsaussage, müßte ich eindeutig nachvollziehen um es zu bestätigen.
Bin ja mit DW noch nicht richtig durch (Beitrag #57) mal sehen, wann ich das noch hinkriege.
__________
>>> have a real nice day today! <<<
PCs: manchmal wie Kinder - erziehbar - aber vorhersehbar?
Seitenanfang Seitenende