winlogon.exe infiziert von Trojan.Win32.Agent.ha (KAV)

#0
29.09.2005, 01:30
Member

Themenstarter

Beiträge: 45
#91

Zitat

aber alles andere hiess C:\ oder D:\
welche Platte ist nun verseucht? die I:\ , die C:\ ???
nun, es ist immer wieder das gleiche Thema: ich schließe die infizierte Platte mal an den pc an und boote davon. Sie enthält 2 Partitionen, deswegen finden z.B. Scanprogramme die 2 Buchstaben c: & d:
Dann wiederum nehme ich sie aus dem pc raus und schließe sie über ein externes Firewire-HDD-Gehäuse an einen "sauberen" Rechner an, dessen LAN-Kabel nicht durchschnitten ist. ;)
Dort kann ich dann manche Aktionen besser vornehmen, oder einfach nur die Log-Dateien ins Forum kopieren. Da C: auf dem PC aber schon besetzt ist, kriegen die Partitionen halt I: & J:
Jetzt klarer?
__________
>>> have a real nice day today! <<<
PCs: manchmal wie Kinder - erziehbar - aber vorhersehbar?
Seitenanfang Seitenende
29.09.2005, 11:31
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#92 nun, viel koennen wir anscheinend nicht mehr machen, die temp-Dateien erstellen sich immer wieder neu, wie ich gesehen habe. und eine suspekte sys sehe ich auch nicht, es sei denn, eine regulaere ist verseucht. Aber die zu finden, ist wie eine Nadel im Heuhaufen zu suchen.....

Zitat

Sabina postete
ich kann keinen anderen Driver finden, der suspekt ist, vielleicht schaut raman morgen noch mal ;)

schau dir bitte mal genauer an:
1.
Index.dat (in den temp-Dateien)
muesstest du leicht hinkommen mit Start-->Ausfuehren--> %temp%

Index.dat (poste bitte mal in Inhalt)

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
04.10.2005, 16:12
Member

Themenstarter

Beiträge: 45
#93 tja...
nachdem ich inzwischen auf ner weiteren Platte neu installiert habe, ist das jetzt (leider) auch egal. Vielleicht hebe ich das Image der infizierten Platte ne Weile auf und probiere es mal in nem halben Jahr zu scannen - mal sehen, ob die Signatur des Droppers bis dahin wo aufgetaucht ist. ;)

c-ya !
__________
>>> have a real nice day today! <<<
PCs: manchmal wie Kinder - erziehbar - aber vorhersehbar?
Seitenanfang Seitenende
04.10.2005, 17:41
Moderator

Beiträge: 7805
#94 Halt uns auf dem Laufenden, auch wenn du das Image loeschen willst!
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
10.10.2005, 09:15
Member

Themenstarter

Beiträge: 45
#95 ...mach ich. ;)

@raman
email erhalten?
__________
>>> have a real nice day today! <<<
PCs: manchmal wie Kinder - erziehbar - aber vorhersehbar?
Seitenanfang Seitenende
10.10.2005, 09:35
Moderator

Beiträge: 7805
#96 Ja, habe ich, aber zur Zeit laeuft bei mir alles drunter und drueber, zusaetzlich zu der Grippe die ich noch auskurieren muss. Ich melde mich aber noch...
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
10.10.2005, 22:29
Member

Themenstarter

Beiträge: 45
#97 take it easy, if u can!
;)
__________
>>> have a real nice day today! <<<
PCs: manchmal wie Kinder - erziehbar - aber vorhersehbar?
Seitenanfang Seitenende
22.03.2006, 06:05
...neu hier

Beiträge: 1
#98 Hallo,

Ich habe das gleiche Problem gehabt und hab den Thread in google gefunden. Der nächste Schritt, den der Virus unternimmt ist beim booten die winlogon.exe zu löschen, sodass das System gar nicht mehr hochgefahren werden konnte. Ausserdem wurden ein Haufen Dateien mit .manifiest suffix generiert oder überschrieben.
Zum Glück existiert neben der infizierten ntfs-Partition noch eine FAT-Partition mit alten Daten. Dort ist durch die Infektion eine Datei mit einem .manifest-suffix entstanden, allerdings ohne gelesen werden zu können.
Was mit dem Konsolenprogramm auf der cd nicht funktionierte:
Ich habe von dort aus alle Windows-Systemdateien löschen können.
(Eine delete mit dos 6.22 sollte es vielleicht auch getan haben, aber ich hatte gerade keine zur Hand.)
Danach hab ich dann windows neu auf der ntfs-Partition installiert und meine persönlichen Daten retten können. Grundsätzlich sollte man immer ein Backup parat haben, denn eine Formatierung und Neuinstallation wäre schneller gewesen.

Gruss

Bernd
Seitenanfang Seitenende
20.09.2006, 16:47
...neu hier

Beiträge: 4
#99 Hallo,
meine winlogon.exe ist jetz auch infiziert.
Es bleibt bei mir noch beim normalen popup öffnen, habe aber kein bock auf format!
Drum wollt ich jetz mal wissen wie man das ding schnellstmöglich runter kriegt!
Weder Ewido noch Kapersky 6.0 kann die winlogon.exe reinigen!

mfg
Seitenanfang Seitenende
20.09.2006, 17:51
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#100 Dark BROTOSS

poste diese logs hier
http://board.protecus.de/t23188.htm
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
20.09.2006, 18:13
...neu hier

Beiträge: 4
#101 :rollyes:

ja hier hat jeder ein anderes problem wobei alle die selben "symtome" hat...

sag doch einfach wie man das runter kriegt...

gibts ein programm das das erkennt?!
Seitenanfang Seitenende
20.09.2006, 23:04
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#102 nun, solange wie ich keine logs habe und nicht weiss, was so alles auf deinem Rechner los ist...kann ich wegen Fehlen einer Glaskugel keine Tips geben ;)
du musst denken, wir sind hier alles Ueberirdische, die Tips per Ferndiagnose aus dem Aermel schuetteln.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
21.09.2006, 17:03
...neu hier

Beiträge: 4
#103 bei viren gibts keine individuellen probleme!
entweder man hat ein virus und es tritt was auf (pop up) oder nicht!
dafür brauch man keinerlei logs man sagt zieh dir das programm und damit ist das gegessen...
ein problem - eine lösung

dann wird es dir ja rein garnix ausmachen uns (bzw. mir) mal zu erklären was du aus diesen logs herausliest, was du suchst!

mfg
Seitenanfang Seitenende
21.09.2006, 17:17
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#104 Dark BROTOSS

Zitat

bei viren gibts keine individuellen probleme!
ich suche garnichts, jedenfalls nicht auf deinem System.
Such dir einen anderen Helfer. Vielleicht findest sich jemand, der dir sagt, welches Programm du " ziehen" musst, uebrigens, um einen Virenscanner zu laden, musst du nicht in ein Sicherheitsforum kommen.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
21.09.2006, 17:31
...neu hier

Beiträge: 4
#105 ich wiederhole:

Weder Ewido noch Kapersky 6.0 kann die winlogon.exe reinigen!
Seitenanfang Seitenende