winlogon.exe infiziert von Trojan.Win32.Agent.ha (KAV) |
||
---|---|---|
#0
| ||
20.09.2005, 21:38
Member
Beiträge: 45 |
||
|
||
21.09.2005, 01:29
Ehrenmitglied
Beiträge: 29434 |
#2
Hallo@Sunny-pc
CCleaner--> loesche alle *temp-Datein http://virus-protect.org/temp.html poste mir alles 4 Logs, bitte (mit pfadangabe) http://virus-protect.org/datfindbat.html #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = http://www.enjoysearch.info/search.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.enjoysearch.info/search.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchURL = http://www.enjoysearch.info/search.html R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.oneclicksearches.com/search.php?qq=%1 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.oneclicksearches.com/search.php?qq=%1 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.enjoysearch.info/search.html R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.enjoysearch.info/ R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.oneclicksearches.com/search.php?qq=%1 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank F2 - REG:system.ini: Shell=Explorer.exe, msmsgs.exe O2 - BHO: WriteFileware Class - {33E8230A-AFA8-4db4-8684-CBA061C98D1E} - C:\WINDOWS\system32\rwl.dll (file missing) O2 - BHO: VMHomepage Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - C:\WINDOWS\system32\hp27D0.tmp (file missing) PC neustarten abhaengig von den Dateien aus datfindbat, werde ich die liste noch verlaengern KillBox http://www.bleepingcomputer.com/files/killbox.php Anleitung: (bebildert) http://virus-protect.org/killbox.html •Delete File on Reboot <--anhaken und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" C:\WINDOWS\system32\rwl.dll C:\WINDOWS\system32\hp27D0.tmp C:\WINDOWS\system32\msmsgs.exe PC neustarten smitRem TOOL (Entfernungstool) http://noahdfear.geekstogo.com/ öffne smitRem folder,Doppelklick: RunThis.bat warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal) suche smitfiles.txt und poste die Textdatei in den Thread *reg-Datei oben im Browser: Datei -- Seite speichern unter.. -- wähle "Desktop" -- speichern http://www.bleepingcomputer.com/files/reg/smitfraud.reg dann erscheint eine smitfraud.reg auf dem Desktop Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "smitfraud.reg" auf dem Desktop doppelklicken und mit "ja" bestätigen, damit die reg*-Datei der Registry beigefügt wird und sofort den PC neustarten. scanne mit ewido und poste den Scanreport http://virus-protect.org/ewido.html #neue Startseite gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein + poste das neue Log vom HijackThis __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
21.09.2005, 05:56
Moderator
Beiträge: 7805 |
#3
Hat Kaspersky die Winlogon.exe nicht reinigen koennen? Das sollte sie eigentlich. Oder wird sie immer wieder neu infiziert?
Wenn ja, dann bitte keine weitere Datei auf dem Rechner loeschen! __________ MfG Ralf SEO-Spam Hunter |
|
|
||
21.09.2005, 08:18
Moderator
Beiträge: 7805 |
#4
Zitat ach ja, noch was, habe den Eindruck, dass der Trojaner die Datei faked.Nein, es ist im eigentlichen Sinne kein Trojaner, sondern ein Virus, der die Winlogon.exe infiziert hat. Wir muessen mal schauen, ob man den Dropper fuer diesen Virus finden kann, darum auch die bitte erstmal nicht weiter Dateien zu loeschen. Im Zweifelsfall kann ich dir eine saubere Datei der winlogon.exe schicken. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
21.09.2005, 08:56
Member
Themenstarter Beiträge: 45 |
#5
@Sabina
- temp Dateien sind gelöscht, werde trotzdem das Tool nochmal verwenden - bzgl. HJT: bitte oben 2. Log beachten - da fehlt schon alles außer den "...= about:blank" - Einträgen - Frage: brauche ich killbox, obwohl ich ja wahlweise auch mit nicht aktivem System arbeite(externe Platte)? C:\WINDOWS\system32\rwl.dll C:\WINDOWS\system32\hp27D0.tmp C:\WINDOWS\system32\msmsgs.exe die gibt es nicht mehr - wäre es dann in deinem Sinne wenn ich außer bzgl. temp Dateien mit "smitRem TOOL (Entfernungstool)" weitermache? @raman Es gab sehr wohl Zeitpunkte, wo die "Offline-scans"(per externer Platte) der Meinung waren, die Platte wäre sauber. Beim Wiedereinbau machte sie mir dann aber doch ne lange Nase. Also werde ich ab sofort ohne Rücksprache keine weiteren Dateien(außer Sabina-Dateien!?) löschen. @raman, 2 habe die winlogon.exe schon mehrfach auf die infizierte Platte kopiert, gleich auch in die Verzeichnisse dllcache und servicepackfiles, also alle 3 Kopien gegen saubere ausgetauscht. Half nichts. __________ >>> have a real nice day today! <<< PCs: manchmal wie Kinder - erziehbar - aber vorhersehbar? Dieser Beitrag wurde am 21.09.2005 um 08:59 Uhr von Sunny-pc editiert.
|
|
|
||
21.09.2005, 10:22
Moderator
Beiträge: 7805 |
#6
Das ist "gut" Kopiere alle Dir Eintrtage bitte komplett, wie von Sabina vorgeschlagen:
http://virus-protect.org/datfindbat.html Da du "Fiffig" genug bist, waere mir eine dir Liste der Verzeichnisse am liebsten, wenn die Platte in einem extra Rechner steckt! Nur musst du die Pfade dafuer in der dafind.bat anpassen. Sonst ist eine Liste vom infizierten Rechner auch in Ordnung. Ich denke, das ist eine ntfs Platte!? und nutze auch noch Blacklight und rootkitrevealer, wenn du von der infizierten Platte bootest: http://www.f-secure.com/blacklight/try.shtml http://www.sysinternals.com/Utilities/RootkitRevealer.html und schreib, was es gefunden hat. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
21.09.2005, 11:22
Ehrenmitglied
Beiträge: 29434 |
#7
ja, poste mal die 4 Logs von der Datfinddat, dann sehen wir weiter, denn nicht nur die winlogon ist verseucht, es gibt da noch viel mehr....
wenn dann alles sauber ist, bekommst du eine saubere winlogon von raman, also, alles genau abarbeiten, Schritt fuer Schritt.... wir hatten das Problem hier schon mal, du bist also in guten Haenden (denke ich mal ) __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
21.09.2005, 12:09
Member
Themenstarter Beiträge: 45 |
#8
also, hier ist alles(hatn bisschen gedauert, da ich datfind entsprechend raman wiederholt hab):
HJT Logfile of HijackThis v1.99.1 Scan saved at 11:17:55, on 21.09.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\system32\ctfmon.exe C:\Corel\Graphics8\Programs\MFIndexer.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\system32\CTsvcCDA.EXE C:\WINDOWS\System32\svchost.exe D:\Uti\Spyware\_spam\hijackthis_v1991\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe +++Ende HJT datfind.bat mit externer Platte *** Datentr„ger in Laufwerk I: ist SYSTEM Volumeseriennummer: 249F-069A Verzeichnis von I:\WINDOWS\system32 21.09.2005 10:33 40.800 perfc009.dat 21.09.2005 10:33 313.082 perfh009.dat 21.09.2005 10:33 49.226 perfc007.dat 21.09.2005 10:33 318.436 perfh007.dat 21.09.2005 10:33 728.442 PerfStringBackup.INI 21.09.2005 10:26 507.392 winlogon.exe 18.09.2005 22:13 2.206 wpa.dbl 17.09.2005 17:58 662.016 wininet.dll 17.09.2005 03:42 23.977 ffastlog.txt 08.08.2005 18:42 392.776 FNTCACHE.DAT 06.07.2005 00:10 99.678 wp.bmp 06.07.2005 00:09 766 spyware.ico 06.07.2005 00:09 4.286 spam.ico 06.07.2005 00:09 2.238 pharm.ico 06.07.2005 00:09 2.238 network.ico 06.07.2005 00:09 2.238 Date.ico 26.01.2005 21:29 121.080 MSForms.TWD 20.01.2005 13:47 175.616 strings.exe 13.01.2005 21:41 126.976 zip.exe 13.01.2005 21:41 90.112 RegDACL.exe 13.01.2005 21:41 11.254 locate.com 13.01.2005 21:41 39.184 Ntrights.exe 13.01.2005 21:41 24.576 Reboot.exe 12.01.2005 00:45 3.243 jupdate-1.4.2_06-b03.log 12.11.2004 12:49 1.035 vsconfig.xml 09.11.2004 18:44 4.212 zllictbl.dat 09.11.2004 17:45 269 spupdwxp.log 09.11.2004 00:14 6.184 mapisvc.inf 09.11.2004 00:14 69.632 system.mdw 08.11.2004 23:41 25.065 wmpscheme.xml 08.11.2004 23:11 261 $winnt$.inf 08.11.2004 23:05 2.951 CONFIG.NT 08.11.2004 23:05 16.832 amcompat.tlb 08.11.2004 23:05 23.392 nscompat.tlb 08.11.2004 23:02 488 WindowsLogon.manifest 08.11.2004 23:02 488 logonui.exe.manifest 08.11.2004 23:02 749 cdplayer.exe.manifest 08.11.2004 23:02 749 wuaucpl.cpl.manifest 08.11.2004 23:02 749 ncpa.cpl.manifest 08.11.2004 23:02 749 sapi.cpl.manifest 08.11.2004 23:02 749 nwc.cpl.manifest 08.11.2004 22:59 21.740 emptyregdb.dat 08.11.2004 22:56 0 h323log.txt 02.11.2004 13:29 99.592 vsxml.dll 02.11.2004 13:29 353.552 vsutil.dll 02.11.2004 13:29 197.904 vspubapi.dll 02.11.2004 13:29 107.792 vsmonapi.dll 02.11.2004 13:29 124.176 vsinit.dll 02.11.2004 13:29 278.416 vsdatant.sys 02.11.2004 13:29 75.024 vsdata.dll 08.09.2004 12:12 24.064 msxml3a.dll 04.08.2004 02:12 1.788 dcache.bin ...noch weitere 2000 Dateien, alle älter; die auch? *** Datentr„ger in Laufwerk I: ist SYSTEM Volumeseriennummer: 249F-069A Verzeichnis von I:\DOKUME~1\SENSOL~1\LOKALE~1\Temp *** Datentr„ger in Laufwerk I: ist SYSTEM Volumeseriennummer: 249F-069A Verzeichnis von I:\WINDOWS 21.09.2005 11:20 2.048 bootstat.dat 21.09.2005 11:20 1.422 SchedLgU.Txt 21.09.2005 11:20 216 wiadebug.log 21.09.2005 11:20 966 WindowsUpdate.log 21.09.2005 10:29 0 0.log 21.09.2005 10:29 50 wiaservc.log 20.09.2005 16:49 356.352 eSellerateEngine.dll 20.09.2005 13:24 231 system.ini 20.09.2005 11:51 0 Sti_Trace.log 17.09.2005 04:07 192 winamp.ini 11.09.2005 21:52 606 WISO.INI 26.08.2005 00:58 49 NeroDigital.ini 23.08.2005 11:12 30 TDF.DII 23.08.2005 11:12 3.067 tm.ini 09.08.2005 00:37 827 win.ini 24.07.2005 12:10 8.192 sensolife.pcb 20.07.2005 21:12 1.522 screen.html 17.07.2005 12:16 1.917 imsins.BAK 06.07.2005 00:32 2.137 sites.ini 02.07.2005 23:33 292 winini32.exe.xxx 01.07.2005 21:30 487 Capictrl.INI 01.07.2005 18:03 20.454 hpoins01.dat 01.07.2005 18:03 20.454 hpoins01.dat.temp 29.03.2005 09:31 26 HNetCtrl.INI 19.03.2005 16:15 1.793 P2kRotate.ini 09.03.2005 00:40 139 asym.ini 10.01.2005 22:04 15.348 sensolife.acl 29.12.2004 23:03 250 BUHL.INI 03.12.2004 13:34 512 EPSTPLOG.BAK 24.11.2004 23:14 465 barcode.ini 16.11.2004 13:41 895 ODBC.INI 09.11.2004 17:49 316.640 WMSysPr9.prx 09.11.2004 17:24 0 srchasst 09.11.2004 00:30 1.370 setup.iss 09.11.2004 00:30 0 OAISetup.INI 09.11.2004 00:30 59 WINPHONE.INI 09.11.2004 00:14 22 exchng.ini 09.11.2004 00:14 4.348 ODBCINST.INI 08.11.2004 23:12 8.192 REGLOCS.OLD 08.11.2004 23:05 0 control.ini 08.11.2004 23:05 299.552 WMSysPrx.prx 08.11.2004 23:02 749 WindowsShell.Manifest 08.11.2004 22:59 36 vb.ini 08.11.2004 22:59 37 vbaddin.ini 04.08.2004 01:58 288.768 winhlp32.exe 04.08.2004 01:58 32.866 slrundll.exe 04.08.2004 01:58 153.600 regedit.exe 04.08.2004 01:58 70.144 notepad.exe 04.08.2004 01:57 10.752 hh.exe 04.08.2004 01:57 1.035.264 explorer.exe 04.08.2004 01:57 50.688 twain_32.dll 03.05.2004 05:36 397.312 SwSetupu.exe 05.04.2003 14:33 16.622 hpomdl01.dat 05.04.2003 14:33 16.622 hpomdl01.dat.temp 18.08.2001 14:00 17.362 Rhododendron.bmp 18.08.2001 14:00 65.954 Pr„riewind.bmp 18.08.2001 14:00 65.832 Santa Fe-Stuck.bmp 18.08.2001 14:00 2 desktop.ini 18.08.2001 14:00 15.872 TASKMAN.EXE 18.08.2001 14:00 48.680 winnt.bmp 18.08.2001 14:00 16.730 Feder.bmp 18.08.2001 14:00 26.680 F„cher.bmp 18.08.2001 14:00 94.800 twain.dll 18.08.2001 14:00 9.522 Zapotek.bmp 18.08.2001 14:00 49.680 twunk_16.exe 18.08.2001 14:00 25.600 twunk_32.exe 18.08.2001 14:00 82.944 clock.avi 18.08.2001 14:00 1.405 msdfmap.ini 18.08.2001 14:00 257.568 winhelp.exe 18.08.2001 14:00 17.062 Kaffeetasse.bmp 18.08.2001 14:00 26.582 Granit.bmp 18.08.2001 14:00 18.944 vmmreg32.dll 18.08.2001 14:00 17.336 Angler.bmp 18.08.2001 14:00 34.818 wmprfDEU.prx 18.08.2001 14:00 80 explorer.scf 18.08.2001 14:00 65.978 Seifenblase.bmp 18.08.2001 14:00 1.272 Blaue Spitzen 16.bmp 18.08.2001 14:00 48.680 winnt256.bmp 18.08.2001 14:00 707 _default.pif.xxx 11.10.1999 03:00 41.984 Ctregrun.exe 25.06.1999 10:55 149.504 UNWISE.EXE 23.12.1998 09:20 6.067 UNWISE.INI 17.11.1998 13:44 328.704 IsUn0407.exe 29.10.1998 20:45 306.688 IsUninst.exe 21.04.1998 16:10 37 TB50.INI 14.12.1996 01:00 2 ARTGALRY.CAG 14.12.1996 01:00 15.348 MSO97.ACL 14.12.1996 01:00 791 OUTLOOK.PRF 10.12.1996 14:21 39.095 iccsigs.dat 06.11.1996 13:05 302.592 unin0407.exe 90 Datei(en) 5.345.484 Bytes 0 Verzeichnis(se), 4.968.759.296 Bytes frei *** Datentr„ger in Laufwerk I: ist SYSTEM Volumeseriennummer: 249F-069A Verzeichnis von I:\ 21.09.2005 11:40 0 sys.txt 21.09.2005 11:40 4.676 system.txt 21.09.2005 11:40 129 systemtemp.txt 21.09.2005 11:40 102.543 system32.txt 21.09.2005 11:39 363 datFind_absolut.bat 21.09.2005 10:28 267.964.416 hiberfil.sys 21.09.2005 10:28 402.653.184 pagefile.sys 21.09.2005 09:45 429 datFind.bat 13.09.2005 12:37 519 hpfr3420.xml 13.09.2005 12:37 36.842 hpfr3425.log 20.08.2005 23:51 149.614 sensowater h2o blubber.eps 24.03.2005 19:40 285 c.vbs 11.12.2004 08:28 899 log.txt 09.11.2004 17:36 3.721 Benutzersensolifechef.JPG 09.11.2004 17:34 211 boot.ini 09.11.2004 17:20 47.564 NTDETECT.COM 09.11.2004 17:20 251.184 ntldr 08.11.2004 23:05 0 MSDOS.SYS 08.11.2004 23:05 0 IO.SYS 08.11.2004 23:05 0 CONFIG.SYS 08.11.2004 23:05 0 AUTOEXEC.BAT 18.08.2001 14:00 4.952 bootfont.bin 22 Datei(en) 671.221.531 Bytes 0 Verzeichnis(se), 4.968.755.200 Bytes frei +++Ende datfindbat Ich schau mir mal inzwischen die von raman genannten Tools an und warte im Zweifelsfall auf Antwort before proceeding. Und noch was: es ist nicht nachvollziehbar, seit wann der PC Spielwiese ist, ich vermute mehr n paar Monate als nur Wochen. @raman: es IST eine ntfs-Platte, wieso? Langsam kehrt ein wenig Zuversicht zurück... danke schon mal dafür an euch! __________ >>> have a real nice day today! <<< PCs: manchmal wie Kinder - erziehbar - aber vorhersehbar? Dieser Beitrag wurde am 21.09.2005 um 12:17 Uhr von Sunny-pc editiert.
|
|
|
||
21.09.2005, 12:36
Moderator
Beiträge: 7805 |
#9
Wir testen alles mal durch. Lade dir mal peid herunter:
http://www.absolutelock.de/construction/files/releases/PEiD-0.93-20050130.zip starte es, dann mache ein "multiscan" erstmal ueber das gesammte Windowsverzeichniss. Wenn es fertig gescannt hat, gehe mit der rechten Maustaste ins Ergebnissfeld und speichere das Ergebniss. Packe die Datei und schicke sie an virus@protecus.de, da der Umfang ein Posting sprengen wird. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
21.09.2005, 13:23
Member
Themenstarter Beiträge: 45 |
#10
...und noch etwas, wo ich weniger drauf geachtet hatte: oft springt die "Fehlerüberprüfung" beim Hochfahren an, findet auch ungültige/ unkorrekte Einträge und korrigiert diese.
Schwierig wiederzugeben, er schreibt dann mehr als eine Bildschirmseite voll. Hatte aufgrunddessen auch schon ausprobiert, den PC bei laufendem Betriebssystem vom Strom zu trennen, offline zu scannen und wieder zu booten. Ich hatte die Hoffnung, dass dadurch eventuelle "geheim"-Mechanismen, die er beim Runterfahren hinterlegt nicht greifen. Hat nicht geklappt. just in case... vielleicht ists relevanter als angenommen. __________ >>> have a real nice day today! <<< PCs: manchmal wie Kinder - erziehbar - aber vorhersehbar? |
|
|
||
21.09.2005, 14:49
Ehrenmitglied
Beiträge: 29434 |
#11
Schritt 1 :
Erstelle eine neue Datei --> I:\bad Schritt 2 : Start - Ausführen - cmd (reinschreiben) kopiere in das DOS-Fenster: move I:\WINDOWS\System32\wp.bmp I:\bad -- und klicke jedes Mal -- [enter] move I:\WINDOWS\System32\spyware.ico I:\bad move I:\WINDOWS\System32\spam.ico I:\bad move I:\WINDOWS\System32\pharm.ico I:\bad move I:\WINDOWS\System32\network.ico I:\bad move I:\WINDOWS\sites.ini I:\bad move I:\WINDOWS\System32\Date.ico I:\bad Schritt 3 : zippe und schicke die bad-Datei an Raman I:\bad Schritt 4: loesche die bad-Datei weil die wininet.dll verseucht ist: smitRem TOOL (Entfernungstool) http://noahdfear.geekstogo.com/ öffne smitRem folder,Doppelklick: RunThis.bat warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal) suche smitfiles.txt und poste die Textdatei in den Thread ---------------------------------------------------------------------------------------- das "riecht" sehr nach Virus: I:\WINDOWS\winini32.exe.xxx I:\WINDOWS\screen.html einzelne "exe" ueberpruefen http://www.virustotal.com/flash/index_en.html Jotti's malware scan 2.4 - einzelne "exe" ueberpruefen http://virusscan.jotti.org/de/ Oben auf der Seite auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten und danach das Ergebnis abkopieren und hier im Beitrag posten silentrunners http://virus-protect.org/silentrunner.html http://www.silentrunners.org/sr_download.html gehe auf: Zitat: Click here to download a zip file. hier die Erklaerung: http://www.silentrunners.org/sr_scriptuse.html klicke: output file is in text format. --> Doppelklick und es oeffnet sich der Editor--> und poste alles, was angezeigt wird. Click Start > Ausfuehren> sigverif > OK click OK and Start. The computer wird scannen alle Dateien auf ihre digital "Autograph" (Authentizitaet) suche die winlogon.exe in sigverif.txt und poste es. - Zitat --------- Zitat Darüber hinaus fügt er sich selbst in folgenden Schlüssel in den Eintrag SHELL = variable ein: __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
21.09.2005, 16:07
Member
Themenstarter Beiträge: 45 |
#12
mittendrin in den Anleitungen...
Habe den Eindruck, dass smitrem besser vom (noch infektierten) gebooteten System zu starten ist!? Der fuhrwerkt ja sonst auf meinem sauberen System rum, weil Systemvariablen verwendet werden. Soll ich das tun(habe bisher nur die bad-Dateien entfernt, noch nicht wieder gebootet)? @raman Gilt das analog für den rootkitrevealer? __________ >>> have a real nice day today! <<< PCs: manchmal wie Kinder - erziehbar - aber vorhersehbar? |
|
|
||
21.09.2005, 16:14
Moderator
Beiträge: 7805 |
#13
Ja, du musst vom infizierten System Booten, sonst funktioniert es nicht. Kopiere aber vorher nochmal die saubere Winlogon.exe ins system32 und ins dllcache Verzeichniss...
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
21.09.2005, 16:23
Moderator
Beiträge: 7805 |
||
|
||
21.09.2005, 17:04
Member
Themenstarter Beiträge: 45 |
#15
Zitat raman posteteging soeben raus, ich warte noch auf kurze Bestätigung, bevor ich vom System boote. winlogons sind beide ersetzt. Scannen der \windows\screen.html ergab: Antivirus Version Update Result AntiVir 6.32.0.6 09.21.2005 no virus found Avast 4.6.695.0 09.21.2005 no virus found AVG 718 09.21.2005 no virus found Avira 6.32.0.6 09.21.2005 no virus found BitDefender 7.2 09.21.2005 no virus found CAT-QuickHeal 8.00 09.21.2005 no virus found ClamAV devel-20050917 09.21.2005 no virus found DrWeb 4.32b 09.21.2005 no virus found eTrust-Iris 7.1.194.0 09.20.2005 no virus found eTrust-Vet 11.9.1.0 09.21.2005 no virus found F-Prot 3.16c 09.21.2005 no virus found Ikarus 0.2.59.0 09.21.2005 no virus found Kaspersky 4.0.2.24 09.21.2005 no virus found McAfee 4587 09.21.2005 no virus found NOD32v2 1.1228 09.21.2005 no virus found Norman 5.70.10 09.21.2005 no virus found Panda 8.02.00 09.21.2005 Spyware/Smitfraud Sophos 3.97.0 09.21.2005 no virus found Symantec 8.0 09.21.2005 no virus found TheHacker 5.8.2.113 09.21.2005 no virus found VBA32 3.10.4 09.21.2005 no virus found leider war ich zu schnell mit der winini32.exe.xxx - hab sie mit shift gelöscht. Wenns nötig ist, könnte ich sie aus einem Acronis-Image mounten, macht leichte Umstände aber kein Problem. __________ >>> have a real nice day today! <<< PCs: manchmal wie Kinder - erziehbar - aber vorhersehbar? Dieser Beitrag wurde am 21.09.2005 um 17:48 Uhr von Sunny-pc editiert.
|
|
|
||
PC mit WXPpro SP2 ohne weitere updates.
Festplatte ausgebaut und per Firewire an 3 verschiedene saubere PCs gehängt(mit neuesten Updates). Da sind jeweils Kaspersky AV 5.0, NortonAV2005 bzw. H+BEDV installiert.
Ergebnis: rund ein Dutzend Viren entfernt. Es war die Systemwiederherstellung ausgeschaltet und alle Win und IE Temp-Verzeichnisse sind geleert.
Beispiele für entfernte Malware sind:
I:\WINDOWS\system\SMSS.EXE
[FUND!] Ist das Trojanische Pferd TR/Small.FL
WURDE GELÖSCHT!
I:\WINDOWS\system32\mshlp.exe
[FUND!] Ist das Trojanische Pferd TR/Drop.Banker.ZU.1
WURDE GELÖSCHT!
I:\WINDOWS\system32\mskav.exe
[FUND!] Ist das Trojanische Pferd TR/Dialer.KC
WURDE GELÖSCHT!
Leider krieg ich den o.g. Trojaner nicht runter, egal was ich tu.
Hab schon Tränen im Auge und nen Hammer in der Hand...
Hab im Internet auch schon fleißig gesucht, habe u.a. hier
http://board.protecus.de/t19170.htm
sehr gute Informationen erhalten, alles was bei mir zutrifft ebenfalls angewandt, trotzdem: immer wenn ich das System boote, poppt der AntiVir regelmässig auf und moniert die winlogon.exe
Nun die log-Dateien, der Vollständigkeit halber. Zuerst nach der "Grundreinigung" , dann nach weiteren manuellen Säuberungen:
*****schnipp*******
Logfile of HijackThis v1.99.1
Scan saved at 17:19:33, on 19.09.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\WINDOWS\System32\svchost.exe
D:\Uti\_spam\hijackthis_v1991\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = http://www.enjoysearch.info/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.enjoysearch.info/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchURL = http://www.enjoysearch.info/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.oneclicksearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.oneclicksearches.com/search.php?qq=%1
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.enjoysearch.info/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.enjoysearch.info/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.oneclicksearches.com/search.php?qq=%1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
F2 - REG:system.ini: Shell=Explorer.exe, msmsgs.exe
O2 - BHO: WriteFileware Class - {33E8230A-AFA8-4db4-8684-CBA061C98D1E} - C:\WINDOWS\system32\rwl.dll (file missing)
O2 - BHO: VMHomepage Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - C:\WINDOWS\system32\hp27D0.tmp (file missing)
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: CAPIControl.lnk = ?
O4 - Startup: HomeNet Control.lnk = ?
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Corel\Graphics8\Programs\MFIndexer.exe
O4 - Global Startup: Erinnerungen für Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - Winlogon Notify: style2 - C:\WINDOWS\q8590762_disk.dll (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
*****schnapp******
nach weiterer Säuberung:
******schnipp*******
Logfile of HijackThis v1.99.1
Scan saved at 18:29:53, on 20.09.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\WINDOWS\System32\svchost.exe
D:\Uti\Spyware\_spam\hijackthis_v1991\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: CAPIControl.lnk = ?
O4 - Startup: HomeNet Control.lnk = ?
O4 - Global Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Corel\Graphics8\Programs\MFIndexer.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
********schnapp********
DANKE für JEDE Hilfe!
ach ja, noch was, habe den Eindruck, dass der Trojaner die Datei faked.
So gemeint: Im Taskmanager läuft tatsächlich die winlogon.exe aus dem korrekten Verzeichnis. Man kann sie aber problemlos löschen(bei laufendem System!). Nicht löschen kann man die vom AntiVir umbenannte winlogon.exe.vir!
Weiß nicht obs hilft, ich fands very strange.
Keine Ahnung, was der PC mit mir vorhat...
__________
>>> have a real nice day today! <<<
PCs: manchmal wie Kinder - erziehbar - aber vorhersehbar?