Grüss euch! winlogon.exe infiziert? hijackthis-log vorhanden |
||
---|---|---|
#0
| ||
07.01.2007, 22:05
...neu hier
Beiträge: 9 |
||
|
||
07.01.2007, 22:22
...neu hier
Beiträge: 9 |
#32
Ein wichtiger Grund ist das ich über 50GB Dateien auf CD Brennen müsste um alles zu haben. Die wichtigsten Daten hab ich ja schon gesichert.
Ausserdem bin ich jetzt mehr als verwundert 1) weil du schon gestern nach 1 std. wusstest dass ich einen Proxy Trojaner und Backdoor Malware am PC habe 2) mir ihr doch gleich anraten könntet in jedem Fall neuaufzusetzen, wenn ein Trojaner am PC ist - weil da doch immer ein Risiko bleibt - warum habt ihr denn dann trojaner boards, wenn neuaufsetzen immer das beste ist ! 3) gestern gemeint hast wir sollten nicht aufgeben, du gibst uns 2 Tage das Problem zu lösen 4) jetzt das Problem gelöst scheint (ich habe Gesamt Datentransfer auf beiden Seiten von 4 KB für 10 Min. - früher waren es 1 MB in 1 Minute) und ihr auf einmal nicht mehr helfen wollt Es kann nur so sein, dass ihr etwas wisst, was ihr mir nicht sagen könnt oder wollt, anders verstehe ich das nicht, wenn wir die Fakten uns ansehen. Bin leider jetzt sehr enttäuscht ! |
|
|
||
07.01.2007, 22:56
...neu hier
Beiträge: 9 |
#33
Dottore,
Dein Win ist völlig kompromittiert - lies unsren thread da gibts nicht den geringsten Zweifel - Kleine Hilfe wg. der grossen Datenmenge : Bau die momentane Platte aus Besorge dir eine zweite Harddisk und hänge sie ein als c: Spiel die Recovery CD auf . jetzt hast Du ein Cleanes Windows Vergib beim installieren von Win den gleiche Administrator accont mit gleichem Password wie auf der alten Platte - sonst es Rechteproblem falls NTFS formatiert Nun hangst Du die alte Platte als LW D:\ ein und und holst Dir die Daten rüber - starte auf der D platte bitte keine Ausführbaren Dateien und aktivire einen Virenscanner Zum guten Schluss löscht Du bitte die Virenschleuder komlpett Format D:\ silent und ohne rückfrage :-) Sei Dir bitte bewusst, dass Du aktive Trojaner draufhast und dein Rechner auch für den Rest des Internets eine Gefahr ist - think social ! Gerhard ! Rajo |
|
|
||
07.01.2007, 23:58
Ehrenmitglied
Beiträge: 29434 |
#34
Dottore
versuche es doch mal ohne garantie............. Zitat Sabina postete __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
08.01.2007, 08:53
Moderator
Beiträge: 7805 |
#35
Die Dateien sind zu 95& schon weg Sabina, du musst dir neue Listen schicken lassen. Auch ein entsprechend neues Antivr log.
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
08.01.2007, 09:09
...neu hier
Beiträge: 9 |
#36
Hallo Sabina,
Ich schicke dir hier noch meinen neuen Antivir Bericht Die in Qurantäne befindlichen Dateien hab ich schon gelöscht ! Falls möglich noch einen Tip für die winword.exe - ich bin mir zwar fast sicher dass es Outlook ist ! AntiVir PersonalEdition Classic Erstellungsdatum der Reportdatei: Sonntag, 07. Jänner 2007 17:20 Es wird nach 618274 Virenstämmen gesucht. Lizenznehmer: Avira AntiVir PersonalEdition Classic Seriennummer: 0000149996-ADJIE-0001 Plattform: Windows XP Windowsversion: (Service Pack 2) [5.1.2600] Versionsinformationen: BUILD.DAT : 217 12749 Bytes 05.12.2006 16:57:00 AVSCAN.EXE : 7.0.3.4 208936 Bytes 03.01.2007 19:54:32 AVSCAN.DLL : 7.0.3.0 35880 Bytes 03.01.2007 19:54:32 LUKE.DLL : 7.0.3.2 143400 Bytes 03.01.2007 19:54:32 LUKERES.DLL : 7.0.2.0 9256 Bytes 03.01.2007 19:54:32 ANTIVIR0.VDF : 6.35.0.1 7371264 Bytes 31.05.2006 10:21:48 ANTIVIR1.VDF : 6.36.1.24 2212864 Bytes 14.11.2006 19:54:32 ANTIVIR2.VDF : 6.37.0.89 783360 Bytes 31.12.2006 19:54:32 ANTIVIR3.VDF : 6.37.0.113 94720 Bytes 05.01.2007 20:40:58 AVEWIN32.DLL : 7.3.0.21 1999360 Bytes 03.01.2007 19:54:34 AVPREF.DLL : 7.0.2.0 23592 Bytes 03.01.2007 19:54:32 AVREP.DLL : 6.37.0.5 1007656 Bytes 03.01.2007 19:54:33 AVRPBASE.DLL : 7.0.0.0 2162728 Bytes 30.03.2006 08:43:10 AVPACK32.DLL : 7.2.0.5 368680 Bytes 10.11.2006 08:09:31 AVREG.DLL : 7.0.1.1 30760 Bytes 03.01.2007 19:54:32 NETNT.DLL : 6.32.0.0 6696 Bytes 27.09.2005 07:56:47 RCIMAGE.DLL : 7.0.1.3 2097192 Bytes 03.01.2007 19:54:29 RCTEXT.DLL : 7.0.12.0 77864 Bytes 03.01.2007 19:54:29 Konfiguration für den aktuellen Suchlauf: Job Name.........................: Lokale Laufwerke Konfigurationsdatei..............: C:\Programme\AntiVir PersonalEdition Classic\alldrives.avp Protokollierung..................: niedrig Primäre Aktion...................: interaktiv Sekundäre Aktion.................: ignorieren Durchsuche Masterbootsektoren....: aus Durchsuche Bootsektoren..........: ein Bootsektoren.....................: D:, Durchsuche Speicher..............: ein Durchsuche Laufende Programme....: ein Durchsuche Registrierung.........: ein Datei Suchmodus..................: Intelligente Dateiauswahl Durchsuche Archive...............: ein Rekursionstiefe einschränken.....: 20 Archiv Smart Extensions..........: ein Makrovirenheuristik..............: ein Dateiheuristik...................: mittel Erweiterte Sucheinstellungen.....: 0x00007000 Beginn des Suchlaufs: Sonntag, 07. Jänner 2007 17:20 Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'wuauclt.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'CalCheck.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'ctfmon.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'WINWORD.EXE' - '1' Module wurden durchsucht Durchsuche Prozess 'SOUNDMAN.EXE' - '1' Module wurden durchsucht Durchsuche Prozess 'fpassist.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'dragdiag.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'opwareSE2.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'wscntfy.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'explorer.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'alg.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'wdfmgr.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'nvsvc32.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'MDM.EXE' - '1' Module wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Module wurden durchsucht Es wurden '28' Prozesse mit '28' Modulen durchsucht Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [HINWEIS] Es wurde kein Virus gefunden! Bootsektor 'E:\' [HINWEIS] Im Laufwerk 'E:\' ist kein Datenträger eingelegt! Bootsektor 'F:\' [HINWEIS] Im Laufwerk 'F:\' ist kein Datenträger eingelegt! Bootsektor 'G:\' [HINWEIS] Im Laufwerk 'G:\' ist kein Datenträger eingelegt! Bootsektor 'H:\' [HINWEIS] Im Laufwerk 'H:\' ist kein Datenträger eingelegt! Bootsektor 'I:\' [HINWEIS] Im Laufwerk 'I:\' ist kein Datenträger eingelegt! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen. Die Registry wurde durchsucht ( 17 Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' <442457> C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\!KillBox\winlogon.exe [FUND] Ist das Trojanische Pferd TR/Patched.I [INFO] Die Datei wurde gelöscht. C:\Dokumente und Einstellungen\Mag Gerhard Peterlin\Eigene Dateien\backups\backup-20060911-181616-827.dll [FUND] Ist das Trojanische Pferd TR/Dldr.Zlob.DLL.3 [INFO] Die Datei wurde gelöscht. C:\Dokumente und Einstellungen\Mag Gerhard Peterlin\Eigene Dateien\backups\backup-20060911-181739-265.dll [FUND] Ist das Trojanische Pferd TR/Dldr.Zlob.DLL.3 [INFO] Die Datei wurde gelöscht. C:\Dokumente und Einstellungen\Mag Gerhard Peterlin\Eigene Dateien\backups\backup-20060911-185846-723.dll [FUND] Ist das Trojanische Pferd TR/Dldr.Zlob.DLL.3 [INFO] Die Datei wurde gelöscht. C:\Dokumente und Einstellungen\Mag Gerhard Peterlin\Eigene Dateien\Downloads\Downloads Notebook alt\uninstallers.zip [0] Archivtyp: ZIP --> illegal_adv_uninstaller1.exe [FUND] Ist das Trojanische Pferd TR/Dldr.Zlob.CI.1 [INFO] Die Datei wurde gelöscht. C:\Dokumente und Einstellungen\Mag Gerhard Peterlin\Eigene Dateien\Downloads\Downloads Notebook alt\uninstallers\illegal_adv_uninstaller1.exe [FUND] Ist das Trojanische Pferd TR/Dldr.Zlob.CI.1 [INFO] Die Datei wurde gelöscht. C:\Dokumente und Einstellungen\Mag Gerhard Peterlin\Lokale Einstellungen\Anwendungsdaten\a2aca18.exe [FUND] Ist das Trojanische Pferd TR/Dldr.Obfuscated.N.46 [INFO] Die Datei wurde gelöscht. C:\Dokumente und Einstellungen\Mag Gerhard Peterlin\Lokale Einstellungen\Anwendungsdaten\f028eaf9.exe [FUND] Ist das Trojanische Pferd TR/Dldr.Wusst [INFO] Die Datei wurde gelöscht. C:\Dokumente und Einstellungen\Mag Gerhard Peterlin\Lokale Einstellungen\Anwendungsdaten\fada5217.exe [FUND] Ist das Trojanische Pferd TR/Dldr.Small.dao [INFO] Die Datei wurde gelöscht. C:\Program Files\ryads.exe [FUND] Ist das Trojanische Pferd TR/StartPage.adi.7 [INFO] Die Datei wurde gelöscht. C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.dll [FUND] Ist das Trojanische Pferd TR/PSW.Sinowal.D.3 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '460e26f6.qua' verschoben! C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.exe [FUND] Ist das Trojanische Pferd TR/PSW.Sinowal.AQ.2 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '460e26fc.qua' verschoben! C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00002.dll [FUND] Ist das Trojanische Pferd TR/PSW.Sinowal.D.32 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '460e2700.qua' verschoben! C:\WINDOWS\system32\winlogon.$$$ [FUND] Ist das Trojanische Pferd TR/Patched.I [INFO] Die Datei wurde gelöscht. C:\WINDOWS\system32\wsys(2)(3).old [FUND] Ist das Trojanische Pferd TR/Dldr.Femad.BD [INFO] Die Datei wurde gelöscht. C:\WINDOWS\system32\wsys.old [FUND] Ist das Trojanische Pferd TR/Dldr.Femad.BD [INFO] Die Datei wurde gelöscht. Beginne mit der Suche in 'E:\' <C:\> Der zu durchsuchende Pfad E:\ konnte nicht gefunden werden! Das Gerät ist nicht bereit. Beginne mit der Suche in 'F:\' <E:\> Der zu durchsuchende Pfad F:\ konnte nicht gefunden werden! Das Gerät ist nicht bereit. Beginne mit der Suche in 'G:\' <F:\> Der zu durchsuchende Pfad G:\ konnte nicht gefunden werden! Das Gerät ist nicht bereit. Beginne mit der Suche in 'H:\' <G:\> Der zu durchsuchende Pfad H:\ konnte nicht gefunden werden! Das Gerät ist nicht bereit. Beginne mit der Suche in 'I:\' <H:\> Der zu durchsuchende Pfad I:\ konnte nicht gefunden werden! Das Gerät ist nicht bereit. Beginne mit der Suche in 'D:\' <I:\> Der zu durchsuchende Pfad D:\ konnte nicht gefunden werden! Das Gerät ist nicht bereit. Ende des Suchlaufs: Sonntag, 07. Jänner 2007 18:09 Benötigte Zeit: 48:22 min Der Suchlauf wurde vollständig durchgeführt. 5891 Verzeichnisse wurden überprüft 370835 Dateien wurden geprüft 16 Viren bzw. unerwünschte Programme wurden gefunden 13 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 3 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 1 Dateien konnten nicht durchsucht werden 370819 Dateien ohne Befall 7123 Archive wurden durchsucht 1 Warnungen 11 Hinweise |
|
|
||
08.01.2007, 11:13
Ehrenmitglied
Beiträge: 29434 |
#37
ja, was solls - so kann ich nicht arbeiten
wenn du die Scanreports vom Antivirus postest, ...ist ja alles schoen und gut, hilft mir aber nicht weiter. 1. Start > Ausfuehren --> reinschreiben --> cmd und ok. kopiere rein dir /s /a "c:\winlogon*.*" > c:\find.txt & start notepad c:\find.txt und poste alles, was im Texteditor erscheint 2. poste noch mal die 6 logs von datfindbat http://virus-protect.org/datfindbat.html 3. poste noch mal das log von combofix http://virus-protect.org/artikel/tools/combofix.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
ich fange mit 4 an ja - neuaufsetzen
3- steht alles im thread bei avira
2- logo ist es nach Neuaufsetzen besser - keine Frage Virenfrei !
1- nein , aber ich bin nicht gierig nach Fällen :-))
last not least werde ich den teufel tun einen 3 tagethread von 8 !!! Seiten
jetzt in diese forum zu tragen - NIEMALS!!
Warum tust Du es nicht ??? Neuaufsetzen !
Die Gründe kennst wohl nur Du
Machs gut - und tu´s mal endlich - bitte :-))
ist mein letzes Wort hierzu - Kein Drama
Rajo , der jetzt zum TV switcht