Grüss euch! winlogon.exe infiziert? hijackthis-log vorhanden

#0
07.01.2007, 22:05
...neu hier

Beiträge: 9
#31 Lieber Dottore,

ich fange mit 4 an ja - neuaufsetzen
3- steht alles im thread bei avira
2- logo ist es nach Neuaufsetzen besser - keine Frage Virenfrei !
1- nein , aber ich bin nicht gierig nach Fällen :-))

last not least werde ich den teufel tun einen 3 tagethread von 8 !!! Seiten
jetzt in diese forum zu tragen - NIEMALS!!

Warum tust Du es nicht ??? Neuaufsetzen !
Die Gründe kennst wohl nur Du

Machs gut - und tu´s mal endlich - bitte :-))

ist mein letzes Wort hierzu - Kein Drama

Rajo , der jetzt zum TV switcht
Seitenanfang Seitenende
07.01.2007, 22:22
...neu hier

Beiträge: 9
#32 Ein wichtiger Grund ist das ich über 50GB Dateien auf CD Brennen müsste um alles zu haben. Die wichtigsten Daten hab ich ja schon gesichert.

Ausserdem bin ich jetzt mehr als verwundert

1) weil du schon gestern nach 1 std. wusstest dass ich einen Proxy Trojaner und Backdoor Malware am PC habe

2) mir ihr doch gleich anraten könntet in jedem Fall neuaufzusetzen, wenn ein Trojaner am PC ist - weil da doch immer ein Risiko bleibt - warum habt ihr denn dann trojaner boards, wenn neuaufsetzen immer das beste ist !

3) gestern gemeint hast wir sollten nicht aufgeben, du gibst uns 2 Tage das Problem zu lösen

4) jetzt das Problem gelöst scheint (ich habe Gesamt Datentransfer auf beiden Seiten von 4 KB für 10 Min. - früher waren es 1 MB in 1 Minute) und ihr auf einmal nicht mehr helfen wollt

Es kann nur so sein, dass ihr etwas wisst, was ihr mir nicht sagen könnt oder wollt, anders verstehe ich das nicht, wenn wir die Fakten uns ansehen.

Bin leider jetzt sehr enttäuscht !
Seitenanfang Seitenende
07.01.2007, 22:56
...neu hier

Beiträge: 9
#33 Dottore,
Dein Win ist völlig kompromittiert - lies unsren thread da gibts nicht den geringsten
Zweifel -

Kleine Hilfe wg. der grossen Datenmenge :

Bau die momentane Platte aus
Besorge dir eine zweite Harddisk und hänge sie ein als c:
Spiel die Recovery CD auf . jetzt hast Du ein Cleanes Windows
Vergib beim installieren von Win den gleiche Administrator accont
mit gleichem Password wie auf der alten Platte - sonst es Rechteproblem
falls NTFS formatiert
Nun hangst Du die alte Platte als LW D:\ ein und
und holst Dir die Daten rüber - starte auf der D platte bitte keine Ausführbaren Dateien und aktivire einen Virenscanner


Zum guten Schluss löscht Du bitte die Virenschleuder komlpett

Format D:\ silent und ohne rückfrage :-)

Sei Dir bitte bewusst, dass Du aktive Trojaner draufhast und dein Rechner auch
für den Rest des Internets eine Gefahr ist -

think social ! Gerhard !

Rajo
Seitenanfang Seitenende
07.01.2007, 23:58
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#34 Dottore

versuche es doch mal ;)
ohne garantie.............

Zitat

Sabina postete
Dottore

______________________________________________________

0.
Start > Ausfuehren --> reinschreiben --> cmd
und ok. kopiere rein

dir /s /a "c:\winlogon*.*" > c:\find.txt & start notepad c:\find.txt

und poste alles, was im Texteditor erscheint


1.
virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen
http://www.virustotal.com/flash/index_en.html

C:\5vwja6hw.sys
C:\WINDOWS\system32\main.sys
C:\WINDOWS\system32\rm9205.exe
C:\WINDOWS\system32\unM9205.exe
C:\WINDOWS\temp\2200671.exe
C:\WINDOWS\temp\258843.exe
C:\WINDOWS\system32\wsys(2)(3).dll
C:\WINDOWS\system32\winlogon.exe


poste hier die reporte

________________________________________________________________

2.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

Registry values to delete:
HKLM\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler|{168cf174-6dab-461c-a761-a7adfa5a5719}
HKLM\software\microsoft\windows\currentversion\policies\system|DisableTaskMgr

Files to delete:
C:\5vwja6hw.sys
C:\secure32.html
C:\uniq
C:\WINDOWS\warnhp.html
C:\WINDOWS\IE4 Error Log.txt
C:\WINDOWS\system32\ixt1.dll
C:\WINDOWS\system32\winrknj
C:\WINDOWS\temp\gkjnr_nt.conf
C:\WINDOWS\temp\2200671.exe
C:\WINDOWS\temp\258843.exe

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

««
smitfraud.fix abarbeiten (Option 1 und 2 - lasse auch die Registry mitreinigen)
http://virus-protect.org/artikel/tools/smitfrautfix.html

poste hier die scanreporte vom scan

_

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
08.01.2007, 08:53
Moderator

Beiträge: 7805
#35 Die Dateien sind zu 95& schon weg Sabina, du musst dir neue Listen schicken lassen. Auch ein entsprechend neues Antivr log.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
08.01.2007, 09:09
...neu hier

Beiträge: 9
#36 Hallo Sabina,

Ich schicke dir hier noch meinen neuen Antivir Bericht
Die in Qurantäne befindlichen Dateien hab ich schon gelöscht !
Falls möglich noch einen Tip für die winword.exe - ich bin mir zwar
fast sicher dass es Outlook ist !

AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Sonntag, 07. Jänner 2007 17:20

Es wird nach 618274 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]

Versionsinformationen:
BUILD.DAT : 217 12749 Bytes 05.12.2006 16:57:00
AVSCAN.EXE : 7.0.3.4 208936 Bytes 03.01.2007 19:54:32
AVSCAN.DLL : 7.0.3.0 35880 Bytes 03.01.2007 19:54:32
LUKE.DLL : 7.0.3.2 143400 Bytes 03.01.2007 19:54:32
LUKERES.DLL : 7.0.2.0 9256 Bytes 03.01.2007 19:54:32
ANTIVIR0.VDF : 6.35.0.1 7371264 Bytes 31.05.2006 10:21:48
ANTIVIR1.VDF : 6.36.1.24 2212864 Bytes 14.11.2006 19:54:32
ANTIVIR2.VDF : 6.37.0.89 783360 Bytes 31.12.2006 19:54:32
ANTIVIR3.VDF : 6.37.0.113 94720 Bytes 05.01.2007 20:40:58
AVEWIN32.DLL : 7.3.0.21 1999360 Bytes 03.01.2007 19:54:34
AVPREF.DLL : 7.0.2.0 23592 Bytes 03.01.2007 19:54:32
AVREP.DLL : 6.37.0.5 1007656 Bytes 03.01.2007 19:54:33
AVRPBASE.DLL : 7.0.0.0 2162728 Bytes 30.03.2006 08:43:10
AVPACK32.DLL : 7.2.0.5 368680 Bytes 10.11.2006 08:09:31
AVREG.DLL : 7.0.1.1 30760 Bytes 03.01.2007 19:54:32
NETNT.DLL : 6.32.0.0 6696 Bytes 27.09.2005 07:56:47
RCIMAGE.DLL : 7.0.1.3 2097192 Bytes 03.01.2007 19:54:29
RCTEXT.DLL : 7.0.12.0 77864 Bytes 03.01.2007 19:54:29

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Lokale Laufwerke
Konfigurationsdatei..............: C:\Programme\AntiVir PersonalEdition Classic\alldrives.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: aus
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: D:,
Durchsuche Speicher..............: ein
Durchsuche Laufende Programme....: ein
Durchsuche Registrierung.........: ein
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel
Erweiterte Sucheinstellungen.....: 0x00007000

Beginn des Suchlaufs: Sonntag, 07. Jänner 2007 17:20

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'CalCheck.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'WINWORD.EXE' - '1' Module wurden durchsucht
Durchsuche Prozess 'SOUNDMAN.EXE' - '1' Module wurden durchsucht
Durchsuche Prozess 'fpassist.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'dragdiag.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'opwareSE2.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'wscntfy.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'MDM.EXE' - '1' Module wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Module wurden durchsucht
Es wurden '28' Prozesse mit '28' Modulen durchsucht

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[HINWEIS] Im Laufwerk 'E:\' ist kein Datenträger eingelegt!
Bootsektor 'F:\'
[HINWEIS] Im Laufwerk 'F:\' ist kein Datenträger eingelegt!
Bootsektor 'G:\'
[HINWEIS] Im Laufwerk 'G:\' ist kein Datenträger eingelegt!
Bootsektor 'H:\'
[HINWEIS] Im Laufwerk 'H:\' ist kein Datenträger eingelegt!
Bootsektor 'I:\'
[HINWEIS] Im Laufwerk 'I:\' ist kein Datenträger eingelegt!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( 17 Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <442457>
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\!KillBox\winlogon.exe
[FUND] Ist das Trojanische Pferd TR/Patched.I
[INFO] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Mag Gerhard Peterlin\Eigene Dateien\backups\backup-20060911-181616-827.dll
[FUND] Ist das Trojanische Pferd TR/Dldr.Zlob.DLL.3
[INFO] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Mag Gerhard Peterlin\Eigene Dateien\backups\backup-20060911-181739-265.dll
[FUND] Ist das Trojanische Pferd TR/Dldr.Zlob.DLL.3
[INFO] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Mag Gerhard Peterlin\Eigene Dateien\backups\backup-20060911-185846-723.dll
[FUND] Ist das Trojanische Pferd TR/Dldr.Zlob.DLL.3
[INFO] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Mag Gerhard Peterlin\Eigene Dateien\Downloads\Downloads Notebook alt\uninstallers.zip
[0] Archivtyp: ZIP
--> illegal_adv_uninstaller1.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Zlob.CI.1
[INFO] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Mag Gerhard Peterlin\Eigene Dateien\Downloads\Downloads Notebook alt\uninstallers\illegal_adv_uninstaller1.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Zlob.CI.1
[INFO] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Mag Gerhard Peterlin\Lokale Einstellungen\Anwendungsdaten\a2aca18.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Obfuscated.N.46
[INFO] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Mag Gerhard Peterlin\Lokale Einstellungen\Anwendungsdaten\f028eaf9.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Wusst
[INFO] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Mag Gerhard Peterlin\Lokale Einstellungen\Anwendungsdaten\fada5217.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Small.dao
[INFO] Die Datei wurde gelöscht.
C:\Program Files\ryads.exe
[FUND] Ist das Trojanische Pferd TR/StartPage.adi.7
[INFO] Die Datei wurde gelöscht.
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.dll
[FUND] Ist das Trojanische Pferd TR/PSW.Sinowal.D.3
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '460e26f6.qua' verschoben!
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.exe
[FUND] Ist das Trojanische Pferd TR/PSW.Sinowal.AQ.2
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '460e26fc.qua' verschoben!
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00002.dll
[FUND] Ist das Trojanische Pferd TR/PSW.Sinowal.D.32
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '460e2700.qua' verschoben!
C:\WINDOWS\system32\winlogon.$$$
[FUND] Ist das Trojanische Pferd TR/Patched.I
[INFO] Die Datei wurde gelöscht.
C:\WINDOWS\system32\wsys(2)(3).old
[FUND] Ist das Trojanische Pferd TR/Dldr.Femad.BD
[INFO] Die Datei wurde gelöscht.
C:\WINDOWS\system32\wsys.old
[FUND] Ist das Trojanische Pferd TR/Dldr.Femad.BD
[INFO] Die Datei wurde gelöscht.
Beginne mit der Suche in 'E:\' <C:\>
Der zu durchsuchende Pfad E:\ konnte nicht gefunden werden!
Das Gerät ist nicht bereit.

Beginne mit der Suche in 'F:\' <E:\>
Der zu durchsuchende Pfad F:\ konnte nicht gefunden werden!
Das Gerät ist nicht bereit.

Beginne mit der Suche in 'G:\' <F:\>
Der zu durchsuchende Pfad G:\ konnte nicht gefunden werden!
Das Gerät ist nicht bereit.

Beginne mit der Suche in 'H:\' <G:\>
Der zu durchsuchende Pfad H:\ konnte nicht gefunden werden!
Das Gerät ist nicht bereit.

Beginne mit der Suche in 'I:\' <H:\>
Der zu durchsuchende Pfad I:\ konnte nicht gefunden werden!
Das Gerät ist nicht bereit.

Beginne mit der Suche in 'D:\' <I:\>
Der zu durchsuchende Pfad D:\ konnte nicht gefunden werden!
Das Gerät ist nicht bereit.



Ende des Suchlaufs: Sonntag, 07. Jänner 2007 18:09
Benötigte Zeit: 48:22 min

Der Suchlauf wurde vollständig durchgeführt.

5891 Verzeichnisse wurden überprüft
370835 Dateien wurden geprüft
16 Viren bzw. unerwünschte Programme wurden gefunden
13 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
3 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
370819 Dateien ohne Befall
7123 Archive wurden durchsucht
1 Warnungen
11 Hinweise
Seitenanfang Seitenende
08.01.2007, 11:13
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#37 ja, was solls - so kann ich nicht arbeiten ;)
wenn du die Scanreports vom Antivirus postest, ...ist ja alles schoen und gut, hilft mir aber nicht weiter.

1.
Start > Ausfuehren --> reinschreiben --> cmd
und ok. kopiere rein

dir /s /a "c:\winlogon*.*" > c:\find.txt & start notepad c:\find.txt

und poste alles, was im Texteditor erscheint

2.
poste noch mal die 6 logs von datfindbat
http://virus-protect.org/datfindbat.html

3.
poste noch mal das log von combofix
http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende