system32\winlogon.exe und wsys.dll Trojaner?

#1 Hijackthis-Logfiles

Logfile of HijackThis v1.99.1
Scan saved at 00:03:44, on 16.01.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Softwin\BitDefender8\bdmcon.exe
C:\Programme\Softwin\BitDefender8\bdnagent.exe
C:\WINDOWS\twain_32\A4S2_600\watch.exe
C:\MSCAN\Msoffice\panel.exe
C:\Programme\ArcorOnline\Arcor.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\Username\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis[1].zip\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = www.gmx.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.gmx.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.gmx.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.gmx.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.gmx.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
R3 - URLSearchHook: (no name) - {7FE63A0C-A09F-5315-2094-0E98BF8DE5FE} - clamav.dll (file missing)
O1 - Hosts: localhost 127.0.0.1
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [dmfcw.exe] C:\WINDOWS\system32\dmfcw.exe
O4 - HKLM\..\Run: [BDMCon] "C:\Programme\Softwin\BitDefender8\bdmcon.exe"
O4 - HKLM\..\Run: [BDNewsAgent] "C:\Programme\Softwin\BitDefender8\bdnagent.exe"
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1
O4 - Startup: Watch.lnk = C:\WINDOWS\twain_32\A4S2_600\watch.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Bild in &Microsoft PhotoDraw öffnen - res://C:\PROGRA~1\MICROS~2\Office\1031\phdintl.dll/phdContext.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1141977965828
O17 - HKLM\System\CCS\Services\Tcpip\..\{37F1A881-4ABB-4B9A-9193-206AEE2D5B6D}: NameServer = 85.255.114.101,85.255.112.73
O17 - HKLM\System\CCS\Services\Tcpip\..\{B532FF20-2087-482C-B817-481BB82AB973}: NameServer = 195.50.140.178 195.50.140.114
O17 - HKLM\System\CS1\Services\Tcpip\..\{37F1A881-4ABB-4B9A-9193-206AEE2D5B6D}: NameServer = 85.255.114.101,85.255.112.73
O17 - HKLM\System\CS2\Services\Tcpip\..\{37F1A881-4ABB-4B9A-9193-206AEE2D5B6D}: NameServer = 85.255.114.101,85.255.112.73
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)



Logfiles mittels datfind.bat [/u]

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 68D2-CAA5

Verzeichnis von C:\WINDOWS\system32

15.01.2007 22:17 36.864 main.sys
15.01.2007 22:13 31.744 wsys.dll
09.01.2007 15:19 507.392 winlogon.exe
07.01.2007 13:17 13.646 wpa.dbl
02.01.2007 19:51 63.778 perfc007.dat
02.01.2007 19:51 380.486 perfh009.dat
02.01.2007 19:51 391.330 perfh007.dat
02.01.2007 19:51 52.900 perfc009.dat
02.01.2007 19:51 896.432 PerfStringBackup.INI
28.12.2006 22:40 41.227 x_dtrace_log

1871 Datei(en) 347.116.472 Bytes
0 Verzeichnis(se), 45.234.159.616 Bytes frei


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 68D2-CAA5

Verzeichnis von C:\DOKUME~1\Username\LOKALE~1\Temp

16.01.2007 00:01 16.384 ~DF23F6.tmp
15.01.2007 23:15 16.384 ~DF469A.tmp
15.01.2007 22:16 16.384 ~DFFA13.tmp
3 Datei(en) 49.152 Bytes
0 Verzeichnis(se), 45.234.196.480 Bytes frei

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 68D2-CAA5

Verzeichnis von C:\WINDOWS

15.01.2007 23:27 626.114 setupapi.log
15.01.2007 23:15 0 Mailmark.ini
15.01.2007 23:15 52 watch.ini
15.01.2007 23:02 1.672.180 WindowsUpdate.log
15.01.2007 22:57 14.564 WGA.log
15.01.2007 22:52 121.743 comsetup.log
15.01.2007 22:52 74.482 ntdtcsetup.log
15.01.2007 22:52 1.917 imsins.log
15.01.2007 22:52 49.513 iis6.log
15.01.2007 22:52 136.522 tsoc.log
15.01.2007 22:52 19.439 ocmsn.log
15.01.2007 22:52 17.560 msgsocm.log
15.01.2007 22:52 190.916 ocgen.log
15.01.2007 22:52 325.985 FaxSetup.log
15.01.2007 22:25 932 win.ini
15.01.2007 22:15 159 wiadebug.log
15.01.2007 22:15 50 wiaservc.log
15.01.2007 22:14 0 0.log
15.01.2007 22:14 2.048 bootstat.dat
15.01.2007 20:20 32.576 SchedLgU.Txt
09.01.2007 15:18 72.488 wmsetup.log
08.01.2007 13:49 135 NeroDigital.ini
03.01.2007 15:01 1.152 mozver.dat
02.01.2007 19:54 1.891 imsins.BAK
02.01.2007 14:48 0 nsreg.dat
17.12.2006 17:24 344 nsw.log
03.12.2006 18:30 6.537 mgxoschk.ini

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 68D2-CAA5

Verzeichnis von C:\WINDOWS\TEMP

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 68D2-CAA5

Verzeichnis von C:\WINDOWS\Downloaded Program Files

08.08.2006 11:45 576 kavwebscan.inf
27.08.2005 13:30 5.065 swflash.inf
26.05.2005 04:19 291 wuweb.inf
21.05.2005 18:15 65 desktop.ini
20.01.2000 14:25 1.162 Microsoft XML Parser for Java.osd
5 Datei(en) 7.159 Bytes
0 Verzeichnis(se), 45.234.135.040 Bytes frei

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 68D2-CAA5

Verzeichnis von C:\

16.01.2007 00:13 0 sys.txt
16.01.2007 00:13 515 down.txt
16.01.2007 00:13 117 tmp.txt
16.01.2007 00:11 7.689 system.txt
16.01.2007 00:10 393 systemtemp.txt
16.01.2007 00:08 91.318 system32.txt
15.01.2007 22:13 535.678.976 hiberfil.sys
15.01.2007 22:13 805.306.368 pagefile.sys

19 Datei(en) 1.341.552.960 Bytes
0 Verzeichnis(se), 45.234.118.656 Bytes frei

MEIN PROBLEM
Antivir "moniert"bei mir ständig system32\winlogon.exe sei das Trojanische Pferd TR/Patched.I

Kaspersky hat bei mir folgende zwei verdächtige Dateien festgestellt:

C:\WINDOWS\system32\winlogon.exe
Infizierte Objekte: Trojan.Win32.Patched.i übersprungen

C:\WINDOWS\system32\wsys.dll
Infizierte Objekte: Trojan-Downloader.Win32.Femad.bd übersprungen

Wer kann mir weiterhelfen, wie kann ich als Nicht-Experte (bitte daher um genaue Anweisung für Laien ;-)) das Problem beheben?

#2 1.
Start > Ausfuehren --> reinschreiben --> cmd
und ok. kopiere rein

dir /s /a "c:\winlogon*.*" > c:\find.txt & start notepad c:\find.txt

und poste alles, was im Texteditor erscheint

__________

2.
scanne und poste hier den scanreport
http://virus-protect.org/artikel/tools/fixwareout.html
__________
MfG Sabina

rund um die PC-Sicherheit

#3 1.

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 68D2-CAA5

Verzeichnis von c:\WINDOWS\system32

09.01.2007 15:19 507.392 winlogon.exe
1 Datei(en) 507.392 Bytes

Verzeichnis von c:\WINDOWS\system32\dllcache

04.08.2004 13:00 507.392 winlogon.exe
1 Datei(en) 507.392 Bytes

Anzahl der angezeigten Dateien:
2 Datei(en) 1.014.784 Bytes
0 Verzeichnis(se), 45.248.634.880 Bytes frei


2.

Fixwareout
Last edited 1/14/2006
Post this report in the forums please
...
Prerun check
»»»»» HKLM run and Winlogon System values
C:\WINDOWS\system32\dmfcw.exe will be moved to C:\WINDOWS\temp\dmfcw.ren at reboot.
C:\WINDOWS\system32\csoeq.exe will be moved to C:\WINDOWS\temp\csoeq.ren at reboot.
»»»»» System restarted
...
Reg Entries that were deleted
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\xedocne
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\repiwoh
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\23plhps
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\mgcppp
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\tesvaf
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\32refaselif
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\wcfmd
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\xedocne
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\gib_ogol
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\repiwoh
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\llun
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\23plhps
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\mgcppp
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\tesvaf
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\32refaselif
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion "pid"
...
Random Runs removed from HKLM
"dmfcw.exe"=-
...

PLEASE NOTE, There WILL be LEGITIMATE FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.

»»»»» Searching by size/names...

»»»»»
Search five digit cs, dm kd and jb files.
This WILL/CAN also list Legit Files, Submit them at Virustotal

Other suspects.

»»»»» Misc files.

»»»»» Checking for older varients covered by the Rem3 tool.

»»»»» Postrun check
»»»»» HKLM run
»»»»» Winlogon System value
"system"=""
»»»»»

#4 julchen

der Rechner ist schwer verseucht - die Internetverbindung wird auf einen Server in die Ukraine umgeleitet - nicht zu deinem Provider ...schwer das zu reinigen.
versuche es, wenn es nicht klappt, musst du formatieren.

1.
öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked"

Zitat

R3 - URLSearchHook: (no name) - {7FE63A0C-A09F-5315-2094-0E98BF8DE5FE} - clamav.dll (file missing)

O1 - Hosts: localhost 127.0.0.1
O1 - Hosts: localhost 127.0.0.1

O4 - HKLM\..\Run: [dmfcw.exe] C:\WINDOWS\system32\dmfcw.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{37F1A881-4ABB-4B9A-9193-206AEE2D5B6D}: NameServer = 85.255.114.101,85.255.112.73
O17 - HKLM\System\CCS\Services\Tcpip\..\{B532FF20-2087-482C-B817-481BB82AB973}: NameServer = 195.50.140.178 195.50.140.114
O17 - HKLM\System\CS1\Services\Tcpip\..\{37F1A881-4ABB-4B9A-9193-206AEE2D5B6D}: NameServer = 85.255.114.101,85.255.112.73
O17 - HKLM\System\CS2\Services\Tcpip\..\{37F1A881-4ABB-4B9A-9193-206AEE2D5B6D}: NameServer = 85.255.114.101,85.255.112.73

2.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

Registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices|windll
HKLM\software\microsoft\windows\currentversion\run|windll

Files to delete:
C:\WINDOWS\temp\dmfcw.ren
C:\WINDOWS\temp\csoeq.ren
C:\WINDOWS\system32\main.sys
C:\WINDOWS\system32\wsys.dll

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

3.
Start > Ausführen --> reinschreiben: cmd
und ok. kopiere rein

Zitat

expand c:\WINDOWS\system32\dllcache\winlogon.exe c:\windows\system32\winlogon.exe

mit Yes bestaetigen, dass die winlogon.exe expandiert wird.

4.
Hoster.zip
http://www.funkytoad.com/download/hoster.zip
Press 'Restore Microstoft's Hosts File' and press 'OK'
Exit Program.

5.
poste dieses log
http://virus-protect.org/artikel/tools/combofix.html

6.
http://virus-protect.org/artikel/tools/gmer.html
nutze Gmer Starte es und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit nein beantworten, auf den Reiter rootkit gehen, wiederum die Frage mit nein beantworten und mit Hilfe von copy den Bericht hier einfuegen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. ist dieser Beendet, wähle Copy und füge den Bericht ein.

7.
poste das neue log vom Hijackthis
__________
MfG Sabina

rund um die PC-Sicherheit

#5 5.


"Username" - 07-01-16 18:02:32 Service Pack 2
ComboFix 07-01-16.2 - Running from: "C:\Programme\Mozilla Firefox"

(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\INSTALL.LOG


((((((((((((((((((((((((((((((( Files Created from 2006-12-16 to 2007-01-16 ))))))))))))))))))))))))))))))))))


2007-01-16 17:55 <DIR> d-------- C:\avenger
2007-01-16 07:12 <DIR> d-------- C:\fixwareout
2007-01-15 23:27 <DIR> d-------- C:\WINDOWS\system32\Kaspersky Lab
2007-01-02 14:48 <DIR> d-------- C:\Programme\Mozilla Firefox
2006-12-19 18:49 <DIR> d-------- C:\Programme\gs
2006-12-19 18:40 <DIR> d-------- C:\Programme\WordToPDF
2006-12-17 18:46 <DIR> d-------- C:\Programme\ArcorOnline


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2007-01-10 17:53 -------- d-------- C:\DOKUME~1\USER~1\Anwendungsdaten\adobeum
2007-01-09 15:19 507392 --------- C:\WINDOWS\system32\winlogon.exe
2007-01-03 16:16 -------- d-------- C:\Programme\antivir personaledition classic
2007-01-02 19:50 -------- d-------- C:\Programme\windows nt
2007-01-02 14:48 -------- d-------- C:\DOKUME~1\USER~1\Anwendungsdaten\mozilla
2006-12-27 15:43 34304 --a------ C:\WINDOWS\system32\drivers\avgntdd.sys
2006-12-27 15:43 14848 --a------ C:\WINDOWS\system32\drivers\avgntmgr.sys
2006-12-19 18:31 -------- d-------- C:\Programme\Gemeinsame Dateien\installshield
2006-12-17 18:12 -------- d-------- C:\Programme\online-dienste
2006-12-06 22:41 -------- d--h----- C:\Programme\installshield installation information
2006-12-04 19:42 -------- d-------- C:\Programme\aldi sued foto service


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries & legit default entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"updateMgr"="\"C:\\Programme\\Adobe\\Acrobat 7.0\\Reader\\AdobeUpdateManager.exe\" AcRdB7_0_8 -reboot 1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"Arcor Online"=""
"BDMCon"="\"C:\\Programme\\Softwin\\BitDefender8\\bdmcon.exe\""
"BDNewsAgent"="\"C:\\Programme\\Softwin\\BitDefender8\\bdnagent.exe\""

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"NoChange"="1"
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Arcor Online]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"=""
"hkey"="HKLM"
"command"=""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATIPTA]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="atiptaxx"
"hkey"="HKLM"
"command"="C:\\Programme\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="avgnt"
"hkey"="HKLM"
"command"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BoundRec]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="msag"
"hkey"="HKCU"
"command"="msag.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Cmaudio]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="RunDll32 cmicnfg"
"hkey"="HKLM"
"command"="RunDll32 cmicnfg.cpl,CMICtrlWnd"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\mouseElf]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="GNETMOUS"
"hkey"="HKLM"
"command"="C:\\PROGRA~1\\SCROLL~1\\GNETMOUS.EXE"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="msmsgs"
"hkey"="HKCU"
"command"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PasswdMon]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="forces_elite"
"hkey"="HKCU"
"command"="forces_elite.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\sysmon12]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Serviceprocess"
"hkey"="HKLM"
"command"="Serviceprocess.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="realsched"
"hkey"="HKLM"
"command"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Trayz]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="dialer423"
"hkey"="HKCU"
"command"="dialer423.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UnSpyPC]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="UnSpyPC"
"hkey"="HKCU"
"command"="\"C:\\Programme\\UnSpyPC\\UnSpyPC.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\zxc]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="SpyElim"
"hkey"="HKLM"
"command"="SpyElim.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"


[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
HTTPFilter REG_MULTI_SZ HTTPFilter\0\0
LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0
NetworkService REG_MULTI_SZ DnsCache\0\0
DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0
rpcss REG_MULTI_SZ RpcSs\0\0
imgsvc REG_MULTI_SZ StiSvc\0\0
termsvcs REG_MULTI_SZ TermService\0\0


Completion time: 07-01-16 18:03:56

7.



Logfile of HijackThis v1.99.1
Scan saved at 18:17:34, on 16.01.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Softwin\BitDefender8\bdmcon.exe
C:\Programme\Softwin\BitDefender8\bdnagent.exe
C:\WINDOWS\twain_32\A4S2_600\watch.exe
C:\MSCAN\Msoffice\panel.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\ArcorOnline\Arcor.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\Username\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [BDMCon] "C:\Programme\Softwin\BitDefender8\bdmcon.exe"
O4 - HKLM\..\Run: [BDNewsAgent] "C:\Programme\Softwin\BitDefender8\bdnagent.exe"
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1
O4 - Startup: Watch.lnk = C:\WINDOWS\twain_32\A4S2_600\watch.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Bild in &Microsoft PhotoDraw öffnen - res://C:\PROGRA~1\MICROS~2\Office\1031\phdintl.dll/phdContext.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1141977965828
O17 - HKLM\System\CCS\Services\Tcpip\..\{B532FF20-2087-482C-B817-481BB82AB973}: NameServer = 195.50.140.178 195.50.140.114
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

Anmerkung:
Das hat jetzt nur teilweise funktioniert.
Bei Schritt 1 habe ich

O1 - Hosts: localhost 127.0.0.1
O1 - Hosts: localhost 127.0.0.1

O4 - HKLM\..\Run: [dmfcw.exe] C:\WINDOWS\system32\dmfcw.exe
nicht mehr gefunden.

Und Schritt 6 GMER hat nicht funktioniert - da hat es weder vor noch nach dem Scan nur ein leeres Fenster angezeigt. Deshalb hab ich auch keinen Bericht.

Julchen

#6 0.
scanne noch mal mit Kaspersky Lab und berichte, ob die winlogon.exe noch als Virus erkannt wird, oder ob es nun eine saubere Datei ist

1.
Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten.
in: "Enter search strings" (reinschreiben oder reinkopieren)

UnSpyPC

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

2.
kopiere in den Avenger

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\UnSpyPC
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\UnSpyPC
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\zxc
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UnSpyPC
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Trayz
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\sysmon12
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PasswdMon
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BoundRec

Files to delete:
C:\WINDOWS\system32\rdt.ini
C:\WINDOWS\system32\balloon.wav

Folders to delete:
C:\Programme\UnSpyPC

3.
poste das log vom Revealer
RootkitRevealer
http://www.sysinternals.com/Utilities/RootkitRevealer.html
__________
MfG Sabina

rund um die PC-Sicherheit