Entfernung der Spyware BraveSentry |
||
---|---|---|
#0
| ||
21.05.2008, 14:19
Ehrenmitglied
Beiträge: 29434 |
||
|
||
26.05.2008, 10:07
Member
Themenstarter Beiträge: 12 |
#17
Hallo Sabina,
laut Log-File hat sich die winlogon.exe zuletzt am 04.08.2004 geändert (da stand der Rechner noch beim Händler ). Also nicht zum Zeitpunkt des Spy-Ware-Befalls. Ich hoffe dies ist ein gutes Zeichen! Im Anhang das Log (.txt) Grüße KMD -------- edit (Sabina) Zitat winlogon.exe 04.08.2004 5.1.2600.2180 Nicht signiert Nicht zutreffend Anhang: SIGVERIF.TXT
|
|
|
||
26.05.2008, 10:55
Ehrenmitglied
Beiträge: 29434 |
#18
Hallo,
ob die Dateien 2004 überschrieben wurden - da bin ich mir nicht sicher. Auf jeden Fall sind sie nicht von MS signiert, obwohl sie es als Bestandteil von Windows sein müssten..... «« Start > Ausführen --> reinschreiben --> cmd und ok klicken. kopiere rein Zitat dir /s /a "c:\winlogon*.*" > c:\find.txt & start notepad c:\find.txtposte, was im Texteditor erscheint Start > Ausführen --> reinschreiben --> cmd und ok. kopiere rein Zitat dir /s /a "c:\explorer*.*" > c:\find.txt & start notepad c:\find.txtposte, was im Texteditor erscheint Start > Ausführen --> reinschreiben --> cmd und ok. kopiere rein Zitat dir /s /a "c:\lsass*.*" > c:\find.txt & start notepad c:\find.txtposte, was im Texteditor erscheint Start > Ausführen --> reinschreiben --> cmd und ok. kopiere rein Zitat dir /s /a "c:\spoolsv*.*" > c:\find.txt & start notepad c:\find.txtposte, was im Texteditor erscheint __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
26.05.2008, 11:07
Member
Themenstarter Beiträge: 12 |
#19
VINLOGON
Datentr„ger in Laufwerk C: ist ACER Volumeseriennummer: 10C2-C101 Verzeichnis von c:\i386 04.08.2004 05:00 261.469 WINLOGON.EX_ 1 Datei(en) 261.469 Bytes Verzeichnis von c:\WINDOWS\system32 04.08.2004 05:00 510.464 winlogon.exe 1 Datei(en) 510.464 Bytes Anzahl der angezeigten Dateien: 2 Datei(en) 771.933 Bytes 0 Verzeichnis(se), 88.700.866.560 Bytes frei EXPLORER Datentr„ger in Laufwerk C: ist ACER Volumeseriennummer: 10C2-C101 Verzeichnis von c:\i386 04.08.2004 05:00 356.487 EXPLORER.EX_ 04.08.2004 05:00 181 EXPLORER.SC_ 2 Datei(en) 356.668 Bytes Verzeichnis von c:\ruby\doc\ruby\ruby-1.8.6\sample\tk\tkextlib\treectrl 06.10.2007 01:49 13.951 explorer.rb 1 Datei(en) 13.951 Bytes Verzeichnis von c:\ruby\src\ruby-1.8.6-p111\ext\tk\sample\tkextlib\treectrl 14.12.2007 16:33 13.951 explorer.rb 1 Datei(en) 13.951 Bytes Verzeichnis von c:\WINDOWS 04.08.2004 05:00 1.037.824 explorer.exe 04.08.2004 05:00 80 explorer.scf 2 Datei(en) 1.037.904 Bytes Verzeichnis von c:\WINDOWS\Prefetch 16.05.2008 13:38 72.852 EXPLORER.EXE-02121B1A.pf 16.05.2008 13:37 5.554 EXPLORER32.EXE-208974D1.pf 2 Datei(en) 78.406 Bytes Anzahl der angezeigten Dateien: 8 Datei(en) 1.500.880 Bytes 0 Verzeichnis(se), 88.700.862.464 Bytes frei LSASS Datentr„ger in Laufwerk C: ist ACER Volumeseriennummer: 10C2-C101 Verzeichnis von c:\i386 04.08.2004 05:00 9.350 LSASS.EX_ 1 Datei(en) 9.350 Bytes Verzeichnis von c:\WINDOWS\system32 04.08.2004 05:00 14.848 lsass.exe 1 Datei(en) 14.848 Bytes Anzahl der angezeigten Dateien: 2 Datei(en) 24.198 Bytes 0 Verzeichnis(se), 88.700.858.368 Bytes frei SPOOLSV Datentr„ger in Laufwerk C: ist ACER Volumeseriennummer: 10C2-C101 Verzeichnis von c:\i386 04.08.2004 05:00 21.954 SPOOLSV.EX_ 1 Datei(en) 21.954 Bytes Verzeichnis von c:\WINDOWS\system32 04.08.2004 05:00 58.880 spoolsv.exe 1 Datei(en) 58.880 Bytes Anzahl der angezeigten Dateien: 2 Datei(en) 80.834 Bytes 0 Verzeichnis(se), 88.700.858.368 Bytes frei |
|
|
||
26.05.2008, 11:14
Ehrenmitglied
Beiträge: 29434 |
#20
««
lade die winlogon hoch, poste dann den report sandbox.norman - Submit file http://www.norman.com/microsites/nsic/Submit/de C:\WINDOWS\system32\winlogon.exe __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
26.05.2008, 11:46
Member
Themenstarter Beiträge: 12 |
#21
Hallo Sabina,
irgend etwas stimmt da nicht. Im Firefox pasiert nach dem klicken auf upload leider garnichts. weder bekomme ich eine Email noch bekomme ich von der Site ein Bestätigung das mein File upgeloaded wurde. Im IE bekomme ich nach dem Klicken auf Upload die Fehlermeldung "die seite kann nicht angezeigt werden" Hast du eine Lösung für mein Problem ? |
|
|
||
26.05.2008, 12:55
Ehrenmitglied
Beiträge: 29434 |
#22
funktioniert das ?
Virustotal http://www.virustotal.com/flash/index_en.html C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\eyzaulk.dll Auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren mit Strg V) --> Klick auf die zu prüfende Datei und öffnen--> klick auf "Senden der Datei"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
30.05.2008, 10:25
Member
Themenstarter Beiträge: 12 |
#23
Hallo Sabina,
winlogon.exe, explorer.exe und weitere waren infiziert. Die Infizierung hatte auch dazu geführt, dass ich keine Dateien auf http://www.norman.com/microsites/nsic/Submit/de und http://www.virustotal.com/flash/index_en.html uploaden konnte. Leider blieb mir nichts anderes übrig, als XP nochmals drüber zu bügeln. Schade - habe dir und mir ne menge arbeit gemacht - leider um sonst. Trotzdem 1.000 Dank für deine kompetente Hilfe! Grüße aus Bayern KMD |
|
|
||
Virus 'W32/Liger-A' found in file C:\WINDOWS\system32\winlogon.exe
Removal failed
Zitat
------------------mal sehen....
««
Click Start > Ausführen> sigverif > OK
click OK and Start.
Der computer wird scannen alle Dateien auf ihre digital "Autograph" (Authentizitaet)
sigverif
poste, was erscheint (textdatei)
__________
MfG Sabina
rund um die PC-Sicherheit