Entfernung der Spyware BraveSentry

#16 im grunde ist nichts mehr zu retten, die winlogon scheint verändert zu sein, man kann sie aber nicht löschen, da sie zu windows gehört....

Virus 'W32/Liger-A' found in file C:\WINDOWS\system32\winlogon.exe
Removal failed

Zitat

------ Sigcheck -------

2004-08-04 05:00 510464 62c9b901da3bfb29fda1d07b4d582da8 C:\WINDOWS\system32\winlogon.exe

md5deep: C:\WINDOWS\explorer.exe: error at offset 0: Permission denied

md5deep: C:\WINDOWS\system32\services.exe: error at offset 0: Permission denied

md5deep: C:\WINDOWS\system32\lsass.exe: error at offset 0: Permission denied

------------------


mal sehen....

««
Click Start > Ausführen> sigverif > OK
click OK and Start.
Der computer wird scannen alle Dateien auf ihre digital "Autograph" (Authentizitaet)

sigverif



poste, was erscheint (textdatei)
__________
MfG Sabina

rund um die PC-Sicherheit

#17 Hallo Sabina,

laut Log-File hat sich die winlogon.exe zuletzt am 04.08.2004 geändert (da stand der Rechner noch beim Händler ). Also nicht zum Zeitpunkt des Spy-Ware-Befalls. Ich hoffe dies ist ein gutes Zeichen!

Im Anhang das Log (.txt)

Grüße KMD

--------

edit (Sabina)

Zitat

winlogon.exe 04.08.2004 5.1.2600.2180 Nicht signiert Nicht zutreffend

services.exe 04.08.2004 5.1.2600.2180 Nicht signiert Nicht zutreffend

lsass.exe 04.08.2004 5.1.2600.2180 Nicht signiert Nicht zutreffend

explorer.exe 04.08.2004 6.0.2900.2180 Nicht signiert Nicht zutreffend

spoolsv.exe 04.08.2004 5.1.2600.2180 Nicht signiert Nicht zutreffend

#18 Hallo,

ob die Dateien 2004 überschrieben wurden - da bin ich mir nicht sicher.
Auf jeden Fall sind sie nicht von MS signiert, obwohl sie es als Bestandteil von Windows sein müssten.....

««
Start > Ausführen --> reinschreiben --> cmd
und ok klicken. kopiere rein

Zitat

dir /s /a "c:\winlogon*.*" > c:\find.txt & start notepad c:\find.txt

poste, was im Texteditor erscheint

Start > Ausführen --> reinschreiben --> cmd
und ok. kopiere rein

Zitat

dir /s /a "c:\explorer*.*" > c:\find.txt & start notepad c:\find.txt

poste, was im Texteditor erscheint

Start > Ausführen --> reinschreiben --> cmd
und ok. kopiere rein

Zitat

dir /s /a "c:\lsass*.*" > c:\find.txt & start notepad c:\find.txt

poste, was im Texteditor erscheint

Start > Ausführen --> reinschreiben --> cmd
und ok. kopiere rein

Zitat

dir /s /a "c:\spoolsv*.*" > c:\find.txt & start notepad c:\find.txt

poste, was im Texteditor erscheint
__________
MfG Sabina

rund um die PC-Sicherheit

#19 VINLOGON

Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 10C2-C101

Verzeichnis von c:\i386

04.08.2004 05:00 261.469 WINLOGON.EX_
1 Datei(en) 261.469 Bytes

Verzeichnis von c:\WINDOWS\system32

04.08.2004 05:00 510.464 winlogon.exe
1 Datei(en) 510.464 Bytes

Anzahl der angezeigten Dateien:
2 Datei(en) 771.933 Bytes
0 Verzeichnis(se), 88.700.866.560 Bytes frei



EXPLORER

Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 10C2-C101

Verzeichnis von c:\i386

04.08.2004 05:00 356.487 EXPLORER.EX_
04.08.2004 05:00 181 EXPLORER.SC_
2 Datei(en) 356.668 Bytes

Verzeichnis von c:\ruby\doc\ruby\ruby-1.8.6\sample\tk\tkextlib\treectrl

06.10.2007 01:49 13.951 explorer.rb
1 Datei(en) 13.951 Bytes

Verzeichnis von c:\ruby\src\ruby-1.8.6-p111\ext\tk\sample\tkextlib\treectrl

14.12.2007 16:33 13.951 explorer.rb
1 Datei(en) 13.951 Bytes

Verzeichnis von c:\WINDOWS

04.08.2004 05:00 1.037.824 explorer.exe
04.08.2004 05:00 80 explorer.scf
2 Datei(en) 1.037.904 Bytes

Verzeichnis von c:\WINDOWS\Prefetch

16.05.2008 13:38 72.852 EXPLORER.EXE-02121B1A.pf
16.05.2008 13:37 5.554 EXPLORER32.EXE-208974D1.pf
2 Datei(en) 78.406 Bytes

Anzahl der angezeigten Dateien:
8 Datei(en) 1.500.880 Bytes
0 Verzeichnis(se), 88.700.862.464 Bytes frei


LSASS

Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 10C2-C101

Verzeichnis von c:\i386

04.08.2004 05:00 9.350 LSASS.EX_
1 Datei(en) 9.350 Bytes

Verzeichnis von c:\WINDOWS\system32

04.08.2004 05:00 14.848 lsass.exe
1 Datei(en) 14.848 Bytes

Anzahl der angezeigten Dateien:
2 Datei(en) 24.198 Bytes
0 Verzeichnis(se), 88.700.858.368 Bytes frei



SPOOLSV

Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 10C2-C101

Verzeichnis von c:\i386

04.08.2004 05:00 21.954 SPOOLSV.EX_
1 Datei(en) 21.954 Bytes

Verzeichnis von c:\WINDOWS\system32

04.08.2004 05:00 58.880 spoolsv.exe
1 Datei(en) 58.880 Bytes

Anzahl der angezeigten Dateien:
2 Datei(en) 80.834 Bytes
0 Verzeichnis(se), 88.700.858.368 Bytes frei

#20 ««
lade die winlogon hoch, poste dann den report
sandbox.norman - Submit file http://www.norman.com/microsites/nsic/Submit/de

C:\WINDOWS\system32\winlogon.exe
__________
MfG Sabina

rund um die PC-Sicherheit

#21 Hallo Sabina,

irgend etwas stimmt da nicht.

Im Firefox pasiert nach dem klicken auf upload leider garnichts. weder bekomme ich eine Email noch bekomme ich von der Site ein Bestätigung das mein File upgeloaded wurde.

Im IE bekomme ich nach dem Klicken auf Upload die Fehlermeldung "die seite kann nicht angezeigt werden"

Hast du eine Lösung für mein Problem ?

#22 funktioniert das ?
Virustotal http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\eyzaulk.dll

Auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren mit Strg V) --> Klick auf die zu prüfende Datei und öffnen--> klick auf "Senden der Datei"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren
__________
MfG Sabina

rund um die PC-Sicherheit

#23 Hallo Sabina,

winlogon.exe, explorer.exe und weitere waren infiziert.
Die Infizierung hatte auch dazu geführt, dass ich keine Dateien auf
http://www.norman.com/microsites/nsic/Submit/de und http://www.virustotal.com/flash/index_en.html uploaden konnte. Leider blieb mir nichts anderes übrig, als XP nochmals drüber zu bügeln. Schade - habe dir und mir ne menge arbeit gemacht - leider um sonst. Trotzdem 1.000 Dank für deine kompetente Hilfe!

Grüße aus Bayern
KMD