| |
| |||||||
Log-Analyse und Auswertung: kann das mal wer überprüfen, bitte? winlogin.exe??Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
16.02.2005, 10:11
| #1 |
| |  kann das mal wer überprüfen, bitte? winlogin.exe?? hatte wohl winlogin drauf, konnte ich das einfach per HijackThis fixen?? oder muss ich jetzt doch neu installieren? im folgenden mein logfile, vielen dank für Eure mühe! Logfile of HijackThis v1.99.0 Scan saved at 09:57:58, on 16.02.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\System32\khooker.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\WINDOWS\System32\pctspk.exe C:\WINDOWS\System32\navupdaters.exe C:\WINDOWS\sssasasb32.exe C:\WINDOWS\System32\npfw32.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\PowerDVD\PDVDServ.exe C:\WINDOWS\System32\ctfmon.exe C:\Dokumente und Einstellungen\Judith\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis199.zip\HijackThis.exe C:\WINDOWS\System32\wuauclt.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\System32\khooker.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [NAV Auto Updates] navupdaters.exe O4 - HKLM\..\Run: [sssasasb32] C:\WINDOWS\sssasasb32.exe O4 - HKLM\..\Run: [MsnExplorer] C:\WINDOWS\shch.exe /i O4 - HKLM\..\Run: [Norton Personal Firewall] npfw32.exe O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [RemoteControl] C:\Programme\PowerDVD\PDVDServ.exe O4 - HKLM\..\RunServices: [NAV Auto Updates] navupdaters.exe O4 - HKLM\..\RunServices: [Norton Personal Firewall] npfw32.exe O4 - HKCU\..\Run: [CTFMON.E |
|
16.02.2005, 11:43
| #2 |
 | kann das mal wer überprüfen, bitte? winlogin.exe?? Hi Juttle,
__________________Dein Logfile ist zwar nicht komplett, aber es reicht schon Dir zu raten, eine Neuinstallation mit "format C:" durchzuführen. Halte Dich bitte an diese Anleitung: http://www.trojaner-board.de/showthread.php?t=12154 dartus |
|
16.02.2005, 22:43
| #3 |
| | hier nochmal das logfile ich glaube, das war schon komplett...
__________________ist es unbedingt nötig, nochmal zu formatieren? vielen dank! Logfile of HijackThis v1.99.0 Scan saved at 22:38:19, on 16.02.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\System32\khooker.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\WINDOWS\System32\pctspk.exe C:\WINDOWS\System32\navupdaters.exe C:\WINDOWS\sssasasb32.exe C:\Programme\WEBDE\SmartSurfer2.31\SmartSurfer.exe C:\WINDOWS\System32\npfw32.exe C:\Programme\PowerDVD\PDVDServ.exe C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\System32\wuauclt.exe C:\PROGRA~1\MOZILL~1\FIREFOX.EXE C:\Dokumente und Einstellungen\Judith\Lokale Einstellungen\Temp\Temporäres Verzeichnis 3 für hijackthis199.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\System32\khooker.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [NAV Auto Updates] navupdaters.exe O4 - HKLM\..\Run: [sssasasb32] C:\WINDOWS\sssasasb32.exe O4 - HKLM\..\Run: [MsnExplorer] C:\WINDOWS\shch.exe /i O4 - HKLM\..\Run: [Norton Personal Firewall] npfw32.exe O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [RemoteControl] C:\Programme\PowerDVD\PDVDServ.exe O4 - HKLM\..\RunServices: [NAV Auto Updates] navupdaters.exe O4 - HKLM\..\RunServices: [Norton Personal Firewall] npfw32.exe O4 - HKLM\..\RunOnce: [SpybotSnD] "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [NAV Auto Updates] navupdaters.exe O4 - HKCU\..\Run: [Norton Personal Firewall] npfw32.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O17 - HKLM\System\CCS\Services\Tcpip\..\{49E57ECD-0D20-4D6B-B8FF-211E21434E31}: NameServer = 62.134.11.4 195.182.110.132 O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe |
|
16.02.2005, 22:59
| #4 |
| | kann das mal wer überprüfen, bitte? winlogin.exe?? Hi Juttle, auf jeden Fall! Das sind nur z.B. 2 backdoors, die am laufen sind: http://www.sophos.com/virusinfo/analyses/w32rbotuq.html = npfw32.exe http://www.sophos.com/virusinfo/analyses/w32rbotun.html = navupdaters.exe Lies dies mal: http://oschad.de/wiki/index.php/Kompromittierung dartus |
|
| Themen zu kann das mal wer überprüfen, bitte? winlogin.exe?? |
| .exe, acrobat, adobe, bho, dateien, einstellungen, explorer, firewall, folge, hijack, hijackthis, ics, internet, internet explorer, logfile, microsoft, neu, neu installieren, programme, software, start, system, system32, temp, updates, vielen dank, windows, windows xp |
Linear-Darstellung
