ich weiss net wie ich den virus winlogon.exe löschen kann,da er sich weder mit meinem virus Programm Gdata- antiviruskit und manuell lässt er sich auch nicht löschen bitte helfen dann im voraus

In welcher Datei befindet sich den winlogon.exe.
Winlogon.exe kann ein ganz normaler Windowsprozess sein, allerdings gibt es auch mehrere unterschiedliche Schädlinge, die sich so nennen.
Am besten, du postest zunächst ein Hijackthis-Logfile .

Logfile of HijackThis v1.99.1
Scan saved at 16:35:41, on 02.08.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\G DATA AntiVirenKit präsentiert von AOL\AVKService.exe
C:\Programme\G DATA AntiVirenKit präsentiert von AOL\AVKWCtl.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\progra~1\valve\steam\steam.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\AOL 9.0\waol.exe
C:\Programme\AOL 9.0\shellmon.exe
C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
C:\WINDOWS\system\SVCHOST.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\PSGuard\PSGuard.exe
C:\Dokumente und Einstellungen\Benni\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Related Page - {9A9C9B69-F908-4AAB-8D0C-10EA8997F37E} - C:\WINDOWS\System32\WinNB57.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: Related Page - {9A9C9B68-F908-4AAB-8D0C-10EA8997F37E} - C:\WINDOWS\System32\WinNB57.dll
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PSGuard spyware remover] C:\Programme\PSGuard\PSGuard.exe
O4 - HKCU\..\Run: [Steam] "c:\progra~1\valve\steam\steam.exe" -silent
O4 - HKCU\..\Run: [AVKBar] "C:\Programme\G DATA AntiVirenKit präsentiert von AOL\AVKBar.exe"
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2.dll
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: AVK Service (AVKService) - Unknown owner - C:\Programme\G DATA AntiVirenKit präsentiert von AOL\AVKService.exe
O23 - Service: G DATA AntiVirenKit Wächter (AVKWCtl) - Unknown owner - C:\Programme\G DATA AntiVirenKit präsentiert von AOL\AVKWCtl.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe




winlogon is in widows\system32\winlogon.exe

Die winlogon.exe liegt im richtigen Ordner, sollte also sauber sein.Wie kommst du denn darauf, das die infiziert ist?
Bevor wir weitermachen, scanne folgende Dateien:

C:\WINDOWS\system\SVCHOST.EXE
C:\WINDOWS\System32\WinNB57.dll

hier:

http://virusscan.jotti.org/de/

Teile uns die Ergebnisse mit.

Datei svchost:
Status:EVENTUELL INFIZIERT/MALWARE (Es ist verdächtig, dass die Sandbox-Emulation lange dauerte und/oder die Datei gepackt war. Normalerweise sind Programme nicht gepackt und zwingen die Sandbox nicht zu einer langwierigen Emulation. Beachten Sie, dass kein Scanner eine Warnung gegeben hat, d.h. die Datei kann sehr wohl harmlos sein. Wir raten allerdings zur Vorsicht.)


Datei: WinNB57.dll
Status: INFIZIERT/MALWARE (Anmerkung: Es wurde nur nicht-destruktive Malware gefunden. Obwohl diese Art von Malware lästig sein kann, werden die Ergebnisse nicht in der Datenbank gespeichert.)


also mein virus programm sagt: virenverdacht.das hat er vor 2tage noch net gesagt
und seit dem laggt mein rechner und braucht sehr lange um progreamme auszuführen

Was haben denn die einzelnen Scanner denn genau gefunden?
Das wäre noch wichtig zu erfahren.

Antivir updaten - dann ist das Problem behoben

Hallo Kworth,
update lief eigentlich erst heute morgen, habe ich jetzt aber nochmal gemacht, und er hat ein update von 1 Datei gefunden.
Ist das jetzt ein Trojaner oder wie???
Danke, Irene

Nein, es gab garkein Trojaner , es war ein Fehler in Antivir der die Winlogon.exe fälschlich als Trojaner ausgewiesen hat.

Der Fehler ist mit der neuen Version nun behoben.

Super, vielen Dank!!!!!!!!!!
Irene

bist du dir da sicher? also ich wurde grade von einem kunden angerufen und dieser hat mir gesagt das er diese meldung bekommt. danach habe ich diese posts gelesen und ihm gesagt das er sein antivir updaten sollte. ca. eine stunde danach hat er sich gemeldet das diese meldung wieder gekommen ist. Ich weiß jetzt nicht ob er alles richtig gemacht hat aber ich denke mal schon. Ich werde dort gleich mal vorbei fahren und mir dieses problem vor ort angucken. Wenn die Meldung trotz update weiterhin kommt werde ich es hier anmerken.

Hallo zusammen,

Bei mir verhält sich seit knapp einer Woche die winlogon.exe merkwürdig.
Sie versucht auf v1.nuvodka.com:80 (59.148.221.241) zuzugreifen (hab ich mit der Firewall natürlich geblockt). Ich frage mich bloß, was winlogon alle 3 1/2Minuten von einem Host in Hong Kong will, vorallem von einem der eine dynamisch allocierte IP Adressen hat.

Da das ganze erst seit einer Woche passiert, frag ich mich, ob es sich um einen Schädling jeglicher Art handeln könnte?

Leider habe ich keine Antivir o.Ä. installiert.

Zitat:

Zitat von shf10105

Hallo zusammen,

Bei mir verhält sich seit knapp einer Woche die winlogon.exe merkwürdig.
Sie versucht auf v1.nuvodka.com:80 (59.148.221.241) zuzugreifen (hab ich mit der Firewall natürlich geblockt). Ich frage mich bloß, was winlogon alle 3 1/2Minuten von einem Host in Hong Kong will, vorallem von einem der eine dynamisch allocierte IP Adressen hat.

Da das ganze erst seit einer Woche passiert, frag ich mich, ob es sich um einen Schädling jeglicher Art handeln könnte?

Leider habe ich keine Antivir o.Ä. installiert.

Bitte eröffne einen eigenen Thread! Das wird viel zu unübersichtlich!

Poste dann auch gleich ein HijackThis Log!