|
Plagegeister aller Art und deren Bekämpfung: Winlogon.exe & smtp (anscheind kein netsky)Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
29.12.2005, 19:08 | #1 |
| Winlogon.exe & smtp (anscheind kein netsky) nabend, ich sitz hier nu mit diversen tool um dieses unlösbare problem zu nutzen also.. mit dem Security Task Manager hab ich entdeckt das der Prozess \??\c:\windows\system32\winlogon.exe nett am arbeiten is... er verschickt... wie jetzt auch im moment lustige mails.. was ich mit TCPView verfolgen darf.... dieses NetSky dingens is es denk ich nicht.. hab in der registry nach dem bekannten schlüssel gesucht und nicht gefunden.. außerdem hab ich Symatec Removal Tool für diesen Wurm, doch allerdings sagt der auch nicht viel... nun probier ich es mit XoftSpy was mir aber vllt. nicht weiterhelfen wird weil dieses Ewido auch andauernd was findet was denk ich an diesem winlogon.exe-email-verschicken liegt! auch HijackThis hab ich 100 mal ausgefürht und ein paar böse sachen gelöscht aber das wird bei winlogon denk ich nicht funktionieren... hier die log: Logfile of HijackThis v1.99.1 Scan saved at 19:07:21, on 29.12.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\CTsvcCDA.exe C:\Programme\ewido anti-malware\ewidoctrl.exe C:\Programme\ewido anti-malware\ewidoguard.exe C:\apachefriends\xampp\FileZillaFTP\FileZillaServer.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\xampp\mysql\bin\mysqld-nt.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\MsPMSPSv.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\explorer.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\system32\RunDll32.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\TuneUp Utilities 2006\MemOptimizer.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Security Task Manager\TaskMan.exe C:\DOKUME~1\NoName\LOKALE~1\Temp\Rar$EX00.812\Tcpview.exe C:\Programme\ICQ\Icq.exe C:\Programme\XoftSpy\XoftSpy.exe C:\Dokumente und Einstellungen\NoName\Desktop\hijackthis_199\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [LXBXCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXBXtime.dll,_RunDLLEntry@16 O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [CmUsbSound] RunDll32 cmcnfgu.cpl,CMICtrlWnd O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2006\MemOptimizer.exe" autostart O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - Global Startup: Bluetooth Manager.lnk = ? O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: concept/design's onlineTV - {2AD7A610-7E73-400C-ACED-92F7A5440650} - C:\Programme\onlineTV\onlineTV.exe O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo\YPager.exe O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo\YPager.exe O15 - Trusted Zone: http://*.windowsupdate.com O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE O23 - Service: Autodesk Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido anti-malware\ewidoctrl.exe O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido anti-malware\ewidoguard.exe O23 - Service: FileZilla Server FTP server (FileZilla Server) - Unknown owner - C:\apachefriends\xampp\FileZillaFTP\FileZillaServer.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Event Log Watch (LogWatch) - Unknown owner - C:\WINDOWS\LogWatNT.exe (file missing) O23 - Service: lxbx_device - Lexmark International, Inc. - C:\WINDOWS\system32\lxbxcoms.exe O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe O23 - Service: MySql - Unknown owner - C:/xampp/mysql/bin/mysqld-nt.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe BITTE UM SCHNELLE HILFE sonst gibts noch mehr unglücklcihe die durch mich kapput virus mail danke im vorraus Julian |
30.12.2005, 08:44 | #2 | |
| Winlogon.exe & smtp (anscheind kein netsky) Servus!
__________________Lass´ mal die Datei Zitat:
Sollte beides nichts bringen, kopiere die Datei in ein anderes Verzeichnis, benenne sie um und versuche es damit. Zum Auffinden versteckter Dateien nutze den link in meiner Signatur. Achte bei den angegebenen Dateinamen auf die genaue Schreibweise und den exakten Pfad! stupormundi
__________________ |
30.12.2005, 09:37 | #3 |
| Winlogon.exe & smtp (anscheind kein netsky) Habe genau, dass gleiche Problem !!!
__________________ich habe winlogon.exe beide male geteste! ABER: überall - No Virus found Ganz schön hartnäckig das Ding. Wer weiß wie's weitergeht ????? |
30.12.2005, 09:55 | #4 |
| Winlogon.exe & smtp (anscheind kein netsky) Servus Atlantik! Bitte eröffne ein eigenes Thema und poste dort ein HJT Log mit ausführlicher Problembeschreibung! stupormundi
__________________ Unsichtbare Dateien suchen: Sehr gute Anleitung von Rene-gad: WICHTIG: Alle aktiven links editieren (http-->h**p) und persönliche Informationen aus den Logfiles entfernen Kein Support via PN - sorry! |
30.12.2005, 10:29 | #5 |
| Winlogon.exe & smtp (anscheind kein netsky) gutn tag ja wie soll ich sagen... seitdem ich dem programm mit der Firewall kein zutritt gewährt habe ist es auch verschwunden... jetzt wo ich die firewall aushabe, lässt sich das dinge nicht mehr blicken... habe die datei geprüft und sie ist laut dem ersten link von dir sauber! ich habs auch jetzt schon aufgegeben weiter zu suchen und will mein system neuaufstetzen, vorallem seitdem Firefox nun etwas probleme macht... denn bei einem dl vom SP2 hatte die CPU volle auslastung... naja wenn ich ihn nochmal bekomme meld ich mich damit wenigstens jmd anders geholfen wird... ansonsten wünsch ich atlantik noch viel glück bis dann julian |
30.12.2005, 11:04 | #6 | |
| Winlogon.exe & smtp (anscheind kein netsky)Zitat:
Hallo! Habe bereits einen Theard eröffnet: Winlogon verschickt Mails! Dort gibts auch den HJT Log. ... [edit] dann warte halt, bis man dir hilft und bring nicht die supporter durch dein "überallreinposten" durcheinander GUA [/edit] Geändert von GUA (30.12.2005 um 12:08 Uhr) |
Themen zu Winlogon.exe & smtp (anscheind kein netsky) |
adobe, antivir, desktop, drivers, einstellungen, excel, explorer, firefox, gefunden.., hijack, hijackthis, icqtoolbar, internet, internet explorer, logon.exe, mozilla, mozilla firefox, problem, prozess, registry, rundll, schnelle hilfe, security, security suite, software, symatec, system, temp, tuneup utilities, urlsearchhook, virus, windows, windows xp, wurm |