Winlogon.exe verursacht Traffic

Haengdichweg · 01.02.2006, 14:15

ok. Kas. hat die country und die tool1.exe sofort gelöscht.
ich habe dann die Tool3.exe auch gelöscht die dll ist, wie ich schon sagte, nicht mehr da. Ich habe aber keine ahnung wie dies geschah

Wildone · 01.02.2006, 14:19

Hallo,
okay, weil die dll Datei wird für den Spam Versand verantwortlich sein. Insofern ist es schon wichtig zu wissen ob sie noch da ist oder nicht. Mache mal zur Kontrolle einen Scan mit diesem Tool und poste das Logfile (wird nach dem Scan im selben Pfad erstellt).

Grüße Wildone

Haengdichweg · 01.02.2006, 15:14

f-secure geht bei mir leider nicht :-(

Wildone · 01.02.2006, 15:24

Hallo,
dann versuche es mal mit Rootkitrevealer kenne mich zwar nicht so gut damit aus, aber für Auffälligkeiten am Logfile finden wird es reichen. Achte darauf das während dem Scan sonst kein anderes Programm läuft. Schau auch noch mal in der Reportdatei von Kaspersky nach ob da etwas von dem löschen der besagten Datei erwähnt wurde.

Grüße Wildone

Haengdichweg · 01.02.2006, 15:25

Ich poste noch mal die:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: BC39-BE71

Verzeichnis von C:\WINDOWS\system32

01.02.2006 15:06 35.870 vsconfig.xml
31.01.2006 05:27 13.646 wpa.dbl
30.01.2006 15:32 4.212 zllictbl.dat
29.01.2006 11:38 52.900 perfc009.dat
29.01.2006 11:38 380.486 perfh009.dat
29.01.2006 11:38 391.330 perfh007.dat
29.01.2006 11:38 63.778 perfc007.dat
29.01.2006 11:38 897.954 PerfStringBackup.INI
29.01.2006 11:33 235.960 FNTCACHE.DAT
21.01.2006 01:54 90 spupdwxp.log
18.01.2006 13:05 57.344 avsda.dll
05.01.2006 04:46 252.928 ati2dvag.dll
05.01.2006 04:41 110.592 atipdlxx.dll
05.01.2006 04:41 77.824 Oemdspif.dll
05.01.2006 04:41 26.112 Ati2mdxx.exe
05.01.2006 04:41 40.960 ati2edxx.dll
05.01.2006 04:40 61.440 ati2evxx.dll
05.01.2006 04:39 405.504 ati2evxx.exe
05.01.2006 04:39 53.248 ATIDDC.DLL
05.01.2006 04:31 2.518.176 ati3duag.dll
05.01.2006 04:25 862.336 ativvaxx.dll
05.01.2006 04:20 6.684.672 atioglx1.dll
05.01.2006 04:19 307.200 atiiiexx.dll
05.01.2006 04:11 151.552 atikvmag.dll
05.01.2006 04:10 17.408 atitvo32.dll
05.01.2006 04:05 237.568 ati2cqag.dll
05.01.2006 04:01 4.968.448 atioglxx.dll
05.01.2006 03:22 258.048 ATIDEMGR.dll
04.01.2006 21:05 520.192 ati2sgag.exe
04.01.2006 19:46 2.836.320 MRT.exe
29.12.2005 03:54 280.064 gdi32.dll
22.12.2005 23:44 112.425 atiicdxx.dat
15.12.2005 23:18 7.006 jupdate-1.5.0_06-b05.log
05.12.2005 06:12 339.968 pxwave.dll
05.12.2005 06:12 61.440 pxhpinst.exe
05.12.2005 06:12 172.032 pxmas.dll
05.12.2005 06:12 339.968 px.dll
05.12.2005 06:12 56.320 pxinsa64.exe
05.12.2005 06:12 56.832 pxcpya64.exe
05.12.2005 06:12 405.504 pxdrv.dll
05.12.2005 06:12 28.672 vxblock.dll
01.12.2005 04:31 1.492.480 shdocvw.dll
28.11.2005 16:43 6.024 atifglpf.xml
25.11.2005 10:48 5.618 jupdate-1.5.0_05-b05.log
24.11.2005 00:58 1.022.464 browseui.dll
24.11.2005 00:58 3.013.632 mshtml.dll
15.11.2005 00:51 71.440 zlcommdb.dll
15.11.2005 00:51 79.624 zlcomm.dll
15.11.2005 00:51 100.104 vsxml.dll
15.11.2005 00:51 382.728 vsutil.dll
15.11.2005 00:51 71.440 vsregexp.dll
15.11.2005 00:50 227.088 vspubapi.dll
15.11.2005 00:50 104.208 vsmonapi.dll
15.11.2005 00:50 141.064 vsinit.dll
15.11.2005 00:50 372.816 vsdatant.sys
15.11.2005 00:50 83.720 vsdata.dll
15.11.2005 00:34 54.960 vsutil_loc0407.dll
10.11.2005 13:03 127.078 javaws.exe
10.11.2005 13:03 49.265 jpicpl32.cpl
10.11.2005 11:27 49.250 javaw.exe
10.11.2005 11:27 49.248 java.exe
05.11.2005 04:16 606.208 urlmon.dll
05.11.2005 04:16 1.056.256 danim.dll

lume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: BC39-BE71

Verzeichnis von C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp

01.02.2006 15:06 16.384 ~DF5061.tmp
01.02.2006 15:04 144.694 BWInstall.log
01.02.2006 14:55 16.384 ~DF8532.tmp
01.02.2006 14:52 69.632 UninstallRC-4476822.dll
01.02.2006 14:52 26.407 BWDump.log
01.02.2006 14:19 172 Startup Programs (C04066) 2006-02-01 14.18.53.txt
01.02.2006 14:06 16.384 ~DF2ED.tmp
30.01.2003 10:26 167.936 Filemon.exe
8 Datei(en) 457.993 Bytes

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: BC39-BE71

Verzeichnis von C:\WINDOWS

01.02.2006 15:06 0 0.log
01.02.2006 15:06 2.048 bootstat.dat
01.02.2006 15:04 1.276.448 WindowsUpdate.log
01.02.2006 15:04 561 daasunin.LOG
01.02.2006 15:04 2.510 fsdgunst.log
01.02.2006 15:04 5.962 fsmaunin.log
01.02.2006 15:04 833.462 ntbtlog.txt
01.02.2006 15:04 458 FSGUIINS.LOG
01.02.2006 15:04 494 fstnbins.LOG
01.02.2006 15:04 38.893 fsavunin.log
01.02.2006 15:04 1.907 FSASWUNI.LOG
01.02.2006 15:04 53.876 FSASWSIN.log
01.02.2006 15:04 689 HELPINST.LOG
01.02.2006 15:04 45.254 fwesinst.log
01.02.2006 15:04 10.719 fsbwinst.log
01.02.2006 14:57 2.966.124 FSSFM.log
01.02.2006 14:57 5.144.828 FSISU.log
01.02.2006 14:57 621.123 RunSetup.log
01.02.2006 14:57 300.910 FSPROD.log
01.02.2006 14:57 10.268 FSSYSUPD.LOG
01.02.2006 14:57 34.050 fsmainst.log
01.02.2006 14:57 1.905.134 FSSETUP.log
01.02.2006 14:57 4.202 NEWSINST.LOG
01.02.2006 14:57 13.600 FSASWINS.LOG
01.02.2006 14:57 4.064 fsdginst.log
01.02.2006 14:57 7.980 FSAVCSIN.LOG
01.02.2006 14:57 2.185 DAASINST.LOG
01.02.2006 14:57 7.692 fsrif.log
01.02.2006 14:57 71.336 FSAVINST.LOG
01.02.2006 14:56 10.900 FSSGSUP.LOG
01.02.2006 14:56 167.360 FSDEPH.log
01.02.2006 14:56 386.527 fssgpex.LOG
01.02.2006 14:55 2.438 FSPRODRM.LOG
01.02.2006 14:51 1.966 Q-Klez.log
01.02.2006 14:02 191.679 setupact.log
01.02.2006 01:38 116 NeroDigital.ini
31.01.2006 05:40 751.204 setupapi.log
31.01.2006 05:13 675 win.ini
29.01.2006 11:27 1.374 imsins.log
29.01.2006 11:27 15.442 ocmsn.log
29.01.2006 11:27 37.598 KB912919.log
29.01.2006 11:27 357.004 iis6.log
29.01.2006 11:27 61.719 ntdtcsetup.log
29.01.2006 11:27 101.322 comsetup.log
29.01.2006 11:27 14.824 tabletoc.log
29.01.2006 11:27 131.136 tsoc.log
29.01.2006 11:27 151.196 ocgen.log
29.01.2006 11:27 47.399 netfxocm.log
29.01.2006 11:27 25.236 MedCtrOC.log
29.01.2006 11:27 13.872 msgsocm.log
29.01.2006 11:27 261.398 FaxSetup.log
29.01.2006 11:27 98.438 msmqinst.log
29.01.2006 11:27 17.087 updspapi.log
29.01.2006 11:27 36.642 KB908519.log
29.01.2006 11:26 40.790 KB905915.log
29.01.2006 11:24 32.309 KB904706.log
29.01.2006 11:24 25.349 KB910437.log
29.01.2006 11:23 32.736 KB896424.log
29.01.2006 11:23 32.932 KB900725.log
29.01.2006 11:21 30.240 KB905749.log
29.01.2006 11:21 29.841 KB905414.log
29.01.2006 11:20 28.824 KB901017.log
29.01.2006 11:20 29.157 KB899589.log
29.01.2006 11:19 34.005 KB902400.log
29.01.2006 11:19 24.376 KB894391.log
29.01.2006 11:18 22.434 KB896423.log
29.01.2006 11:18 21.855 KB899587.log
29.01.2006 11:18 21.511 KB899591.log
29.01.2006 11:16 21.529 KB893756.log
29.01.2006 11:16 21.193 KB896358.log
29.01.2006 11:16 21.958 KB890859.log
29.01.2006 11:16 18.223 KB901214.log
29.01.2006 11:16 17.468 KB893066.log
29.01.2006 11:16 17.207 KB896428.log
29.01.2006 11:16 17.533 KB896422.log
29.01.2006 11:16 17.906 KB890046.log
29.01.2006 11:16 16.320 KB885250.log
29.01.2006 11:16 16.533 KB885835.log
29.01.2006 11:16 15.747 KB887742.log
29.01.2006 11:15 15.200 KB888113.log
29.01.2006 11:15 15.278 KB891781.log
29.01.2006 11:14 15.448 KB888302.log
29.01.2006 11:14 15.190 KB885836.log
29.01.2006 11:14 10.691 KB886185.log
29.01.2006 11:14 15.135 KB873339.log
29.01.2006 11:14 8.162 KB885884.log
29.01.2006 09:32 60.118 wmsetup.log
29.01.2006 09:30 459 wmsetup10.log
27.01.2006 00:46 98.385 hplj1010.his
27.01.2006 00:46 8.463 hplj1010.ini
24.01.2006 02:28 796.672 GPInstall.exe
23.01.2006 04:45 411 wiadebug.log
23.01.2006 04:19 50 wiaservc.log
21.01.2006 01:55 316.640 WMSysPr9.prx
21.01.2006 01:54 911.166 setuplog.txt
21.01.2006 01:54 86.616 spupdsvc.log
21.01.2006 01:54 829 DtcInstall.log
21.01.2006 01:52 268.668 svcpack.log
21.01.2006 01:50 719 cmsetacl.log
21.01.2006 01:50 1.956 sessmgr.setup.log
21.01.2006 01:44 13.739 KB893803v2.log
21.01.2006 01:16 10 Wininit.ini
19.01.2006 14:37 57 sierra.ini
16.01.2006 16:02 0 uniq
16.01.2006 15:54 994 DirectX.log
16.01.2006 13:23 926 PVAStrumento.ini
16.01.2006 13:21 887 cPVAS.INI
03.01.2006 09:46 356.352 eSellerateEngine.dll
02.01.2006 01:53 6.263 Codec Pack - All In 1 Setup Log.txt
15.12.2005 23:01 107.132 UninstallFirefox.exe
15.12.2005 23:01 7.005 mozver.dat
22.11.2005 00:09 330.017 gamersday-wallpaper800x600.jpg
22.11.2005 00:09 1.440.054 Firefox Wallpaper.bmp
19.11.2005 18:08 1.347 OEWABLog.txt
19.11.2005 17:49 344 nsw.log

Wildone · 01.02.2006, 15:36

Hallo,
scheint tatsächlich weg zu sein. Was sagt dein Protollprogramm sendest du immernoch Spam?
Lösche mal noch außerdem die Datei C:\Windows\uniq (hatte ich vorhin ganz vergessen).

Grüße Wildone

Haengdichweg · 01.02.2006, 16:16

Ist immer noch nicht weg! :-(

Wildone · 01.02.2006, 16:23

Hallo,
*grummel* Na dann weiter. Mache mal das mit Rootkitrevealer. Außerdem besorgst du dir noch TCPView und postest das Log (File>>Save).

Grüße Wildone

Haengdichweg · 01.02.2006, 16:30

[System Process]:0 TCP c04066:1153 login.saabservice.info:http TIME_WAIT
[System Process]:0 TCP c04066:1170 xm.mx.aol.com:smtp TIME_WAIT
firefox.exe:1032 TCP c04066:1085 localhost:1086 ESTABLISHED
firefox.exe:1032 TCP c04066:1086 localhost:1085 ESTABLISHED
svchost.exe:1092 UDP c04066:1027 *:*
svchost.exe:1092 UDP c04066:1155 *:*
svchost.exe:1092 UDP c04066

hone *:*
svchost.exe:1092 UDP c04066:1166 *:*
svchost.exe:1092 UDP c04066:1165 *:*
svchost.exe:1220 TCP c04066:3389 c04066:0 LISTENING
System:4 TCP c04066:microsoft-ds c04066:0 LISTENING
System:4 TCP c04066:netbios-ssn c04066:0 LISTENING
System:4 UDP c04066:microsoft-ds *:*
System:4 UDP c04066:netbios-dgm *:*
System:4 UDP c04066:netbios-ns *:*
vsmon.exe:1660 TCP c04066:1025 c04066:0 LISTENING
winlogon.exe:684 TCP c04066:1173 mx1008.proofpoint.com:smtp ESTABLISHED
winlogon.exe:684 TCP c04066:1178 gateway.mailrover.net:smtp ESTABLISHED
winlogon.exe:684 TCP c04066:1180 mx2.freejpn.com:smtp SYN_SENT
winlogon.exe:684 TCP c04066:1181 mx2.exit109.com:smtp ESTABLISHED
winlogon.exe:684 TCP c04066:1182 gateway-r.comcast.net:smtp ESTABLISHED

bin grad am scannen mit Bit Defender

Wildone · 01.02.2006, 16:37

Hallo,
Rootkitrevealer Log kommt noch? (Aufforderung Nr.3).

Zitat:

bin grad am scannen mit Bit Defender

Sorry übersehen.
gehe mal in TCPView per Rechtsklick auf die winlogon.exe>>Process Properties und poste was dort steht.

Grüße Wildone

Haengdichweg · 01.02.2006, 17:01

Rootkitrevealer << der speichert mit das logfile nicht.

hab mal zwei verdächtige einträge:

C:\windows\system32\msctl32.dll
HKLM\SYSTEM\controlSet001\Serverices\i386p
HKLM\SOFTWARE\microsoft\Windows NT\CurrentVersion\Winlogon\Notify\msctl32.dll

Wildone · 01.02.2006, 17:13

Hallo,
von was sind jetzt die Einträge? Rootkitrevealer? Bitdefender? TCPView?
Bitte poste doch etwas ausführlicher, je mehr Informationen du mir bringst um so besser kann ich dir helfen.
Das Logfile von Rootkitrevealer bekommst du auch unter File>>Save (oder kommt dann eine Fehlermeldung?? Wenn ja welche?).

Grüße Wildone

Haengdichweg · 01.02.2006, 17:18

\??\C:\WINDOWS\system32\winlogon.exe Diese wir unser TCPView bei der winlogon angezeigt.

Die drei einträge sind vom Rootkitrevealer. Ich bekomme eine fehlermeldung wenn ich da was speichern möchte.

Wildone · 01.02.2006, 17:28

Hallo,
also ich würde dir raten dein System neu aufzusetzen du hast mit einiger Gewissheit ein schönes Rootkit auf der Mühle und das kann man nicht entfernen weil es sich zu tief in das System eingräbt. Teile deiner Infektion hast du dir entweder an einem Crack selber, oder bei einer Webseite die solche anbieten gefangen, dies solltest du zukünftig einfach unterlassen, genau wie die Installation von Software aus sonstigen unseriösen Quellen (P2P usw.)

Eine Anleitung wie du bei der Neuinstallation und anschließenden Absicherung vorgehen solltest findest du hier. Außerdem solltest du alle Passwörter ändern und keine ausführbaren dateien (exe, scr, com, pif...) auf das neue System übernehmen. Bilder MP3s Filme usw. sind unproblematisch, Officedokumente sollten sicherheitshalber vor dem überspielen auch noch mal mit einem Virenscanner überprüft werden.
Sorry für die schlechten Nachrichten aber da führt kein Weg dran vorbei.

Grüße Wildone

Haengdichweg · 02.02.2006, 00:09

ok Danke für die Hilfe

Winlogon.exe verursacht Traffic

Plagegeister aller Art und deren Bekämpfung: Winlogon.exe verursacht Traffic