Moin Jungs und Mädels,
habe vollgendes Problem:
Ich hatte mir vor ca. 2 Wochen einen Virus/Wurm eingefangen und habe eigentlich gedacht dass ich alles weg bekommen habe. Haben Mit antivir und Ad-Awar gescannt und auch gefunden. Nun ist mir aufgefallen das ich pingschwankungen habe (50-1000ms) und hatte erst an die Telekom gedacht. Die haben aber alles gecheckt und die Leitung für gut befunden. Dann hab ich mal Zonealarm draufgehauen und erst mal alles geblockt. Dann waren die pingschwankungen weg. So, dann wollte die winlogon.exe auf das inet zu greifen was mir sehr komisch vorkam. Ich wollt jetzt wissen was die so im inet macht und hab mir ein Logprogramm installiert und siehe da die verteilt eifrig die Viagra Mails. Was ist das??
Kann mir jemand Helfen?
Der HJT log ist ok!
Die Antivieren Programme finden nix mehr.

Danke für eure Hilfe.

Hallo,
poste mal ein HijackThis Log, wie hier beschrieben.


Grüße Wildone

Logfile of HijackThis v1.99.1
Scan saved at 12:05:37, on 01.02.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
G:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
G:\Programme\NETGEAR\WG111v2 Configuration Utility\RtlWake.exe
g:\Programme\NETGEAR\WG111v2 Configuration Utility\RtWLan.exe
G:\Programme\AntiVir PersonalEdition Classic\avguard.exe
G:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
G:\Programme\AntiVir PersonalEdition Classic\sched.exe
G:\Programme\anyatweb.com\Any@Web\WebChk.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WZShutdown\WZshutdown.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
G:\Programme\anyatweb.com\Any@Web\WebDumpII.exe
G:\Programme\firefox.exe
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\HijackThis.exe

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [WZShutdown] C:\WZShutdown\WZshutdown.exe -hide
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Zone Labs Client] g:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [avgnt] "G:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - Global Startup: WG111v2 Smart Wizard Wireless Setting.lnk = ?
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1138681632093
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - G:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - G:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - G:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Hallo,folge
tatsächlich nichts zu erkennen, dann müssen wir wohl tiefer graben.

Lösche mal deine TempDateien mit Cleanup!, danach machst du folgendes und postest die vier Logfiles, bitte nur die Dateien der letzten drei Monate abkopieren.

Scanne dein System außerdem mit Silentrunners und poste das Logfile.



Grüße Wildone

da is ja Wildone wieder am Werk Kann es hier nicht genauso sein wie bei mir?Dass gewisse Programme Dateien bei winlogon.exe ablegen und möglicherweise (sollten es virenprogramme sein) im Internet nach nem Update gucken? Hab aber auch schonmal gehört dass einige Viren und Trojaner die winlogon.exe ersetzen....
Der Wildone wirds schon richten

MfG Tequila

(OT)
Hallo,
tach Tequilachen, ist dir langweilig weil der Rechner wieder läuft wie er soll?
Glaube eigentlich das es etwas anderes ist wie bei dir, da hier Spam versendet wird, glaube nicht das das bei dir der Fall war. Gibts bei dir eigentlich noch die Abstürze oder hat sich das nach der Neuinstallation erledigt, antworte aber am besten in deinem Thread, oder per PN, sonst wird es hier unübersichtlich ?


Grüße Wildone

Danke erstmal für die schnellen Antworten!

Und hier dir logfiles:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: BC39-BE71

Verzeichnis von C:\WINDOWS\system32

01.02.2006 12:48 35.870 vsconfig.xml
31.01.2006 05:27 13.646 wpa.dbl
30.01.2006 15:32 4.212 zllictbl.dat
29.01.2006 11:38 391.330 perfh007.dat
29.01.2006 11:38 380.486 perfh009.dat
29.01.2006 11:38 52.900 perfc009.dat
29.01.2006 11:38 63.778 perfc007.dat
29.01.2006 11:38 897.954 PerfStringBackup.INI
29.01.2006 11:33 235.960 FNTCACHE.DAT
21.01.2006 01:54 90 spupdwxp.log
18.01.2006 13:05 57.344 avsda.dll
16.01.2006 16:03 68.096 msctl32.dll
05.01.2006 04:46 252.928 ati2dvag.dll
05.01.2006 04:41 110.592 atipdlxx.dll
05.01.2006 04:41 77.824 Oemdspif.dll
05.01.2006 04:41 26.112 Ati2mdxx.exe
05.01.2006 04:41 40.960 ati2edxx.dll
05.01.2006 04:40 61.440 ati2evxx.dll
05.01.2006 04:39 405.504 ati2evxx.exe
05.01.2006 04:39 53.248 ATIDDC.DLL
05.01.2006 04:31 2.518.176 ati3duag.dll
05.01.2006 04:25 862.336 ativvaxx.dll
05.01.2006 04:20 6.684.672 atioglx1.dll
05.01.2006 04:19 307.200 atiiiexx.dll
05.01.2006 04:11 151.552 atikvmag.dll
05.01.2006 04:10 17.408 atitvo32.dll
05.01.2006 04:05 237.568 ati2cqag.dll
05.01.2006 04:01 4.968.448 atioglxx.dll
05.01.2006 03:22 258.048 ATIDEMGR.dll
04.01.2006 21:05 520.192 ati2sgag.exe
04.01.2006 19:46 2.836.320 MRT.exe
29.12.2005 03:54 280.064 gdi32.dll
22.12.2005 23:44 112.425 atiicdxx.dat
15.12.2005 23:18 7.006 jupdate-1.5.0_06-b05.log
05.12.2005 06:12 28.672 vxblock.dll
05.12.2005 06:12 339.968 pxwave.dll
05.12.2005 06:12 172.032 pxmas.dll
05.12.2005 06:12 56.320 pxinsa64.exe
05.12.2005 06:12 339.968 px.dll
05.12.2005 06:12 56.832 pxcpya64.exe
05.12.2005 06:12 405.504 pxdrv.dll
05.12.2005 06:12 61.440 pxhpinst.exe
01.12.2005 04:31 1.492.480 shdocvw.dll
28.11.2005 16:43 6.024 atifglpf.xml
25.11.2005 10:48 5.618 jupdate-1.5.0_05-b05.log
24.11.2005 00:58 3.013.632 mshtml.dll
24.11.2005 00:58 1.022.464 browseui.dll
15.11.2005 00:51 71.440 zlcommdb.dll
15.11.2005 00:51 79.624 zlcomm.dll
15.11.2005 00:51 100.104 vsxml.dll
15.11.2005 00:51 382.728 vsutil.dll
15.11.2005 00:51 71.440 vsregexp.dll
15.11.2005 00:50 227.088 vspubapi.dll
15.11.2005 00:50 104.208 vsmonapi.dll
15.11.2005 00:50 141.064 vsinit.dll
15.11.2005 00:50 372.816 vsdatant.sys
15.11.2005 00:50 83.720 vsdata.dll
15.11.2005 00:34 54.960 vsutil_loc0407.dll
10.11.2005 13:03 127.078 javaws.exe
10.11.2005 13:03 49.265 jpicpl32.cpl
10.11.2005 11:27 49.250 javaw.exe
10.11.2005 11:27 49.248 java.exe
05.11.2005 04:16 606.208 urlmon.dll
05.11.2005 04:16 1.056.256 danim.dll




Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: BC39-BE71

Verzeichnis von C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp

01.02.2006 12:52 16.384 ~DF6B4A.tmp
01.02.2006 12:49 16.384 ~DFE6A6.tmp
2 Datei(en) 32.768 Bytes
0 Verzeichnis(se), 4.151.984.128 Bytes frei


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: BC39-BE71

Verzeichnis von C:\WINDOWS

01.02.2006 12:49 0 0.log
01.02.2006 12:48 2.048 bootstat.dat
01.02.2006 12:47 1.272.160 WindowsUpdate.log
01.02.2006 12:10 458.118 ntbtlog.txt
01.02.2006 01:38 116 NeroDigital.ini
31.01.2006 05:40 751.204 setupapi.log
31.01.2006 05:13 675 win.ini
29.01.2006 11:27 131.136 tsoc.log
29.01.2006 11:27 101.322 comsetup.log
29.01.2006 11:27 61.719 ntdtcsetup.log
29.01.2006 11:27 357.004 iis6.log
29.01.2006 11:27 37.598 KB912919.log
29.01.2006 11:27 15.442 ocmsn.log
29.01.2006 11:27 14.824 tabletoc.log
29.01.2006 11:27 1.374 imsins.log
29.01.2006 11:27 25.236 MedCtrOC.log
29.01.2006 11:27 47.399 netfxocm.log
29.01.2006 11:27 151.196 ocgen.log
29.01.2006 11:27 13.872 msgsocm.log
29.01.2006 11:27 261.398 FaxSetup.log
29.01.2006 11:27 98.438 msmqinst.log
29.01.2006 11:27 17.087 updspapi.log
29.01.2006 11:27 36.642 KB908519.log
29.01.2006 11:26 40.790 KB905915.log
29.01.2006 11:24 32.309 KB904706.log
29.01.2006 11:24 25.349 KB910437.log
29.01.2006 11:23 32.736 KB896424.log
29.01.2006 11:23 32.932 KB900725.log
29.01.2006 11:21 30.240 KB905749.log
29.01.2006 11:21 29.841 KB905414.log
29.01.2006 11:20 28.824 KB901017.log
29.01.2006 11:20 29.157 KB899589.log
29.01.2006 11:19 34.005 KB902400.log
29.01.2006 11:19 24.376 KB894391.log
29.01.2006 11:18 22.434 KB896423.log
29.01.2006 11:18 21.855 KB899587.log
29.01.2006 11:18 21.511 KB899591.log
29.01.2006 11:16 21.529 KB893756.log
29.01.2006 11:16 21.193 KB896358.log
29.01.2006 11:16 21.958 KB890859.log
29.01.2006 11:16 18.223 KB901214.log
29.01.2006 11:16 17.468 KB893066.log
29.01.2006 11:16 17.207 KB896428.log
29.01.2006 11:16 17.533 KB896422.log
29.01.2006 11:16 17.906 KB890046.log
29.01.2006 11:16 16.320 KB885250.log
29.01.2006 11:16 16.533 KB885835.log
29.01.2006 11:16 15.747 KB887742.log
29.01.2006 11:15 15.200 KB888113.log
29.01.2006 11:15 15.278 KB891781.log
29.01.2006 11:14 15.448 KB888302.log
29.01.2006 11:14 15.190 KB885836.log
29.01.2006 11:14 10.691 KB886185.log
29.01.2006 11:14 15.135 KB873339.log
29.01.2006 11:14 8.162 KB885884.log
29.01.2006 09:32 60.118 wmsetup.log
29.01.2006 09:30 459 wmsetup10.log
27.01.2006 00:46 98.385 hplj1010.his
27.01.2006 00:46 8.463 hplj1010.ini
24.01.2006 02:28 796.672 GPInstall.exe
23.01.2006 04:45 411 wiadebug.log
23.01.2006 04:19 50 wiaservc.log
21.01.2006 01:55 316.640 WMSysPr9.prx
21.01.2006 01:54 911.166 setuplog.txt
21.01.2006 01:54 86.616 spupdsvc.log
21.01.2006 01:54 829 DtcInstall.log
21.01.2006 01:52 268.668 svcpack.log
21.01.2006 01:50 719 cmsetacl.log
21.01.2006 01:50 1.956 sessmgr.setup.log
21.01.2006 01:44 13.739 KB893803v2.log
21.01.2006 01:16 10 Wininit.ini
19.01.2006 14:37 57 sierra.ini
16.01.2006 16:04 1.024 tool3.exe
16.01.2006 16:03 74.752 tool1.exe
16.01.2006 16:02 28.402 country.exe
16.01.2006 16:02 0 uniq
16.01.2006 15:54 994 DirectX.log
16.01.2006 13:23 926 PVAStrumento.ini
16.01.2006 13:21 887 cPVAS.INI
03.01.2006 09:46 356.352 eSellerateEngine.dll
02.01.2006 01:53 6.263 Codec Pack - All In 1 Setup Log.txt
15.12.2005 23:01 107.132 UninstallFirefox.exe
15.12.2005 23:01 7.005 mozver.dat
25.11.2005 18:29 191.439 setupact.log
22.11.2005 00:09 330.017 gamersday-wallpaper800x600.jpg
22.11.2005 00:09 1.440.054 Firefox Wallpaper.bmp
19.11.2005 18:08 1.347 OEWABLog.txt
19.11.2005 17:49 344 nsw.log
28.10.2005 11:25 187 NETXRAY.INI
28.10.2005 11:25 35 NETXRAY.ERR
20.10.2005 09:57 0 PROTOCOL.INI
19.10.2005 08:42 282 system.ini
19.10.2005 07:43 68 IDMan.INI


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: BC39-BE71

Verzeichnis von C:\

01.02.2006 12:57 0 sys.txt
01.02.2006 12:57 8.464 system.txt
01.02.2006 12:56 344 systemtemp.txt
01.02.2006 12:56 101.466 system32.txt
01.02.2006 12:48 1.610.612.736 pagefile.sys
21.01.2006 01:50 211 boot.ini
15.08.2005 14:01 13.030 PDOXUSRS.NET
12.08.2005 15:47 0 AUTOEXEC.BAT
12.08.2005 15:47 0 IO.SYS
12.08.2005 15:47 0 MSDOS.SYS
12.08.2005 15:47 0 CONFIG.SYS
04.08.2004 13:00 4.952 bootfont.bin
04.08.2004 13:00 251.184 ntldr
04.08.2004 13:00 47.564 NTDETECT.COM
25.06.1999 10:55 149.504 UNWISE.EXE
15 Datei(en) 1.611.189.455 Bytes
0 Verzeichnis(se), 4.151.967.744 Bytes frei

Im Programm Trojanercheck ist die Winlogon.exe so angegeben:

\??\C:\Windows\system32\winlogon.exe

Was sollen die Fragezeichen?

Hallo,
untersuche mal folgende Dateien:
C:\Windows\System32\msctl32.dll
C:\Windows\tool3.exe
C:\Windows\tool1.exe
C:\Windows\country.exe

hier und poste das jeweilige Ergebnis.


Grüße Wildone

Hab dass mal gemacht...

C:\Windows\System32\msctl32.dll Virus gefunden
C:\Windows\tool3.exe kein Virus gefunden
C:\Windows\tool1.exe Virus gefunden
C:\Windows\country.exe Virus gefunden

Lade mir grad den Kaspersky runter der die erkannt hat, ich denk der bekommt die dann auch runter.

Ich sag dann schon mal vielen DANK!! Echt super nett von dir.

Hallo,
Scherzkeks, das es Viren sind hatte ich schon sehr stark vermutet (eigentlich gewußt) interessieren würde mich welche Viren jeweils gefunden wurden. Also die gesammte Information die ausgespuckt wird. Kaspersky brauchst du zu der Entfernung eigentlich nicht, das kannst du mit meiner Anleitung auch manuell machen.
Edit
Das bei der tool3.exe keine Viren gefunden wurden kann eigentlich nicht sein.

Grüße Wildone

ok, die tool1.exe = Trojan-Dropper.Win32.Agebt.ahf
tool3.exe finder er nix
country.exe = Dropped:Trojan.Spy.Goldun.BL
Die dll ist nicht mehr auf zu finden.


p.s. soll ich dir die tool3.exe dann mal schicken? LOL

Hallo,
was heißt nicht mehr da? Hast du sie gelöscht? Hat Kaspersky sie gelöscht?

Zitat:

p.s. soll ich dir die tool3.exe dann mal schicken? LOL

Ja, sollst du, aber nicht an mich, sondern an newvirus@kaspersky.com ,und mache es wie hier erklärt (mit Passwort gepackt usw.).
Danach besorgst du dir mal folgendes Tool, entpackst es, und führst es erstmal nur mit der Option "1" aus. Dann postest du den Inhalt der Datei rapport.txt im Ordner Smitfraudfix.


Grüße Wildone

SmitFraudFix v2.16

Rapport fait à 13:57:43,60 le 01.02.2006
Executé à partir de C:\Dokumente und Einstellungen\Administrator\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600]

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Dokumente und Einstellungen\Administrator\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Recherche Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» Recherche Bureau


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Recherche présence de clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Recherche éléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"


»»»»»»»»»»»»»»»»»»»»»»»» Recherche Sharedtaskscheduler

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport

Hallo,
hmm, erstaunlich, hast du die tool Dateien und die country.exe schon gelöscht? Nochmal die Frage nach der C:\Windows\System32\msctl32.dll warum ist sie nicht mehr da? Hast du oder Kaspersky sie gelöscht? Bitte teile mir immer mit wenn du etwas veränderst sonst kann ich dir nicht helfen.


Grüße Wildone