Winlogon agent Trojaner, Hilfe!!

Öli22 · 07.01.2007, 22:01

Hallo, Mein Antivirus findet immer diesen Winlogon agent, und egal wie vielmal ich
löschen tu, nach jedem neustart wieder da. Hab hir Mal den Hitjackthis list.
Würdet ihr da bitte mal drüber gucken, ob ihr was verdächtiges seht was weg kann. Danke schon mal

Logfile of HijackThis v1.99.1
Scan saved at 21:39:15, on 07.01.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\crypserv.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\System32\WLANSTA.EXE
C:\Programme\Browser MOUSE\mouse32a.exe
C:\Programme\ltmoh\Ltmoh.exe
C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
D:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\Common Files\Companion Wizard\compwiz.exe
C:\Programme\Gemeinsame Dateien\WinAntiVirus Pro 2006\wa6pcw.exe
C:\Programme\Gemeinsame Dateien\DriveCleaner 2006 Free\sdrmon.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\DOKUME~1\ADMINI~1\DRUCKU~1\EIGENE~1\SKS~1\msiexec.exe
C:\Programme\Common Files\?dobe\n?pdb.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe
C:\Dokumente und Einstellungen\Administrator\Druckumgebung\Eigene Dateien\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - {BB820207-B3E5-E83E-B34A-9B6C256E51B0} - C:\WINDOWS\System32\yze.dll
R3 - URLSearchHook: (no name) - {BB820201-B3EC-984E-B341-EC6C201A51CC} - C:\WINDOWS\System32\yze.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA15670} - C:\WINDOWS\system32\compatUI32.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {3FC4CAA7-71B5-44FC-A516-61D2AC9EF30D} - C:\WINDOWS\System32\gebyyyy.dll
O2 - BHO: (no name) - {7DA39570-5FD2-4f18-94B4-20730CB3F727} - C:\WINDOWS\System32\crattlbe.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: (no name) - {BB820201-B3EC-984E-B341-EC6C201A51CC} - C:\WINDOWS\System32\yze.dll
O2 - BHO: (no name) - {BB820207-B3E5-E83E-B34A-9B6C256E51B0} - C:\WINDOWS\System32\yze.dll
O2 - BHO: Bar888 - {C1B4DEC2-2623-438e-9CA2-C9043AB28508} - C:\PROGRA~1\GEMEIN~1\{38C8D~1\Bar888.dll
O2 - BHO: (no name) - {D45923E4-D122-4B08-B745-580ACF7C7D03} - C:\WINDOWS\System32\gebyv.dll (file missing)
O2 - BHO: (no name) - {DC9F3476-DC98-8240-CFF8-F0FA3CAF69EA} - C:\WINDOWS\System32\pgvjli.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: (no name) - {74DD705D-6834-439C-A735-A6DBE2677452} - (no file)
O3 - Toolbar: Bar888 - {C1B4DEC2-2623-438e-9CA2-C9043AB28508} - C:\PROGRA~1\GEMEIN~1\{38C8D~1\Bar888.dll
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [WLANSTA.EXE] WLANSTA.EXE START
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Programme\Browser MOUSE\mouse32a.exe
O4 - HKLM\..\Run: [LtMoh] C:\Programme\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [RemoteControl] D:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [CompanionWizard] "C:\Programme\Common Files\Companion Wizard\compwiz.exe" /silent
O4 - HKLM\..\Run: [DllRunning] rundll32.exe "C:\WINDOWS\System32\qylrpcjp.dll",setvm
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Esat] "C:\DOKUME~1\ADMINI~1\DRUCKU~1\EIGENE~1\SKS~1\msiexec.exe" -vt yazb
O4 - HKCU\..\Run: [Hcj] C:\Programme\Common Files\?dobe\n?pdb.exe
O4 - Startup: Picture Motion Browser Medienprüfung.lnk = C:\Programme\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{E71897D1-CCCE-41E1-9D10-EA09B6C10B02}: NameServer = 194.25.2.129
O20 - Winlogon Notify: gebyyyy - C:\WINDOWS\SYSTEM32\gebyyyy.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: pcAnywhere Host Service (awhost32) - Symantec Corporation - C:\Programme\Symantec\pcAnywhere\awhost32.exe
O23 - Service: COM+ Messages - Unknown owner - -e,mc-110-12-0000272, (file missing)
O23 - Service: Crypkey License - Unknown owner - C:\WINDOWS\SYSTEM32\crypserv.exe

nochdigger · 08.01.2007, 05:53

mOIn auch

dein Antivir müsste eigentlich im Dauerton klingeln so verseucht wie dein Rechner ist.

Außerdem ist dein Rechner nicht auf einem aktuellem Patchstand

Zitat:

Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

dir fehlt das Servicepack 2 sowie mindestens 140 Folgeupdates, ohne die fehlenden Patches wirst du immer wieder und mehr Probleme bekommen.

Da auf deinem Rechner zahlreiche Schädlinge unterwegs sind und Backdoors aktiv waren, gibt es nur den Rat der Neuinstallation mit anschließender Absicherung anch dieser Anleitung.

MFG

TrojanWarr · 14.06.2007, 11:12

Hallo Öli22,

Momentan sehe ich da nur eine Datei, die zu der infizierten Dateien von TrojanVundo gehört.

CO2 - BHO: (NO name) - {D45923E4-D122-4B08-B745-580ACF7C7D03} - C:\WINDOWS\System32\gebyv.dll (file MISSING)

Erstens, wie es schon erwähnt wurde cosinus Herunterlade dir SP2 UNBEDINGT...

myrtille · 14.06.2007, 11:48

Hi,
weitere Dateien die "infiziert" schreien, wären unter anderem diese:

Zitat:

Zitat von Öli22

R3 - URLSearchHook: (no name) - {BB820207-B3E5-E83E-B34A-9B6C256E51B0} - C:\WINDOWS\System32\yze.dll
R3 - URLSearchHook: (no name) - {BB820201-B3EC-984E-B341-EC6C201A51CC} - C:\WINDOWS\System32\yze.dll
O2 - BHO: (no name) - {3FC4CAA7-71B5-44FC-A516-61D2AC9EF30D} - C:\WINDOWS\System32\gebyyyy.dll
O2 - BHO: (no name) - {7DA39570-5FD2-4f18-94B4-20730CB3F727} - C:\WINDOWS\System32\crattlbe.dll
O2 - BHO: (no name) - {BB820201-B3EC-984E-B341-EC6C201A51CC} - C:\WINDOWS\System32\yze.dll
O2 - BHO: (no name) - {BB820207-B3E5-E83E-B34A-9B6C256E51B0} - C:\WINDOWS\System32\yze.dll
O2 - BHO: Bar888 - {C1B4DEC2-2623-438e-9CA2-C9043AB28508} - C:\PROGRA~1\GEMEIN~1\{38C8D~1\Bar888.dll
O2 - BHO: (no name) - {D45923E4-D122-4B08-B745-580ACF7C7D03} - C:\WINDOWS\System32\gebyv.dll (file missing)
O2 - BHO: (no name) - {DC9F3476-DC98-8240-CFF8-F0FA3CAF69EA} - C:\WINDOWS\System32\pgvjli.dll (file missing)
O3 - Toolbar: Bar888 - {C1B4DEC2-2623-438e-9CA2-C9043AB28508} - C:\PROGRA~1\GEMEIN~1\{38C8D~1\Bar888.dll
O4 - HKLM\..\Run: [DllRunning] rundll32.exe "C:\WINDOWS\System32\qylrpcjp.dll",setvm
O4 - HKCU\..\Run: [Esat] "C:\DOKUME~1\ADMINI~1\DRUCKU~1\EIGENE~1\SKS~1\msiexec.exe" -vt yazb
O4 - HKCU\..\Run: [Hcj] C:\Programme\Common Files\?dobe\n?pdb.exe
O20 - Winlogon Notify: gebyyyy - C:\WINDOWS\SYSTEM32\gebyyyy.dll
O23 - Service: COM+ Messages - Unknown owner - -e,mc-110-12-0000272, (file missing)
O23 - Service: Crypkey License - Unknown owner - C:\WINDOWS\SYSTEM32\crypserv.exe

Da ist viel mehr dabei als nur Vundo. Nochdigger hatte schon recht, dass nur ein Neuaufsetzen Sinn macht.

lg myrtille

nochdigger · 14.06.2007, 14:55

Moin allerseits,

habt ihr mal aufs Datum geschaut

Zitat:

08.01.2007 05:53

Ich geb 'ne Runde Kaffee oder wahlweise Espresso für die müden Augen aus

MFG

myrtille · 14.06.2007, 16:58

Ich hab ja nur geantwortet. :verteidig:
Ich wollte nur TrojanWarr zeigen, dass er was übersehen hat.

Notiz: Wenn ich wieder Kaffee brauch, einfach nochdiggers alte Themen raussuchen
Du hörst von mir... Spätestens morgen früh werd ich wieder einen Kaffee brauchen :aplaus:

lg myrtille

14.06.2007, 16:58	#6
myrtille /// TB-Ausbilder	Winlogon agent Trojaner, Hilfe!! Ich hab ja nur geantwortet. :verteidig: Ich wollte nur TrojanWarr zeigen, dass er was übersehen hat. Notiz: Wenn ich wieder Kaffee brauch, einfach nochdiggers alte Themen raussuchen Du hörst von mir... Spätestens morgen früh werd ich wieder einen Kaffee brauchen :aplaus: lg myrtille

Winlogon agent Trojaner, Hilfe!!

Log-Analyse und Auswertung: Winlogon agent Trojaner, Hilfe!!