Hallo!


habe mir irgendwas eingefangen und werde es nicht mehr los,

daher würde ich euch bitten mal mein logfile auszuwerten.



vielen dank schon mal...



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:43:14, on 16.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\DOKUME~1\kkk\LOKALE~1\Temp\Rar$EX01.110\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://star***cq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = ht*****crosoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.mi***om/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.micros***t.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = ***p://go.micr***ft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [Windows Logon Application] C:\WINDOWS\System32\winIogon.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

--
End of file - 3836 bytes

Hallo!

-> Versteckte dateien sichtbar machen

1) - öffne das HijackThis klicke den Button "scan", und mache vor diesen Eintrag ein häckchen

Zitat:

O4 - HKLM\..\Run: [Windows Logon Application] C:\WINDOWS\System32\winIogon.exe

(Aktiver Trojanerprozess!)


Dann Button "Fix checked" klicken, anschließend PC neustarten!

_____________________________

Lass das mal

Zitat:

C:\WINDOWS\System32\winIogon.exe

´bei VirusTotal durchsuchen und poste das Ergebnis.

_______________________

Ich denke Dir wäre auch noch ein anderer Nickname eingefallen, der etwas "freundlicher" ist, als dein jetziger.

Hallo

@11Boy11 weißt du um was es sich hier
O4 - HKLM\..\Run: [Windows Logon Application] C:\WINDOWS\System32\winIogon.exe
handelt?
Nur fixen würde im Zweifel nichts bewirken...

@deinemudda23
lass diese Datei
C:\WINDOWS\System32\winIogon.exe <-- großgeschriebenes i nicht wie der Systemprozess ein "l"
hier Virustotal
hier VirSCAN.org - The Multi-Engine Virus Scanner v1.00 Beta,Support 36 AntiVirus Engine, Last Update(071109)
oder hier Jotti
überprüfen (kann einige Minuten dauern),
poste die Ergebnisse mit der Angabe der größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben,
bitte auch wenn nichts gefunden wurde.

MFG

Zitat:

weißt du um was es sich hier
O4 - HKLM\..\Run: [Windows Logon Application] C:\WINDOWS\System32\winIogon.exe
handelt?

Ja, denke schon.

Zitat:

(Aktiver Trojanerprozess!)

Zitat:

Nur fixen würde im Zweifel nichts bewirken..

Das ist mir klar..
Ich habe ja auch nicht vor, ihn nur fixen zu lassen.

danke für die schnellen antworten.

@11boy: sry, gibt echt nettere nicknames

@all
-versteckte dateien sind sichtbar
-häckchen vor eintrag gesetzt, fix checked geklickt und neugestrtet
-file is gecheckt,
resultat: File winlogon.exe received on 12.16.2007 17:37:16 (CET)
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED
Result: 0/32 (0%)

gruß deinemudda

Hallo

du hast wie es aussieht die falsche Datei ausgewertet

Versuche es mal mit dem eScan
http://www.trojaner-board.de/42731-escan-anleitung.html
poste das Ergebnis mittels der Find.bat (rechtsklick - ziel speichern unter).

MFG

@nochdigger: hab das noch gefunden:

Dateiname : winlogon.exe
Größe : 507392 byte
Typ : MS-DOS executable (EXE), OS/2 or MS Windows
MD5 : 2b6a0baf33a9918f09442d873848ff72
SHA1 : e94549181cc6cdf9f5373e86c857049b73baee66

gruß deinemudda

Hallo

ja du hast tatsächlich die Systemdatei auswerten lassen
MD5 und SHA1 stimmen überein.
Entweder suche nochmal oder eScan durchführen, ich denke da steckt ein echt böser Wicht hinter.

MFG

sooo, hier ist mal das protokoll vom escan.

für mich als unwissenden sieht das nicht sehr gut aus.....

Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NETWORK

eScan Version: 9.6.2
Sprache: German
Virus-Datenbank Datum: 12/16/2007

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with mirar Spyware/Adware (hkey_local_machine\software\microsoft\windows\currentversion\internet settings\zonemap\domains\net-nucleus.com)! Action taken: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\WINDOWS\system32\drivers\ip6fw.sys//PE_Patch infiziert von "Rootkit.Win32.Agent.pr" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\fk.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\hbhxvnc.exe infiziert von "Backdoor.Win32.SdBot.ckl" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\vrinfbb.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{3B1FBCF5-8BC6-4EFC-884A-66A0D20512EA}\RP148\A0008864.sys infiziert von "Trojan-Downloader.Win32.Diehard.cp" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\drivers\ip6fw.sys//PE_Patch infiziert von "Rootkit.Win32.Agent.pr" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\fk.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\hbhxvnc.exe infiziert von "Backdoor.Win32.SdBot.ckl" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\vrinfbb.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei G:\RECYCLER\S-1-5-21-343818398-1682526488-682003330-1004\Df1\system32\sethc.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei G:\RECYCLER\S-1-5-21-343818398-1682526488-682003330-1004\Df1\system32\setver.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei G:\RECYCLER\S-1-5-21-343818398-1682526488-682003330-1004\Df1\system32\sfc.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei G:\RECYCLER\S-1-5-21-343818398-1682526488-682003330-1004\Df1\system32\share.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei G:\RECYCLER\S-1-5-21-343818398-1682526488-682003330-1004\Df1\system32\shrpubw.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei G:\RECYCLER\S-1-5-21-343818398-1682526488-682003330-1004\Df1\system32\shutdown.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei G:\RECYCLER\S-1-5-21-343818398-1682526488-682003330-1004\Df1\system32\sprestrt.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei G:\RECYCLER\S-1-5-21-343818398-1682526488-682003330-1004\Df1\system32\stimon.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei G:\RECYCLER\S-1-5-21-343818398-1682526488-682003330-1004\Df1\system32\subst.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei G:\RECYCLER\S-1-5-21-343818398-1682526488-682003330-1004\Df1\system32\syncapp.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei G:\RECYCLER\S-1-5-21-343818398-1682526488-682003330-1004\Df1\system32\sysedit.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei G:\RECYCLER\S-1-5-21-343818398-1682526488-682003330-1004\Df1\system32\syskey.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei G:\RECYCLER\S-1-5-21-343818398-1682526488-682003330-1004\Df1\system32\sysocmgr.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei G:\RECYCLER\S-1-5-21-343818398-1682526488-682003330-1004\Df1\system32\systray.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei G:\RECYCLER\S-1-5-21-343818398-1682526488-682003330-1004\Df1\system32\taskman.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei G:\RECYCLER\S-1-5-21-343818398-1682526488-682003330-1004\Df1\system32\tcmsetup.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei G:\RECYCLER\S-1-5-21-343818398-1682526488-682003330-1004\Df1\system32\tcpsvcs.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei G:\RECYCLER\S-1-5-21-343818398-1682526488-682003330-1004\Df1\system32\tftp.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei G:\RECYCLER\S-1-5-21-343818398-1682526488-682003330-1004\Df1\system32\tracert6.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei G:\RECYCLER\S-1-5-21-343818398-1682526488-682003330-1004\Df1\system32\unlodctr.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei G:\RECYCLER\S-1-5-21-343818398-1682526488-682003330-1004\Df1\system32\upnpcont.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei G:\RECYCLER\S-1-5-21-343818398-1682526488-682003330-1004\Df1\twunk_16.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei G:\RECYCLER\S-1-5-21-343818398-1682526488-682003330-1004\Df1\twunk_32.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei H:\Incomplete\ADMZOIGWJBFG2SFK6JEVF2DNYBNCGWTH\UFO Afterlight [PC][DVD][English][ww***mwreloaded.com]\YASU.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
File F:\saves\tools progz\fgf140.exe//WISE0018.BIN/cd_clint.dll//PECompact markiert als "not-a-virus:AdWare.Win32.Cydoor". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\I !!!


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
Executable Command Found in I\Shell\AutoRun\command: I:\setup.exe
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 77634
Gefundene Viren: 36
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 78
Dauer des Scans bisher: 01:12:13
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 20:04:52,78
Batchende: 20:05:10,34


gruß euremudda23

ich bin dankbar für jeden neuen rat

gruß dm23

Hallo

leider ist das Ergebnis des eScan ziemlich eindeutig, bei einer Backdoor und einem Rootkit im System bleibt meiner Meinung nur das
Neuaufsetzen des Systems und anschliessende Absicherung!
Ändere unbedingt nach der Neuinstallation alle Pass- und Kennwörter.

MFG

@nochdigger:

vielen dank, werd mich wohl mal ransetzten und mein system nach der anleitung neu raufziehen. hoffe das meine probleme dann ein ende haben...

gruß deinemudda