|
Plagegeister aller Art und deren Bekämpfung: winlogon.exe infiziert?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
20.03.2008, 12:56 | #1 |
| winlogon.exe infiziert? Hallo zusammen, Bei mir verhält sich seit knapp einer Woche die winlogon.exe merkwürdig. Sie versucht auf v1.nuvodka.com:80 (59.148.221.241) zuzugreifen (hab ich mit der Firewall natürlich geblockt). Ich frage mich bloß, was winlogon alle 3 1/2Minuten von einem Host in Hong Kong will, vorallem von einem der eine dynamisch allocierte IP Adressen hat. Da das ganze erst seit einer Woche passiert, frag ich mich, ob es sich um einen Schädling jeglicher Art handeln könnte? Leider habe ich keine Antivir o.Ä. installiert. Mein HijackThis Log, der aber keine interessanten Informationen enthält: Logfile of HijackThis v1.99.1 Scan saved at 12:50:23, on 20.03.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Sygate\SPF\smc.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Java\jre1.6.0_01\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{***}\PIFSvc.exe C:\Programme\Winamp\winampa.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\Razer\Diamondback 3G\razerhid.exe C:\WINDOWS\winlogon.exe C:\Programme\Windows Live\Messenger\MsnMsgr.Exe C:\Programme\Free Download Manager\FUM\fumoei.exe C:\Programme\Razer\Diamondback 3G\razertra.exe C:\Programme\Razer\Diamondback 3G\razerofa.exe C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe C:\WINDOWS\system32\cisvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{***}\PIFSvc.exe C:\Programme\M-Audio MA_CMIDI\MA_CMIDI_Inst.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\ArcorOnline\AOButler.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\cidaemon.exe C:\WINDOWS\Explorer.EXE C:\PROGRA~1\FREEDO~1\fdm.exe C:\Programme\7-Zip\7zFM.exe D:\apache\xampp\apache\bin\apache.exe D:\apache\xampp\mysql\bin\mysqld.exe D:\apache\xampp\apache\bin\apache.exe I:\USER_TMP\TEMP\7zOD.tmp\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://localhost/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG O2 - BHO: Malicious Scripts Scanner - {55EA1964-F5E4-4D6A-B9B2-125B37655FCB} - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Prevx\pxbho.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Programme\Free Download Manager\iefdm2.dll O3 - Toolbar: Übersetzer - {FF284F5C-7CF9-4682-8701-D467C1DBB99F} - C:\Programme\PRMT6\PRMTIE\prmtie.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe" O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [NapsterShell] E:\Programme\Napster\napster.exe /systray O4 - HKLM\..\Run: [ApacheTomcatMonitor] "D:\Tomcat 6.0\bin\tomcat6w.exe" //MS//Tomcat6 O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe" O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll" O4 - HKLM\..\Run: [EPSON Stylus DX3800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /F "C:\WINDOWS\TEMP\E_S81.tmp" /EF "HKLM" O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "E:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [InternetLogger] rundll32 InternetLogger.dll, DoAutoRun O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [Diamondback] C:\Programme\Razer\Diamondback 3G\razerhid.exe O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKLM\..\Run: [nvchost] C:\WINDOWS\winlogon.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [Orb] "C:\Programme\Winamp Remote\bin\OrbTray.exe" /background O4 - HKCU\..\Run: [Free Download Manager] "C:\Programme\Free Download Manager\fdm.exe" -autorun O4 - HKCU\..\Run: [Free Upload Manager] "C:\Programme\Free Download Manager\fum\fum.exe" -autorun O4 - HKCU\..\Run: [Free Uploader Oe Integration] C:\Programme\Free Download Manager\FUM\fumoei.exe O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent O4 - Startup: OpenOffice.org 2.3.lnk = D:\Programme\OpenOffice.org 2.3\program\quickstart.exe O8 - Extra context menu item: Alles mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlall.htm O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlselected.htm O8 - Extra context menu item: Datei mit FDM herunterladen - file://C:\Programme\Free Download Manager\dllink.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Videos mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlfvideo.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra button: (no name) - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - C:\Programme\PRMT6\PRMTIE\prmtie5.htm O9 - Extra 'Tools' menuitem: Übersetzen - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - C:\Programme\PRMT6\PRMTIE\prmtie5.htm O9 - Extra button: (no name) - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - C:\Programme\PRMT6\PRMTIE\options.htm O9 - Extra 'Tools' menuitem: Übersetzungsoptionen anpassen - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - C:\Programme\PRMT6\PRMTIE\options.htm O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: Upload - {FD4E2FF8-973C-4A19-89BD-8E86B3CFCFE1} - C:\Programme\Free Download Manager\FUM\fumiebtn.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\internetlogger.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\internetlogger.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\internetlogger.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\internetlogger.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\internetlogger.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\internetlogger.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{B71827E9-61CB-47E1-8189-114154F1B54C}: NameServer = 195.50.140.114 195.50.140.252 O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing) O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing) O23 - Service: LiveUpdate Notice Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{***}\PIFSvc.exe" /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{***}\PifEng.dll (file missing) O23 - Service: M-Audio CMIDI Installer (MA_CMIDI_InstallerService) - Unknown owner - C:\Programme\M-Audio MA_CMIDI\MA_CMIDI_Inst.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe |
20.03.2008, 13:34 | #2 |
| winlogon.exe infiziert? Pruefe C:\WINDOWS\winlogon.exe bitte einmal bei virustotal.com und poste das gesamte Ergebniss.
__________________
__________________ |
20.03.2008, 14:06 | #3 |
| winlogon.exe infiziert? Alle Zeilen mit einem "-" außer:
__________________Sunbelt 3.0.978.0 2008.03.18 ], [ Scheint also schonmal kein bekannter Schädling zu sein. |
20.03.2008, 14:37 | #4 |
| winlogon.exe infiziert? Der ganze Report waere hilfreich. Mit MD5 und Packerangaben. Du solltest auf jeden Fall diesen Eintrag in HijackThis anhaken, fix checked druecken und neu starten: O4 - HKLM\..\Run: [nvchost] C:\WINDOWS\winlogon.exe O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto Weisst du, was InternetLogger ist? Hoert sich irgendwie nach adware an und was hast du noch von Symantec/Norton installiert?
__________________ MfG Ralf |
20.03.2008, 15:20 | #5 |
| winlogon.exe infiziert? File size: 507392 bytes MD5: 2b6a0baf33a9918f09442d873848ff72 SHA1: e94549181cc6cdf9f5373e86c857049b73baee66 PEiD: - InternetLogger is ne eigenentwicklung, der loggt meinen traffic und speichert den auf dem pc. Eigentlich sollte er aber nur einmal in der liste stehen. |
20.03.2008, 16:25 | #6 | |
| winlogon.exe infiziert? hallo, shf10105, die winlogon.exe ist mit sicherheit malware, wahrscheinlich das hier: Troj/Klone-J Trojan (Packed.Win32.Klone.j, FDoS-Spabot), Packed.Win32.Klone.j, FDoS-Spabot - Sophos security analysis es bringt nichts, wenn du die c:\windows\system32\winlogon.exe auswertest, es geht um die c:\windows\winlogon.exe, also bitte per copy/paste Zitat:
zurück zu ralf |
20.03.2008, 17:16 | #7 |
| winlogon.exe infiziert? Der Dateigroesse und MD5 nach, ist das die Orginale Winlogon.exe Du musst die aus dem Windows Ordner pruefen lassen, nicht die aus windows\system32!
__________________ MfG Ralf |
20.03.2008, 18:11 | #8 |
| winlogon.exe infiziert? AhnLab-V3 2008.3.20.2 2008.03.20 Win-Trojan/Agent.155648.T AntiVir 7.6.0.75 2008.03.20 TR/Proxy.Agent.KJ.20 Authentium 4.93.8 2008.03.20 W32/Trojan.QUT Avast 4.7.1098.0 2008.03.20 Win32:Trojan-gen {Other} AVG 7.5.0.516 2008.03.20 Proxy.IWQ BitDefender 7.2 2008.03.20 Trojan.Proxy.Agent.KJ CAT-QuickHeal 9.50 2008.03.20 TrojanProxy.Agent.kj ClamAV 0.92.1 2008.03.20 Trojan.Proxy-2317 DrWeb 4.44.0.09170 2008.03.20 Trojan.Spambot eSafe 7.0.15.0 2008.03.18 Win32.Agent.kj eTrust-Vet 31.3.5629 2008.03.20 Win32/Iflar.C Ewido 4.0 2008.03.20 Proxy.Agent.kj F-Prot 4.4.2.54 2008.03.19 W32/Trojan.QUT F-Secure 6.70.13260.0 2008.03.20 W32/Malware FileAdvisor 1 2008.03.20 - Fortinet 3.14.0.0 2008.03.20 W32/Agent.KJ!tr Ikarus T3.1.1.20 2008.03.20 Trojan-Proxy.Win32.Agent.kj Kaspersky 7.0.0.125 2008.03.20 Trojan-Proxy.Win32.Agent.kj McAfee 5255 2008.03.20 FDoS-Spabot Microsoft 1.3301 2008.03.20 Trojan:Win32/Agent.ER NOD32v2 2964 2008.03.20 probably a variant of Win32/TrojanProxy.Agent Norman 5.80.02 2008.03.20 W32/Agent.AUIY Panda 9.0.0.4 2008.03.20 Trj/Agent.ECP Prevx1 V2 2008.03.20 Generic.Malware Rising 20.36.32.00 2008.03.20 Trojan.Proxy.Agent.swa Sophos 4.27.0 2008.03.20 Troj/Klone-K Sunbelt 3.0.978.0 2008.03.18 Trojan-Proxy.Win32.Agent.kj Symantec 10 2008.03.20 Trojan.Goldun TheHacker 6.2.92.250 2008.03.19 Trojan/Proxy.Agent.kj VBA32 3.12.6.3 2008.03.17 Trojan-Proxy.Win32.Agent.kj VirusBuster 4.3.26:9 2008.03.20 Trojan.PR.Agent.GSF Webwasher-Gateway 6.6.2 2008.03.20 Trojan.Proxy.Agent.KJ.20 File size: 155648 bytes MD5: 435e8cf80df80af88848d4d9d905c690 SHA1: c8a0271fd87ff68f7c480227be3d1c08243f3381 PEiD: PKLITE32 1.1 -> PKWARE Inc. packers: PKLite32 Prevx info: ~DP1.EXE - Prevx --------------------------- Das sieht schon besser aus und wie werd ich den jetz los? Und vorallem was macht der lustige Trojaner und wie kommt er hierher? Geändert von shf10105 (20.03.2008 um 18:27 Uhr) |
21.03.2008, 11:53 | #9 |
| winlogon.exe infiziert? Wenn ich mir die Namen bei der Erkennung ansehe, also Proxy und Goldun, ist das ein Passwotstehlender Trojaner, der gleichzeitig auch als Proxy und Spamtrojanerr nutzen kann. Also wuerde ich zur Sicherheit, den Rechner neu aufsetzen und alle Passworte wechseln. Es waere moeglich, das deine Firewall nicht alles geblockt hat. Ueber den Verbreitungsweg des Trojaners kann ich dir nichts sagen, wuerde aber auf die Nutzung von Software aus nicht vertrauenswuerdigen Quellen tippen....
__________________ MfG Ralf |
21.03.2008, 18:13 | #10 |
| winlogon.exe infiziert? Das trifft sich gut, denn ich wollte sowieso mal wieder neu aufsetzen... Denn die Partition für Linux ist ein wenig klein. Dann gehts wohl mal ans sichern der Dokumente auf C://^^ Und meine Proggs werd ich dann wohl mal zur sicherheit neu compilieren. Dennoch hoff ich mal, dass die Firewall alles geblockt hat. Da ich in der letzten Woche nur ein einziges Programm installiert habe (welches nicht aus vertrauenswürdigen Quellen stammte), kann die Vermutung durchaus zutreffen. Es handelt sich um ein Open Source Programm, der download war aber nicht von der original seite. |
Themen zu winlogon.exe infiziert? |
1.tmp, 7-zip, adobe, antivir, bho, c:\windows\temp, drivers, einstellungen, excel, explorer, firefox, firewall, frage, free download, handel, hijack, hijackthis, hijackthis log, infiziert?, internet, internet explorer, ip adressen, logon.exe, monitor, mozilla, mozilla firefox, nvidia, rundll, schädling, software, solution, symantec, system, temp, unknown file in winsock lsp, windows, windows xp, windows\temp, winlogon.exe |