| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Trojaner winlogon.exeWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
03.04.2008, 13:46
| #1 |
| |  Trojaner winlogon.exe Hallo erstmal seit 3 tagen ärgere ich mich jetzt mit dem trojaner winlogon.exe als erstes habe ich versucht über aivira den virus zu löschen hat nicht funktionniert dann bin ich selber mal durch die dateien und habe nach möglichen dateien gesucht die den trojaner beinhalten könnten als das nichts half habe ich mir die 30 tage kostenlose testversion von kaspersky zugelegt der hat zwar den trojaner erkannt aber kaspersky kann ihn nicht desinfizieren löschen funktioniert auch nicht gelöscht: trojanisches Programm Trojan-Downloader.Win32.Zlob.kko Datei: C:\Programme\NetProject\wamdl.dll nicht gefunden: trojanisches Programm Trojan-Downloader.Win32.Zlob.kkp Datei: C:\Programme\NetProject\sbsm.exe gelöscht: trojanisches Programm Trojan-Downloader.Win32.Zlob.kkp gelöscht: trojanisches Programm Trojan-Downloader.Win32.Zlob.kkp Modul: sbsm.exe\sbsm.exe der trojaner versteckt sich warscheinlich in der datei sbsm.exe allerdings faselt kaspersky von irgendeiner adware und kann dadurch nicht gelöscht werden ich habe dann versucht wamdl.dll zu löschen allerdings meint der pc das diese datei von einer person benutzt würde obwohl diese datei erst am 1.4 erstellt worden ist an dem tag an dem ich den virus bekommen habe auch ist die sbsm.exe\sbsm.exe anscheinend schreibgeschützt oder so ähnlich und kaspersky sagt die datei kann nicht umgeschrieben werden auch gelingt es mir zwar eine sbsm.exe zu löschen aber wenn ich den pc neu starte ist der trojaner wieder da daher glaube ich das der trojaner ein backup oder so etwas ähnliches hat im prozess wird der virus als winlogon.exe aufgeführt ich bin aber nicht in der lage diesen prozess zu beenden ich habe schon einen anderen threat bei euch über diesen virus gelesen allerdings muss ich sagen das ich in diesem fachbreich nicht so erfahren bin und hauptsächlich bahnhof verstanden habe hättet ihr bitte die güte mir schritt für schritt und einfach zu erklären wie ich diesen trojaner von meinem pc entfernen kann? |
|
03.04.2008, 14:14
| #2 |
| Administrator > Competence Manager  | Trojaner winlogon.exeHallo DerNoob und  Erstellung eines Hijacklog
CCleaner Temporäre Dateien mit CCleaner bereinigen Download CCleaner und installiere ihn, (klicke die Toolbar weg!). Danach CCleaner starten und => unter options settings => german einstellen.
ComboFix
__________________ |
|
03.04.2008, 17:54
| #3 |
| | Trojaner winlogon.exe das hier??
__________________Logfile of Trend Micro HijackThis v2.0.2 [edit] bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird: http://www.trojaner-board.de/22771-a...tml#post171958 danke GUA  [/edit] |
|
04.04.2008, 16:32
| #4 |
| | Trojaner winlogon.exe na toll..... combofix geht nicht und der trojaner is immer noch da :-( Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 17:28, on 2008-04-04 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\NetProject\sbmntr.exe C:\Programme\NetProject\scit.exe C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\NetProject\scm.exe C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe C:\WINDOWS\system32\oodag.exe C:\Programme\ICQLite\ICQLite.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\cmd.exe D:\Sicherung\tools\This.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll (file missing) O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: (no name) - {7C109800-A5D5-438F-9640-18D17E168B88} - C:\Programme\NetProject\sbmdl.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll (file missing) O3 - Toolbar: Internet Service - {DB9FBA9D-AB1B-4CC6-9745-F3B549D64E40} - C:\Programme\NetProject\wamdl.dll (file missing) O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe" O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - HKLM\..\Policies\Explorer\Run: [start] C:\Programme\NetProject\sbmntr.exe O4 - HKLM\..\Policies\Explorer\Run: [some] C:\Programme\NetProject\scit.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll O9 - Extra button: (no name) - {9034A523-D068-4BE8-A284-9DF278BE776E} - w+w.iefixgate.com/redirect.php (file missing) O9 - Extra 'Tools' menuitem: IE Anti-Spyware - {9034A523-D068-4BE8-A284-9DF278BE776E} - w+w.iefixgate.com/redirect.php (file missing) O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h++p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1158413574671 O22 - SharedTaskScheduler: enviva - {f43bfc6c-47cc-4798-8798-a0721b8ed7ab} - C:\WINDOWS\system32\baoohy.dll (file missing) O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe -- End of file - 5454 bytes |
|
04.04.2008, 16:34
| #5 |
| Administrator > Competence Manager | Trojaner winlogon.exe Was heisst denn bitte "Combofix" geht nicht? Beschreibe es bitte genauer... Lässt es sich nicht starten, startet es und bricht dann ab?
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Stulti est se ipsum sapientem putare. |
|
04.04.2008, 17:10
| #6 |
| | Trojaner winlogon.exe doch ich glaube es hat funktioniert ich bin mir net sicher aufjedenfall hab ich das ding gestartet und bin weggegangen dann hat der pc anscheinend neugestartet und ein catchme.log ist dann auf dem desktop erschienen sollte das so sein? |
|
04.04.2008, 17:22
| #7 | |
| Administrator > Competence Manager | Trojaner winlogon.exeZitat:
 Probiere es nochmal. Runterladen, Doppelklick machen und mir schreiben, wenn nichts passiert, was genau passiert. 
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Stulti est se ipsum sapientem putare. |
|
04.04.2008, 17:52
| #8 |
| | Trojaner winlogon.exe das war im catchme.log drin catchme 0.3.1344.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-04-04 17:51:20 Windows 5.1.2600 Service Pack 2 scanning processes ... System [4] C:\WINDOWS\system32\smss.exe [848] 0x82406500 C:\WINDOWS\system32\csrss.exe [956] 0x8273B488 C:\WINDOWS\system32\winlogon.exe [980] 0x824A5DA0 C:\WINDOWS\system32\services.exe [1024] 0x826B12F0 C:\WINDOWS\system32\lsass.exe [1036] 0x8270F860 C:\WINDOWS\system32\svchost.exe [1192] 0x825FA620 C:\WINDOWS\system32\svchost.exe [1308] 0x824C6020 C:\WINDOWS\system32\svchost.exe [1356] 0x824B2A50 C:\WINDOWS\system32\svchost.exe [1524] 0x824839F8 C:\WINDOWS\system32\spoolsv.exe [1564] 0x824BEDA0 C:\Programme\NetProject\sbmntr.exe [1876] 0x824D4558 C:\Programme\NVIDIA Corporation\NvMixer\NvMixerTray.exe [1892] 0x81CCADA0 C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe [1912] 0x81CC6B98 C:\WINDOWS\system32\ctfmon.exe [1920] 0x81CB8B98 C:\Programme\NetProject\sbsm.exe [1984] 0x81CB0020 C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe [216] 0x81C898B0 C:\WINDOWS\system32\oodag.exe [264] 0x81C80DA0 C:\WINDOWS\system32\alg.exe [1772] 0xFFB31DA0 C:\WINDOWS\system32\CF30865.exe [880] 0xFF986A80 C:\WINDOWS\system32\CF30865.exe [2012] 0xFF9A09B0 C:\WINDOWS\explorer.exe [1176] 0xFFB9B7C0 C:\WINDOWS\system32\CF30865.exe [2244] 0x82660DA0 C:\WINDOWS\system32\CF30865.exe [396] 0xFFA6BB30 C:\ComboFix\catchme.cfexe [4020] 0x826D65C8 C:\ComboFix\swreg.cfexe [4016] 0xFFA2EBA0 C:\ComboFix\sed.cfexe [3592] 0xFFA6E728 C:\ComboFix\findstr.cfexe [3568] 0xFF947020 |
|
| Themen zu Trojaner winlogon.exe |
| adware, anderen, dateien, desinfizieren, einfach, em pc entfernen, entfernen, erkannt, erstellt, funktion, funktioniert, gesucht, kaspersky, kostenlose, logon.exe, löschen, neu, nichts, programm, programme, prozess, testversion, trojaner, trojanisches, trojanisches programm, version, versteckt sich, virus, winlogon.exe |
Linear-Darstellung
