Hallo, ich gestern den ganzen Tag versucht Trojaner zu entfernen!
Alles ist mir gelungen, bis auf winlogon.exe, die sich bei mir auch im Windows/Temp Ordner befindet. Da sie aber läuft und der TaskManager diesen Prozess nicht stoppen kann oder will, da er meint es sei ein System-Prozess, kann ich sie nicht löschen. Habe bereits versucht im Run Ortner der RegEdit diesen Eintrag zu löschen, damit sie nicht automatisch startet, doch auch nun hat sie automatisch gestartet und ist deshalb nicht löschbar.
Die Firewall sagt mir, dass sie Verbindungen aufbauen will. Und ich denke, dass dieses Programm Massenmails versendet, da ich von meinem Provider bereits die Meldung erhalten habe, dass ich als Massenmailversender missbraucht werde und heute habe ich gesehen, wie mein Mailscanner aufleuchtet ohne dass das Mailprogramm geöffnet war. Als ich mit der Maus drauf fuhr, zeigte er "winlogon und irgend eine IP Adresse an oder unbekannte homepageadressen aus it konnte ich erkennen und auch aus anderen Teilen der Welt"
Hab durch die Firewall jetzt diese Aktivitäten blockiert, doch möchte ich "winlogon.exe" überhaupt aus dem Temp Ordner entfernen, da es sich hierbei sicher nicht um den Windows Prozess handelt. Außerdem zeigt mein TaskManager zwei Prozesse an, einen mit System und einem mit meinen Namen als Ausführender. Ich denke der mit meinem Namen ist der Falsche, doch er lässt sich wie gesagt auch nicht stoppen!

Wäre für eine Hilfe dankbar!!

Thomas

Hi,

zunächst musst du dafür garantieren können, dass keine Spammail mehr diesen Rechner verlassen kann. Am besten ihn nicht mehr mit dem Internet verbinden und fürs Internet einen anderen Rechner benutzen. Ist diese Garantie nicht möglich: formatieren und neu installieren. Das ist immer noch besser als wenn die Polizei den Rechner als Beweismaterial kassiert und eine große Menge Justizstress abgeht. Spam versenden ist nämlich kriminell.

Ansonsten: stelle ein HijackThis Log des Systems hier rein. Außerdem kann es hilfreich sein, wenn Du mitteilst, was Du bereits alles getan hast, die alten Logs und Scanberichte ebenfalls postest.

Gruß, Karl

Das Problem ist: Es gibt keine Scanberichte, alle Virenscanner und Spy und Malware Scanner, erkennen die Datei als sauber. Ich bin nur zufällig darauf gestoßen, als ich andere Trojaner wie z.B. cftmona oder WinFix entfernt hatte. Da checkte ich alle Prozesse und der hier ist mir verdächtig vorgekommen, da er zweimal aufscheint. Dann bin ich in diesem Board darauf gestoßen, dass der richtige winlogon.exe im System32 Ordner ist. Da er sich bei mir auch im Temp Ordner befindet bin ich stutzig geworden. Dann auch noch die Meldung dass mein E-Mailscanner in der Taskleiste E-Mails Scannt, obwohl das E-Mail-Programm geschlossen ist. Da war es für mich klar. Auch alle Versuche mittels RegEdit den Prozess zu canceln sind fehlgeschlagen. Er ist immer wieder sofort da. Als ich dann einen Firewall installierte merkte ich, das winlogon.exe aus der Temp Datei immer raus möchte. Wird natürlich alles blockiert. Auch habe ich den Rechner bereits vom Netz genommen.
Warum kennt keine Virensoftware den Wurm??
Bitte um Hilfe. Soll ich es im abgesicherten Modus versuchen die RegEdit zu bereinigen und den Prozess zu stoppen und danach die Datei zu löschen?
Thomas

hi,
versuche es dochmal im Abgesicherten Modus .
vll. ist es ein neuer virus ,dann sende ihn doch an kasperky (oa.)

Hallo

Zitat:

Soll ich es im abgesicherten Modus versuchen die RegEdit zu bereinigen und den Prozess zu stoppen und danach die Datei zu löschen?

Die Datei bitte nicht löschen, lasse die betroffenen Dateien hier Virustotal, hier VirSCAN.org - The Multi-Engine Virus Scanner v1.00 Beta,Support 36 AntiVirus Engine, Last Update(080422)
oder hier Jotti überprüfen (kann einige Minuten dauern),
poste die Ergebnisse mit der Angabe der Größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben,
bitte auch wenn nichts gefunden wurde.


Erstelle doch bitte mal, wie Karl auch schon gebeten hatte, ein HijackThis Log
http://www.trojaner-board.de/51130-a...ijackthis.html
zusätzlich scanne dein System mit Silentrunners
Silentrunners
anschließend poste das Log.
Scanne bitte auch mit Blacklight
ftp://ftp.f-secure.com/anti-virus/tools/fsbl.exe
das Log findest du im selben Ordner wo Blacklight abgelegt wurde.

MFG

Wollte allen mitteilen, dass ich ihn entfernt habe und zwar mit einem guten Tool a-squared HiJackFree, dieses Toll entfernt alle Prozesse restlos mit allen Schlüsseln und zusammenhängenden Treibern ein für alle mal und das sogar auf der Windows Oberfläche.

Habe jetzt endlich Ruhe...
Hier zum Tool: a-squared HiJackFree features
oder a-squared HiJackFree

Thomas

Hallo

schön, dass du alle gut gemeinten Tipps der Helfer so sorgfältig umgesetzt hast
Na ja, was solls ist nicht unser System...

Prost