Tag auch.Ich hab folgendes Problem, dass sich bei jeder Aktion an meinen Laptop winlogon.exe auf 100% Systemauslastung schraubt.
Vor allem wenn ich im Internetz rumwusle wird firefox dadurch nichmehr rückmelde fähig.

Hab schon einiges Probiert..wird von Antivir kein Virus angezeigt/ die winlogon.exe befindet sich auch im c:\System\winlogon.exe

Kein plan mehr was ich machen kann..bzw. was ich überhaupt machen kann.
Hoffe einer von euch kann mir da behilflich sein.
mfg F.L.O_o

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:20:02, on 20.11.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\AVG\AVG9\avgchsvx.exe
C:\Programme\AVG\AVG9\avgrsx.exe
C:\Programme\AVG\AVG9\avgcsrvx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AskBarDis\bar\bin\AskService.exe
C:\Programme\AskBarDis\bar\bin\ASKUpgrade.exe
C:\Programme\AVG\AVG9\avgwdsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Virtual CD v10\System\VC10SecS.exe
C:\WINDOWS\ATK0100\HControl.exe
C:\Programme\ASUS\ASUS Live Update\ALU.exe
C:\Programme\Wireless Console 2\wcourier.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\ASUSTeK\ASUSDVD\PDVDServ.exe
C:\Programme\ASUS\Power4 Gear\BatteryLife.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\AVG\AVG9\avgtray.exe
C:\Programme\Virtual CD v10\System\VC10Play.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programme\AVG\AVG9\avgemc.exe
C:\WINDOWS\Twain_32\FlatBed\HotKey.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\AVG\AVG9\avgnsx.exe
C:\Programme\Asus\Asus ChkMail\ChkMail.exe
C:\Programme\AVG\AVG9\avgcsrvx.exe
C:\Programme\Virtual CD v10\System\VC10Tray.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\dllhost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\Programme\WinZip\WINZIP32.EXE
C:\Dokumente und Einstellungen\F.L..O_o\Lokale Einstellungen\Anwendungsdaten\Opera\Opera\temporary_downloads\ProcessExplorer (1)\procexp.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.asus.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.asus.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.asus.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Programme\AskBarDis\bar\bin\askBar.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programme\AVG\AVG9\avgssie.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Programme\AskBarDis\bar\bin\askBar.dll
O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ASUS Live Update] C:\Programme\ASUS\ASUS Live Update\ALU.exe
O4 - HKLM\..\Run: [Wireless Console 2] C:\Programme\Wireless Console 2\wcourier.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Zshutdown] c:\sysprep\patch\sysprep.cmd
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\ASUSTeK\ASUSDVD\PDVDServ.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Power_Gear] C:\Programme\ASUS\Power4 Gear\BatteryLife.exe 1
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AVG9_TRAY] C:\PROGRA~1\AVG\AVG9\avgtray.exe
O4 - HKLM\..\Run: [VC10Player] C:\Programme\Virtual CD v10\System\VC10Play.exe
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [HotKey] C:\WINDOWS\Twain_32\FlatBed\HotKey.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [DriverUpdaterPro] C:\Programme\iXi Tools\Driver Updater Pro\DriverUpdaterPro.exe -t
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: ASUS ChkMail.lnk = C:\Programme\Asus\Asus ChkMail\ChkMail.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.asus.com
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programme\AVG\AVG9\avgpp.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll
O23 - Service: ASKService - Unknown owner - C:\Programme\AskBarDis\bar\bin\AskService.exe
O23 - Service: ASKUpgrade - Unknown owner - C:\Programme\AskBarDis\bar\bin\ASKUpgrade.exe
O23 - Service: AVG Free E-mail Scanner (avg9emc) - AVG Technologies CZ, s.r.o. - C:\Programme\AVG\AVG9\avgemc.exe
O23 - Service: AVG Free WatchDog (avg9wd) - AVG Technologies CZ, s.r.o. - C:\Programme\AVG\AVG9\avgwdsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Virtual CD v10 Management Service (VC10SecS) - H+H Software GmbH - C:\Programme\Virtual CD v10\System\VC10SecS.exe

--
End of file - 6556 bytes

Moin Flo.

Dein System stammt aus dem Mittelalter! Service Pack 3 ist Pflicht! Ebenso wie ein aktueller Internet Explorer (auch wenn du ihn nicht nutzt!)

Arbeit folgende List ab:

• Installiere keine Anti-Spyware/Anti-Malware oder sonstige "Sicherheits"-Programme sondern nur ein normales AntiViren Programm wie zum Beispiel: AntiVir free, Panda AV, a-squared oder avast free. Tipp: Häufig gibt es die Programme billiger als auf der Hersteller-Homepage. Zum Beispiel bei Amazon.de.
  Internet Security Suiten oder gar TotalCare Produkte haben keinerlei Mehrwert!
  Sehr empfehlen kann ich PrevX!
  Mit einem kostenlosen Anti-Malware-Scanner ohne Wächter wie SUPERAntiSpyware oder Anti-Malware kann der PC bei Verdacht überprüft werden.
  .
• Halte immer alle Anwendungen aktuell (Secunia PSI kann hier wertvolle Hilfe leisten).
  .
• Update die Viren-Signaturen deines Anti-Viren Programmes reglemäßig.
  .
• Beachte bitte, dass jegliche Anti-Viren Scanner (auch in Kombination) nur einen Bruchteil aller Schädlinge finden!
  .
• Update auch regelmäßig die Hardwaretreiber (Grafikkarte, Soundkarte).
  .
• Das Windows Update sollte automatisch erfolgen -> Der Frischmacher.
  .
• Das aktuelle ServicePack sollte installiert sein:
  • XP_ ServicePack3
  • Vista_ ServicePack2
  .
• Eine vernünftige Ordneransicht erschwert es Malware sich vor dir zu verstecken -> Einstellungen.
  .
• Bei Windows Vista und Windows 7 können einige Dienste deaktiviert werden: TechNET
• Windows-Firewall aktivieren: (Wenn beim installiertem AV-Prog eine Firewall dabei ist so kann diese verwendet werden!)
  • XP_ Firewall
  • Vista & Windows 7_ Firewall
    Vista_Firewall punktgenau konfigurieren
  .
• Der Windows Autorun sollte unbedingt deaktiviert werden!
  .
• Es ist nicht sinnvoll eine personal/Desktop Firewall wie Zone-Alarm, Commodo o.ä. zu installieren. Diese erhöhen keines Falls die Systemsicherheit! Weitere Infos
  .
• Internetoptionen sicher gestallten: Start->Systemsteuerung->Internetoptionen
  • Sicherheit: -> höchste Stufe
    Wähle danach: Stufe anpassen. Ändere die Einstellung: Anwendungen und uns. Dateien starten -> "Bestätigen"
    und Installation von Desktopobj. -> "Bestätigen".
  • Datenschutz: -> alle Cookies blockieren
  Nutze nicht den MS-InternetExplorer sondern einen alternativen Browser wie FireFox, Opera o.ä..
  .
• Räume den Rechner regelmäßig mit dem cCleaner auf; Punkte 1&2.
  .
• Als letztes der wichtigste Punkt: Downloade dir keine illegalen oder nicht vertrauenswürdigen Daten aus dem Internet! Cracks, Keygens und gecrackte Software sind fast immer verseucht! Besonders Filesharing Tauschbörsen wie eMule, Kazaa, Bittorrent und andere Peer-to-Peer (P2P) Netzwerke sind extrem gefährlich! Sehr häufig sind die Dateien mit Schädlingen infiziert die von keinem Virenscanner entdeckt werden!!
  .
  Allgemeine Informationen zu dieser Problematik

Häufig gestellte Fragen: XP | Vista

http://www.trojaner-board.de/71631-p...samer-tun.html



Wenn du alles getan hast was die Liste hergibt dann melde dich mit zwei AVZ logs wieder.

Sooo hoffe hab die Liste abgearbeite und soweit alles richtig gemacht.
Die AVZ-logs hab ich gleich angehangen.
Besten dank nochaml für die Hilfe^^

Moin Flo.

Hast du eine Vollversion von PrevX laufen? Oder nur die Free?

Führe folgendes Skript mit AVZ aus:

Code: Alles auswählenAufklappen

ATTFilter

begin
SearchRootkit(true, true);
SetAVzGuardStatus(true);
 DeleteFileMask('c:\programme\askbardis\bar\bin', '*.*', true);
 DeleteFileMask('c:\programme\askbardis\bar', '*.*', true);
 DeleteFileMask('c:\programme\askbardis', '*.*', true);
 DeleteDirectory('c:\programme\askbardis');
 DeleteFile('C:\WINDOWS\system32\Drivers\PROCEXP113.SYS');
 DeleteFile('C:\WINDOWS\system32\drivers\HH10Help.sys');
 DelCLSID('201f27d4-3704-41d6-89c1-aa35e39143ed');
 DelCLSID('3041d03e-fd4b-44e0-b742-2d9b88305f98');
 DelCLSID('2670000A-7350-4f3c-8081-5663EE0C6C49');
 DelCLSID('92780B25-18CC-41C8-B9BE-3C9C571A8263');
 DelCLSID('FAC3CBF6-8697-43d0-BAB9-DCD1FCE19D75');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 BC_DeleteService('HH10Help.sys');
 RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetAVZPMStatus(True);
ExecuteWizard('TSW', 3, 3, true);
RebootWindows(true);
end.
         

Überprüfe den Rechner danach mit Malwarebytes und poste ein PrevX log.

Ich benutze PrevX free.
Und im skript scheint es nen fehler zu geben..
Es sagt mir:
Script error: Undeclared identifier: 'BC_DeleteService', position [18:18]
Script error: Undeclared identifier: 'BC_DeleteService', position [19:18]

mfg flo

Neues Skript:

Code: Alles auswählenAufklappen

ATTFilter

begin
SearchRootkit(true, true);
SetAVzGuardStatus(true);
 DeleteFileMask('c:\programme\askbardis\bar\bin', '*.*', true);
 DeleteFileMask('c:\programme\askbardis\bar', '*.*', true);
 DeleteFileMask('c:\programme\askbardis', '*.*', true);
 DeleteDirectory('c:\programme\askbardis');
 DeleteFile('C:\WINDOWS\system32\Drivers\PROCEXP113.SYS');
 DeleteFile('C:\WINDOWS\system32\drivers\HH10Help.sys');
 DelCLSID('201f27d4-3704-41d6-89c1-aa35e39143ed');
 DelCLSID('3041d03e-fd4b-44e0-b742-2d9b88305f98');
 DelCLSID('2670000A-7350-4f3c-8081-5663EE0C6C49');
 DelCLSID('92780B25-18CC-41C8-B9BE-3C9C571A8263');
 DelCLSID('FAC3CBF6-8697-43d0-BAB9-DCD1FCE19D75');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 BC_DeleteSvc('HH10Help.sys');
 RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetAVZPMStatus(True);
ExecuteWizard('TSW', 3, 3, true);
RebootWindows(true);
end.
         

Hab jetzt erstmal die neuen AVZ Logs angehangen.

Der PrevX log ist ein zu wenig groß 629 kb.Wie kann ich den Posten

mfg flo

Lade das PrevX log bei file-upload.net hoch und poste den downloadlink.

Cool
Habsch gemacht.

Hier der LINK:
http://www.file-upload.net/download-2055771/PrevX.txt.html

Mit freundlichen Grüßen

Der F.L.O_o

Das letzte korrigierte AVZ Skript hattest du ausgeführt?

Poste dann bitte zwei frische AVZ logs.

Das letzte Skript was du mir geschickt hast hab ich ausgeführt und auch danach wieder 2 AVZ-Logs erstellt.Diese hab ich an die Nachricht vom 02.12.09 von mir Angehangen.