Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: TR/Spy.51302422 in winlogon.exe

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 23.11.2010, 16:36   #16
Swisstreasure
/// Malwareteam
 
TR/Spy.51302422 in winlogon.exe - Standard

TR/Spy.51302422 in winlogon.exe



Welche Lizenz?

Alt 23.11.2010, 16:41   #17
Sphirex
 
TR/Spy.51302422 in winlogon.exe - Standard

TR/Spy.51302422 in winlogon.exe



Gute Frage, wenn ich das wüsste. Hab es sowohl mit Firefox wie auch mit IE versucht, jedesmal die selbe Fehlermeldung. Das mit der Lizenz steht ja in der Fehlermeldung oben.

/edit: Ich muss den Inhalt von Kaspersky zulassen, die Lizenz von denen meldet dann einen Fehler, geh ich auf weiter Informationen kommt folgendes:

Code:
ATTFilter
Launch of the Java application is interrupted! 
Please establish an uninterrupted Internet connection for work with this program.

Diese Anwendung wird ohne normalerweise von Java bereitgestellten Sicherheitseinschränkungen ausgeführt.

Die digitale Signatur ist abgelaufen.
         
__________________


Geändert von Sphirex (23.11.2010 um 16:49 Uhr)

Alt 23.11.2010, 16:51   #18
Swisstreasure
/// Malwareteam
 
TR/Spy.51302422 in winlogon.exe - Standard

TR/Spy.51302422 in winlogon.exe



Dann nimm:
  • Panda
  • Panda (ohne Registrierung)
    • Unterstützte Betriebssysteme: Windows 2000/XP (32- und 64-Bit)/Vista (32 und 64-Bit)
    • Voraussetzung: Internet Explorer 5.01 oder höher
    • Anmerkung für Vista-User: Bitte den Browser unbedingt als Administrator starten.
    • Du musst Dich registrieren - Newsletter abhaken!
    • Kompletter Scan anhaken und auf den grünen Button "Jetzt scannen" klicken.
      • Bei Nutzung über Mozilla Firefox:
      • ActiveScan 2.0 heruntergeladen.
      • ActiveScan 2.0 installieren.
      • Scan starten.
      • Bei Nutzung über Internet Explorer:
      • ActiveX-Steuerelemente erlauben.
      • ActiveX-Steuerelement installieren lassen,
      • die Signaturen werden heruntergeladen, ebenfalls installieren lassen.
      • Der Scan startet automatisch.
    • Am Ende des Scans die Funde über den Link "Anzeigen" einblenden lassen, kopieren und hier posten.
    • Das ist wichtig, denn Panda entfernt die Funde nur in der kostenpflichtigen Version.
    • Der Helfer vom Forum wird Dir helfen, die Funde zu entfernen.

    • Im Fall von Problemen bitte zunächst die FAQ lesen.
    • Deinstallation:
    • Das Programm wird nach C:\Programme\PandaSecurity\ActiveScan 2.0 installiert.
    • Das Programm über Systemsteuerung => Software (Panda ActiveScan) deinstallieren.
__________________

Alt 23.11.2010, 18:15   #19
Sphirex
 
TR/Spy.51302422 in winlogon.exe - Standard

TR/Spy.51302422 in winlogon.exe



Auch Pander scheint nicht weiterzulaufen, es ist bereits seit 45 Minuten an der selben Datei dran, aber er wurde fündig:

Code:
ATTFilter
Gescannte Dateien:      63168
Infizierte Dateien:     13
Verdächtige Dateien erkannt:     0
Schwachstellen erkannt:     18
         
Soll ich den Scanvorgang abbrechen oder einfach mal an lassen? Denn wenn ich nun abbreche bekomm ich ja die Liste der Funde nicht, oder?

Alt 23.11.2010, 18:32   #20
Swisstreasure
/// Malwareteam
 
TR/Spy.51302422 in winlogon.exe - Standard

TR/Spy.51302422 in winlogon.exe



Einfach laufen lassen. Der Scan geht lange. Du brauchst Geduld!


Alt 23.11.2010, 20:56   #21
Sphirex
 
TR/Spy.51302422 in winlogon.exe - Standard

TR/Spy.51302422 in winlogon.exe



Hat knapp 4 Stunden gedauert, nicht übel! Aber nun sind wir wenigstens einen Schritt weiter!

ActiveScan log
Code:
ATTFilter
;***********************************************************************************************************************************************************************************
ANALYSIS: 2010-11-23 20:54:24
PROTECTIONS: 1
MALWARE: 17
SUSPECTS: 3
;***********************************************************************************************************************************************************************************
PROTECTIONS
Description                                  Version                       Active    Updated
;===================================================================================================================================================================================
AntiVir Desktop                              9.0.1.32                      Yes       Yes
;===================================================================================================================================================================================
MALWARE
Id        Description                        Type                Active    Severity  Disinfectable  Disinfected Location
;===================================================================================================================================================================================
00139061  Cookie/Doubleclick                 TrackingCookie      No        0         Yes            No           c:\dokumente und einstellungen\gast2\cookies\gast2@doubleclick[1].txt
00139064  Cookie/Atlas DMT                   TrackingCookie      No        0         Yes            No           c:\dokumente und einstellungen\gast2\cookies\gast2@atdmt[1].txt
00139064  Cookie/Atlas DMT                   TrackingCookie      No        0         Yes            No           c:\dokumente und einstellungen\sphirex\cookies\sphirex@atdmt[2].txt
00145393  Cookie/Tradedoubler                TrackingCookie      No        0         Yes            No           c:\dokumente und einstellungen\gast2\cookies\gast2@tradedoubler[2].txt
00145457  Cookie/FastClick                   TrackingCookie      No        0         Yes            No           c:\dokumente und einstellungen\gast2\cookies\gast2@fastclick[1].txt
00145738  Cookie/Mediaplex                   TrackingCookie      No        0         Yes            No           c:\dokumente und einstellungen\gast2\cookies\gast2@mediaplex[2].txt
00168061  Cookie/Apmebf                      TrackingCookie      No        0         Yes            No           c:\dokumente und einstellungen\gast2\cookies\gast2@apmebf[2].txt
00168090  Cookie/Serving-sys                 TrackingCookie      No        0         Yes            No           c:\dokumente und einstellungen\gast2\cookies\gast2@serving-sys[1].txt
00168093  Cookie/Serving-sys                 TrackingCookie      No        0         Yes            No           c:\dokumente und einstellungen\gast2\cookies\gast2@bs.serving-sys[2].txt
00168109  Cookie/Adtech                      TrackingCookie      No        0         Yes            No           c:\dokumente und einstellungen\gast2\cookies\gast2@adtech[1].txt
00169190  Cookie/Advertising                 TrackingCookie      No        0         Yes            No           c:\dokumente und einstellungen\gast2\cookies\gast2@advertising[2].txt
00262020  Cookie/Atwola                      TrackingCookie      No        0         Yes            No           c:\dokumente und einstellungen\gast2\cookies\gast2@atwola[2].txt
00352728  Generic Trojan                     Virus/Trojan        No        0         Yes            No           c:\_otl\movedfiles\11222010_200752\c_windows\system32\charonce.dll
03074964  Trj/CI.A                           Virus/Trojan        No        0         Yes            No           c:\system volume information\_restore{2e59b614-c8bb-4a7f-b617-f70ee0ddbb60}\rp1\a0001056.dll
03074964  Trj/CI.A                           Virus/Trojan        No        0         Yes            No           c:\_otl\movedfiles\11222010_200752\c_dokumente und einstellungen\sphirex\anwendungsdaten\5f66cf01f20ae1d1ed79a549649db669\truefix70700duo.exe
06159146  Trj/Krapack.gen                    Virus/Trojan        No        0         Yes            No           c:\system volume information\_restore{2e59b614-c8bb-4a7f-b617-f70ee0ddbb60}\rp1\a0001021.sys
06159146  Trj/Krapack.gen                    Virus/Trojan        No        0         Yes            No           c:\system volume information\_restore{2e59b614-c8bb-4a7f-b617-f70ee0ddbb60}\rp1\a0001022.sys
06159146  Trj/Krapack.gen                    Virus/Trojan        No        0         Yes            No           c:\system volume information\_restore{2e59b614-c8bb-4a7f-b617-f70ee0ddbb60}\rp1\a0001023.sys
06159146  Trj/Krapack.gen                    Virus/Trojan        No        0         Yes            No           c:\system volume information\_restore{2e59b614-c8bb-4a7f-b617-f70ee0ddbb60}\rp1\a0001024.sys
06159146  Trj/Krapack.gen                    Virus/Trojan        No        0         Yes            No           c:\system volume information\_restore{2e59b614-c8bb-4a7f-b617-f70ee0ddbb60}\rp1\a0001025.sys
06159146  Trj/Krapack.gen                    Virus/Trojan        No        0         Yes            No           c:\system volume information\_restore{2e59b614-c8bb-4a7f-b617-f70ee0ddbb60}\rp1\a0001026.sys
06162619  Trj/Banbra.GQU                     Virus/Trojan        No        1         Yes            No           c:\dokumente und einstellungen\sphirex\desktop\avenger.exe
07029010  W32/Patched.AC                     Virus               No        0         Yes            No           c:\system volume information\_restore{2e59b614-c8bb-4a7f-b617-f70ee0ddbb60}\rp2\a0002754.exe
07029010  W32/Patched.AC                     Virus               No        0         Yes            No           c:\system volume information\_restore{2e59b614-c8bb-4a7f-b617-f70ee0ddbb60}\rp2\a0002755.exe
07029010  W32/Patched.AC                     Virus               No        0         Yes            No           c:\qoobox\quarantine\c\windows\system32\winlogon.exe.vir
07029010  W32/Patched.AC                     Virus               No        0         Yes            No           c:\system volume information\_restore{2e59b614-c8bb-4a7f-b617-f70ee0ddbb60}\rp3\a0003095.exe
07029010  W32/Patched.AC                     Virus               No        0         Yes            No           c:\system volume information\_restore{2e59b614-c8bb-4a7f-b617-f70ee0ddbb60}\rp3\a0004096.exe
07029010  W32/Patched.AC                     Virus               No        0         Yes            No           c:\system volume information\_restore{2e59b614-c8bb-4a7f-b617-f70ee0ddbb60}\rp3\a0003087.exe
07029010  W32/Patched.AC                     Virus               No        0         Yes            No           c:\qoobox\quarantine\c\windows\explorer.exe.vir
07029010  W32/Patched.AC                     Virus               No        0         Yes            No           c:\system volume information\_restore{2e59b614-c8bb-4a7f-b617-f70ee0ddbb60}\rp7\a0004741.exe
07029010  W32/Patched.AC                     Virus               No        0         Yes            No           c:\system volume information\_restore{2e59b614-c8bb-4a7f-b617-f70ee0ddbb60}\rp7\a0004743.exe
07029010  W32/Patched.AC                     Virus               No        0         Yes            No           c:\system volume information\_restore{2e59b614-c8bb-4a7f-b617-f70ee0ddbb60}\rp2\a0001810.exe
07571285  Generic Trojan                     Virus/Trojan        No        0         Yes            No           c:\system volume information\_restore{2e59b614-c8bb-4a7f-b617-f70ee0ddbb60}\rp3\a0004097.exe
;===================================================================================================================================================================================
SUSPECTS
Sent      Location
;===================================================================================================================================================================================
No        c:\dokumente und einstellungen\sphirex\desktop\combo-fix.exe
No        c:\programme\gamehi_usa\suddenattackna\xfix.exe
No        c:\system volume information\_restore{2e59b614-c8bb-4a7f-b617-f70ee0ddbb60}\rp7\a0004833.exe
;===================================================================================================================================================================================
VULNERABILITIES
Id        Severity       Description
;===================================================================================================================================================================================
223917    HIGH           MS10-084
223916    HIGH           MS10-083
223914    HIGH           MS10-081
223909    HIGH           MS10-076
223906    HIGH           MS10-073
223904    HIGH           MS10-071
223355    HIGH           MS10-069
223353    HIGH           MS10-067
223352    HIGH           MS10-066
223349    HIGH           MS10-063
223346    HIGH           MS10-061
222627    HIGH           MS10-054
222626    HIGH           MS10-053
222622    HIGH           MS10-049
222621    HIGH           MS10-048
222620    HIGH           MS10-047
222470    HIGH           MS10-046
222062    HIGH           MS10-042
;===================================================================================================================================================================================
         

Alt 23.11.2010, 21:31   #22
Swisstreasure
/// Malwareteam
 
TR/Spy.51302422 in winlogon.exe - Standard

TR/Spy.51302422 in winlogon.exe





Hier noch die letzten paar Schritte zur Säuberung Deines Rechners.

Schritt 1

Systemwiederherstellungpunkte leeren

Windows +E Taste drücken --> Rechtsklick über Laufwerk C --> Eigenschaften --> Bereinigen --> weitere Optionen --> Systemwiederherstellung und Schattenkopien bereinigen.

Schritt 2

Tool CleanUp

Starte bitte die OTL.exe.
Klicke nun auf den Bereinigung Button. Dies wird die meisten Tools und Logfiles entfernen.
Sollte denoch etwas bestehen bleiben, bitte manuell entfernen sowie den Papierkorb leeren.


Schritt 3

Automatische Updates

Sehen wir nach ob die Updates für Windows sich automatisch downloaden. Das ist der beste Weg um all die Sicherheits- Patches und Fixes zu erhalten.

Windows + R Taste drücken. Kopiere nun folgenden Text in die Kommandozeile

RunDll32.exe shell32.dll,Control_RunDLL wscui.cpl

und klicke auf OK.
Stelle sicher das die automatischen Updates aktiviert sind.


Schritt 4

Um Dich für die Zukunft vor weiteren Infizierungen zu schützen empfehle ich Dir noch ein paar Programme.
  • SpywareBlaster
    Ein Tutorial zur Verwendung findest Du Hier

  • MalwareBytes Anti Malware
    Dies ist eines der besten Anti-Malware Tools auf dem Markt. Es ist ein On- Demond Scan Tool welches viele aktuelle Malware erkennt und auch entfernt.
    Update das Tool und lass es einmal in der Woche laufen. Die Kaufversion biete zudem noch einen Hintergrundwächter.
    Ein Tutorial zur Verwendung findest Du hier.
    Hinweis: MBAM ersetzt keine Anti- Viren- Software.

  • Temp File Cleaner
    TFC ist ein wirklich starkes Tool zum entfernen von Temp Dateien vom IE und WIndows, leert den Papierkorb und noch viel mehr.
    Ausserdem hilft es Deinen Computer zu beschleunigen.
    Du kannst Dir TFC ( by OldTimer ) hier downloaden.

  • MVPs hosts file
    Ein Tutorial findest Du hier. Leider habe ich bis jetzt kein deutschsprachiges gefunden.

  • Halte Dein System aktuell
    Ich kann gar nicht oft genug betonen, wie wichtig es ist, dass der PC auf dem aktuellsten Stand der Dinge ist.
    Es werden oft genug Sicherheitslücken in Windows eigenen Anwendungen gefunden. Diese "Löcher" gehören entfernt, weil Angreifer diese womöglich nutzen um unauthorisiert auf Dein System zu zugreifen.
    Jeden zweiten Dienstag im Monat ist Update Tag. Besuche bitte dazu die Microsoft Update Seite.

  • Halte Deine Software aktuell
    Der einfachste Weg dafür ist der Secunia Online Software.


Schritt 5

Tipps für sicheres Surfen

Das sind meine Vorschläge.
Verwende einen alternativen Browser statt den IE.
Ich empfehle Mozilla Firefox.

Für Firefox gibt es verschiedenste AddOns um sicher durch das WWW zu kommen.
  • NoScript
    Dieses AddOn blockt JavaScript, Java and Flash und andere Plugins. Sie werden nur dann ausgeführt wenn Du es bestätigst.

  • AdblockPlus
    Dieses AddOn blockt die meisten Werbung von selbst. Ein Rechtsklick auf den Banner um diesen zu AdBlockPlus hinzu zu fügen reicht und dieser wird nicht mehr geladen.
    Es spart ausserdem Downloadkapazität.

  • WOT (Web of trust)
    Dieses AddOn warnt Dich bevor Du eine als schädlich gemeldete Seite besuchst.


Don'ts
  • Klicke nicht auf alles nur weil es Dich dazu auffordert und schön bunt ist.
  • verwende keine peer to peer oder Filesharing Software (Emule, uTorrent,..)
  • Lass die Finger von Cracks, Keygens, Serials oder anderer illegaler Software.
  • Öffne keine Anhänge von Dir nicht bekannten Emails. Achte vor allem auf die Dateiendung wie zb deinFoto.jpg.exe

Nun bleibt mir nur noch dir viel Spass beim sicheren Surfen zu wünschen.

Hinweis: Bitte gib mir eine kurze Rückmeldung wenn alles erledigt ist und keine Fragen mehr vorhanden sind, so das ich diesen Thread aus meinen Abos löschen kann.

Alt 23.11.2010, 22:04   #23
Sphirex
 
TR/Spy.51302422 in winlogon.exe - Standard

TR/Spy.51302422 in winlogon.exe



nochmals vielen lieben Dank für deine Hilfe, Zeit und Geduld. Ich kann es noch gar nicht so recht glauben das mein System nun Virenfrei sein soll, dabei hat Panda doch noch sovieles gefunden!

War es das tatsächlich schon?

Achja, ebenfalls danke für deine Tipps für die Zukunft, ich werde sie beherzigen.

Alt 24.11.2010, 10:33   #24
Swisstreasure
/// Malwareteam
 
TR/Spy.51302422 in winlogon.exe - Standard

TR/Spy.51302422 in winlogon.exe



Was da gefunden wurde war lediglich das, was wir bereits durch OTL gelöscht haben.
Zitat:
c:\_otl\movedfiles\11222010_200752\c_windows\system32\charonce.dll
Zudem sind noch einige Sachen in der Systemwiederherstellung gewesen welche Du mit Schritt 1 auch weg bekommst.

Alt 24.11.2010, 13:07   #25
Sphirex
 
TR/Spy.51302422 in winlogon.exe - Standard

TR/Spy.51302422 in winlogon.exe



Na super! Dann sind wir ja durch, herzlichen dank nochmals!

Antwort

Themen zu TR/Spy.51302422 in winlogon.exe
adobe, antivir, antivir guard, avira, bho, bonjour, desktop, einstellungen, explorer.exe, hijack, hijackthis, hijackthis logfile, hkus\s-1-5-18, internet, internet explorer, logfile, microsoft, pando media booster, plug-in, programme, rkit/bubnix.abd.1, software, suche, system, tr/psw.ldpinch.agkv, tr/spy., tr/spy.51302422, trojaner, virus, virus eingefangen, windows, windows xp, winlogon.exe




Ähnliche Themen: TR/Spy.51302422 in winlogon.exe


  1. winlogon
    Plagegeister aller Art und deren Bekämpfung - 16.11.2010 (26)
  2. winlogon.exe, css.exe
    Plagegeister aller Art und deren Bekämpfung - 05.09.2009 (1)
  3. Winlogon.exe infiziert
    Log-Analyse und Auswertung - 26.02.2009 (3)
  4. Winlogon Notify
    Mülltonne - 02.01.2009 (0)
  5. Trojaner winlogon.exe
    Plagegeister aller Art und deren Bekämpfung - 04.04.2008 (7)
  6. winlogon.exe infiziert?
    Plagegeister aller Art und deren Bekämpfung - 21.03.2008 (9)
  7. winlogon.exe???
    Mülltonne - 16.03.2008 (0)
  8. TR/Patchd.winlogon.b
    Log-Analyse und Auswertung - 12.03.2008 (4)
  9. winlogon.exe
    Plagegeister aller Art und deren Bekämpfung - 12.03.2008 (7)
  10. Winlogon.exe - CPU Auslastung 100%
    Plagegeister aller Art und deren Bekämpfung - 22.11.2007 (12)
  11. winlogon TR/WLHack.A
    Log-Analyse und Auswertung - 30.03.2007 (1)
  12. TR/PatchedI//winlogon.exe
    Plagegeister aller Art und deren Bekämpfung - 18.01.2007 (4)
  13. winlogon.exe
    Plagegeister aller Art und deren Bekämpfung - 06.01.2007 (2)
  14. winlogon.exe und explorer.exe
    Log-Analyse und Auswertung - 29.12.2006 (9)
  15. OLE##winlogon aus registry ?
    Plagegeister aller Art und deren Bekämpfung - 11.10.2006 (4)
  16. Winlogon.exe Problem
    Log-Analyse und Auswertung - 07.08.2006 (3)
  17. winlogon.exe 50 - 70 % cpu
    Log-Analyse und Auswertung - 17.02.2006 (2)

Zum Thema TR/Spy.51302422 in winlogon.exe - Welche Lizenz? - TR/Spy.51302422 in winlogon.exe...
Archiv
Du betrachtest: TR/Spy.51302422 in winlogon.exe auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.