Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Winlogon.exe ist Trojaner TR/WL Hack.A (https://www.trojaner-board.de/37531-winlogon-exe-trojaner-tr-wl-hack-a.html)

HL22 31.03.2007 14:51
Winlogon.exe ist Trojaner TR/WL Hack.A
 
Hallo wer kann helfen?
Meine Virensoftware (AntiVir) meldet seit heute Winlogon.exe ist der Trojaner TR/WL Hack.A ! Es lässt sich weder löschen, in Quarantäne verschieben, umbenennen noch ignorieren. Es reagiert auf gar nichts. Selbst beim scannen im abgesicherten Modus lässt es sich nicht löschen.
Da ich nirgendwo selbst bei google etwas gefunden habe, las ich den logfile aus:

Hoffentlich kann jemand helfen. Danke :confused:


Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 11:41:06, on 31.03.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\SLEE11.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\programme\powerstrip\pstrip.exe
D:\Programme\Win Amp 5.0\Winamp\winampa.exe
D:\PROGRA~1\ICQLite\ICQLite.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe
C:\Programme\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Java\jre1.5.0_11\bin\jusched.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\mqsvc.exe
D:\Programme\Skype\Phone\Skype.exe
C:\PROGRA~1\SIMPLE~1\PHOTOS~1\data\Xtras\mssysmgr.exe
C:\WINDOWS\System32\mqtgsvc.exe
C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\WINDOWS\System32\imapi.exe
D:\Programme\WinTV\Ir.exe
C:\Programme\FRITZ!DSL\StCenter.exe
D:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe
C:\Programme\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe
C:\Programme\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe
C:\Programme\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe
C:\Programme\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe
C:\Programme\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe
C:\Programme\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe
C:\Programme\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe
C:\Programme\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Admin_2\Eigene Dateien\Hijack\HiJackThis_v2.exe
C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: BitComet Toolbar Helper - {6A373B7E-496E-424f-A9BE-486A5E9AB018} - C:\Programme\BitComet Toolbar\v2.0.0.1\BitComet_Toolbar.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O2 - BHO: StarMoney Toolbar - {D695B6EC-25D9-4244-B604-988AA1DFB8F3} - C:\Programme\StarMoneyToolbar\StarMoneyToolbar.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: BitComet Toolbar - {2E608F70-C430-4bc5-96F6-608E02EBA5B2} - C:\Programme\BitComet Toolbar\v2.0.0.1\BitComet_Toolbar.dll
O3 - Toolbar: StarMoney Toolbar - {D695B6EC-25D9-4244-B604-988AA1DFB8F3} - C:\Programme\StarMoneyToolbar\StarMoneyToolbar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [MsmqIntCert] regsvr32 /s mqrt.dll
O4 - HKLM\..\Run: [PowerStrip] c:\programme\powerstrip\pstrip.exe
O4 - HKLM\..\Run: [WinampAgent] D:\Programme\Win Amp 5.0\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [ICQ Lite] D:\PROGRA~1\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [CloneDVDElbyDelay] "C:\Programme\Elaborate Bytes\CloneDVD\ElbyCheck.exe" /L ElbyDelay
O4 - HKLM\..\Run: [mmtask] "C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe"
O4 - HKLM\..\Run: [Ulead AutoDetector] C:\Programme\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NBJ] "D:\Programme\ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [Skype] "D:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [PhotoShow Deluxe Media Manager] C:\PROGRA~1\SIMPLE~1\PHOTOS~1\data\Xtras\mssysmgr.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\PROGRA~1\ICQLite\ICQLite.exe -trayboot
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe /RUNONCE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [SAFE8] "C:\Programme\Steganos Safe 8\SAFE8.exe" -firstboot (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [SAFE8] "C:\Programme\Steganos Safe 8\SAFE8.exe" -firstboot (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [SAFE8] "C:\Programme\Steganos Safe 8\SAFE8.exe" -firstboot (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [SAFE8] "C:\Programme\Steganos Safe 8\SAFE8.exe" -firstboot (User 'Default user')
O4 - Startup: Yahoo! Widget Engine.lnk = C:\Programme\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: AutoStart IR.lnk = D:\Programme\WinTV\Ir.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: PCphone Fax-Office Demo.lnk = D:\Programme\Grewe\PCphone Fax-Office Demo\FxOffice.exe
O4 - Global Startup: WinZip Quick Pick.lnk = D:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://D:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - c95fe080-8f5d-112d-a20b-00aa003c157a - (no file)
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\PROGRA~1\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\PROGRA~1\ICQLite\ICQLite.exe
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\Ebay\Ebay.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkID=39204
O16 - DPF: {200B3EE9-7242-4EFD-B1E4-D97EE825BA53} (VerifyGMN Class) - http://h20270.www2.hp.com/ediags/gmn/install/hpobjinstaller_gmn.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1128801659577
O16 - DPF: {745395C8-D0E1-4227-8586-624CA9A10A8D} (AxisMediaControl Class) - http://217.14.234.2/activex/AMC.cab
O16 - DPF: {B3E0F81F-73F8-470B-A56B-D895EFF19260} (ATLF3D Class) - http://www.famous3d.com/viewer/latest/axf3d.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{759298B2-F1C6-48B9-B9D3-FB9A681CD873}: NameServer = 85.255.116.171,85.255.112.228
O17 - HKLM\System\CCS\Services\Tcpip\..\{D24888BA-D7EE-4F53-9F5D-4834221F87C5}: NameServer = 85.255.116.171,85.255.112.228
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.171 85.255.112.228
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.171 85.255.112.228
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - (no file)
O18 - Filter hijack: text/html - (no CLSID) - (no file)
O20 - Winlogon Notify: scsiusr4 - scsiusr4.dll (file missing)
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Steganos Live Encryption Engine 11 [Service] (SLEE_11_SERVICE) - Unknown owner - C:\WINDOWS\System32\SLEE11.exe
O24 - Desktop Component 0: (no name) - https://www.luupay.de/upload/luupaylogo_001.gif
O24 - Desktop Component 1: Security - (no file)

--
End of file - 12912 bytes

KarlKarl 31.03.2007 14:59
Hi,

die Meldung wegen der winlogon.exe war ein (spektakulärer) Fehlalarm, wurde aber bereits gestern früh korrigiert. Antivir updaten und er sollte verschweunden sein.

Dein Hijackthis Log ist allerdings ein Beleg dafür, daß es sinnlos, ist mehrere Virenscanner gleichzeitig aktiv zu haben. Denen ist eine Menge durchgerutscht. Ich finde dort:

Eine Umleitung des DNS auf einen gefakten Server, steht oft in Verbindung mit einem Rootkit.

Ein Haxdoor Rootkit, das in den meisten Versionen eine Backdoor ist, gemischt mit einem Keylogger, der Passwoörter und Bankdaten abgreift.

Schnelle und sichere Lösung: Formatieren und neu installeren.

Gruß, Karl

HL22 31.03.2007 15:33
Hallo,
vielen Dank für die schnelle und umfassende Antwort. Da ich aber mich nicht so gut auskenne (2.Teil) der Antwort)
"Eine Umleitung des DNS auf einen gefakten Server, steht oft in Verbindung mit einem Rootkit. Ein Haxdoor Rootkit, das in den meisten Versionen eine Backdoor ist, gemischt mit einem Keylogger, der Passwoörter und Bankdaten abgreift."
Vielleicht könnten Sie das bitte kurz erklären. Wie gesagt, darin bin ich ein Laie.
Vielen Dank!

KarlKarl 31.03.2007 15:50
Ich versuchs mal.

Im O17-Eintrag des Hijackthis Logs stehen die IPs der DNS-Server, die dein System benutzt, um den Namen einer Webseite in die dazugehörige IP zu übersetzen. Die IPs sind die Adressen, die dann benutzt werden, um auf dier Sever zuzugreifen. www.google.de hat die IP 66.102.9.104, mit beiden Eingaben in der Adresszeile erreichst Du Google. Die Namen sind für Menschen vorteilhafter, während die Maschinen besser mit den Zahlen umgehen können. Der DNS-Server, der diese Übersetzung durchführt, hat eine Vertrauensstellung. Wenn Du im Browser die Adresse deiner Bank eingibst, dannaber ein betrügerischer DNS-Server eine andere IP zurückgibt, wo eine Seite wartet, die genauso aussieht, wie die deiner Bank, dann ist das die Verfeinerung des Phishing, Du gibst dort PIN und TAN ein und die Gauner können dir das Konto abräumen.

Bei dir stehen dort Adressen aus dem Bereich 85.255.112.0 - 85.255.127.255, dieser Bereich ist die wohl größte Malwareschleuder im Internet seit vielen Jahren:
Code:
inetnum:        85.255.112.0 - 85.255.127.255
netname:        inhoster
descr:          Inhoster hosting company
descr:          OOO Inhoster, Poltavskij Shliax 24, Kharkiv, 61000, Ukraine
Zu Schade, daß ich kein Cruise Missile habe, das wäre ein gutes Ziel. Es ist eine Erfahrung, daß diese verdrehten O17-Einträge sehr oft damit verbunden sind, daß auf dem System auch Prozesse vorhanden sind, die durch ein Rootkit unsichtbar gemacht wurden. Zur Überprüfung bietet sich in diesem Fall ein Scan mit F-Secure Blacklight an.

Dann hast Du dann diesen Eintrag:
Code:
O20 - Winlogon Notify: scsiusr4 - scsiusr4.dll (file missing)
Eine Beschreibung dazu kannst Du hier finden. Da steht zwar nicht direkt, daß der Bankdaten abgreift, ich habe aber mehrere Haxdoor-Varianten im Laufe der Zeit analysiert und habe in allen diese Funktion entdeckt. Falls Du auch hier noch einen Kontrollscan machen möchtest, empfielt sich RootkitRevealer.

Bei weiterem Interesse bitte zurückfragen.

Karl

PS: Ich schreib im Internet grundsätzlich in der Du-Form, das ist sicher nicht persönlich gemeint :)

HL22 01.04.2007 19:19
Hi Karl,
habe vielen Dank, Du hast mir sehr geholfen!

Gruß Heiko

Janoschka 03.04.2007 14:13
Hallo KarlKarl,

ggf. kannst Du ja auch mir behilflich sein bei selbigem Problem.
Zur Fehlerbeschreibung: Ich bekam selbige Warnung. Der Trojaner
lies sich nicht enfernen.
Nun kommts aber noch viel schlimmer. Nach unternommenem Neustart
passiert nun gar nichts mehr bzw. ich bekomme beim Start von Windows
folgende Meldung:

C000021a (schwerer Systemfehler)
Der Systemprozeß Windows Logon Process wurde unerwartet beendet.
Status Oxc 0000
034 (0x00000000 Ox00000000)
Das System wurde heruntergefahren. :o

Weißt Du ggf. Rat ? Ich möchte in jedem Falle vermeiden zu formatieren.
Danke !!!

deemee 03.04.2007 19:41
Das Problem ist, dass Antivir die Datei C:\windows\system32\winlogon.exe umbenennt in winlogon.vir

Wenn du dein System z.B. mit einer Ultimate Boot CD hochbootest und die Datei wieder zurück umbenennst in winlogon.exe wird dein Rechner ganz normal hochfahren. Allerdings wird AntiVir dir dann immernoch diesen Virus melden. Immer ignorieren klicken und ein update von AntiVir machen. Danach sollte die Virenmeldung nicht mehr erscheinen.

Have fun!

Janoschka 04.04.2007 10:58
DANKE !!! Hat funktioniert und AntiVir hab ich neu installiert. :daumenhoc


Alle Zeitangaben in WEZ +1. Es ist jetzt 15:16 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131