Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Help: Winlogon.exe ist verseucht, und lässt sich nicht löschen. (https://www.trojaner-board.de/34911-help-winlogon-exe-verseucht-laesst-loeschen.html)

Jason2025 03.01.2007 13:57
Help: Winlogon.exe ist verseucht, und lässt sich nicht löschen.
 
Hallo an alle,

ich habe hier einen Rechner bei dem laut Norton nur die Datei winlogon.exe mit dem Wurm w32.spybot verseucht ist. Da dieser Prozess allerdings im laufenden Betrieb nicht zu löschen ist, weiss ich nun ehrlichgesagt nicht mehr so ganz weiter. Ich stelle hier einfach mal die Logs von Hijackthis, und hoffe, das einer von euch was damit anfangen kann.

Logfile of HijackThis v1.99.1
Scan saved at 13:31:50, on 03.01.2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\system\services.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\scvhost.exe
C:\WINDOWS\system\winlogon.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\Programme\Mozilla Firefox\firefox.exe
D:\Diverse Anwendungen\Hijackthis\HijackThis.exe

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ccRegVfy] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe
O4 - HKLM\..\Run: [ccApp] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{6B8EFAEE-CB0B-4A52-AA2B-4E4E9025A724}: NameServer = 195.50.140.250 195.50.140.114
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Windows Event Services (SERVICE32) - Unknown owner - C:\WINDOWS\system\services.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: Microsoft Print Spooler (WINDRIVER) - Unknown owner - C:\WINDOWS\System32\scvhost.exe
O23 - Service: Windows NT Logon Application (WINLOGON) - Unknown owner - C:\WINDOWS\system\winlogon.exe

Auf dem Rechner läuft noch Sygate Personal Firewall. Bei Norton Antivirus lässt sich der Autoprotect-modus, und die "e-mail überprüfung" Funktion momentan nicht einschalten.

Besten Dank im voraus
Jason

jaycob 03.01.2007 14:38
Hast du mal versucht, im abgesicherten Modus den Virus zu entfernen?

Folgende Einträge aus deinem Logfile sind bedenklich:

C:\WINDOWS\system\services.exe
C:\WINDOWS\System32\scvhost.exe
C:\WINDOWS\system\winlogon.exe

O23 - Service: Windows Event Services (SERVICE32) - Unknown owner - C:\WINDOWS\system\services.exe
O23 - Service: Microsoft Print Spooler (WINDRIVER) - Unknown owner - C:\WINDOWS\System32\scvhost.exe
O23 - Service: Windows NT Logon Application (WINLOGON) - Unknown owner - C:\WINDOWS\system\winlogon.exe

Versuche das zu fixen. Des Weiteren schau bei Symantec auf der Website nach! Dort gibt es Removaltools für die wichtigsten Schädlinge. SpyBot ist garantiert auch dabei. Eine weitere Möglichkeit wäre noch, mittels einer Backup-CD oder ähnliches den Rechner von CD starten und dann den Schädling zu entfernen. Weiß nicht, ob Norton sowas mitliefert, bei Kaspersky gibt's sowas.

Ansonsten läßt sich die WINLOGON.EXE (was nicht die richtige ist!!! läuft normalerweise in system32 - also kannst du ruhig löschen) nur löschen, wenn sie nicht läuft. Versuche sie aus dem Autostart zu nehmen mittels "msconfig" unter Ausführen oder einem Programm wie "autoruns" o.ä., gibt es viele.

Grüße, Jaycob.


Alle Zeitangaben in WEZ +1. Es ist jetzt 13:06 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131