winlogon.exe, winIogon.exe

startseite Gastbuch Kontakt
winlogon.exe
winlogon.exe, dllcache\win32\winlogon.exe

winlogon.exe


HijackThis
O23 - Service: NTLOAD - Unknown owner - c:\windows\system32\dllcache\win32\winlogon.exe
O23 - Service: NTSVCMGR - Unknown owner - c:\windows\system32\dllcache\win32\winlogon.exe


Click Start - Ausführen - Type in Services.msc und Click OK!
"Eigenschaften" - Click "Stop" - Starttyp "deaktiviert"

NTLOAD
NTSVCMGR

Start --> Ausführen --> reinkopieren (wenn eine Fehlermeldung kommt...ignorieren) --> klicke nach jedem O.K.

sc delete NTLOAD
sc delete NTSVCMGR


Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken

REGEDIT4 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Secure Mime Handlers]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NTLOAD]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NTLOAD]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_NTLOAD]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\NTLOAD]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NTLOAD]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTLOAD]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NTSVCMGR]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NTSVCMGR]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_NTSVCMGR]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\NTSVCMGR]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NTSVCMGR]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTSVCMGR]





Antivir Guard lässt ständig eine Warnmeldung zum Backdoorprogramm "BDS/Iroffer.1228" ab:

c:\windows\system32\dllcache\win32\winlogon.exe
c:\windows\system32\dllcache\win32\services.exe
c:\windows\system32\dllcache\win32\csrss.exe



File: winlogon.exe
Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database) (Note: only non-destructive malware has been found. Considering the non-destructive nature of samples like these - although they can be a pain in the ass -, results will not be stored in the database.) Packers detected: None

Kaspersky Anti-Virus not-a-virus:RiskWare.Tool.ServiceRunner.d (4.21 seconds taken) mks_vir No viruses found (2.13 seconds taken) NOD32 No viruses found (2.27 seconds taken) Norman Virus Control No viruses found (2.88 seconds taken)

csrss.exe:
Kaspersky Anti-Virus not-a-virus:RiskWare.Tool.ServiceRunner.d

Positive identification: Riskware.FTP.Serv-U.4100a
File: c:\windows\system32\dllcache\win32\csrss.exe.tcf


c:\windows\system32\winmgnt.dll
c:\windows\system32\spoolvc.dll
c:\windows\system32\schost.dll
c:\stcli\srvany.exe
C:\Windows\system32\dllcache\win32\csrss.exe.tcf
c:\windows\system32\dllcache\win32\winlogon.exe
c:\windows\system32\dllcache\win32\services.exe
c:\windows\system32\dllcache\win32\csrss.exe

c:\windows\system32\dllcache\win32\ --loeschen
c:\WINDOWS\$NtServicePackUninstall$\ -->> löschen, wenn es ca. (11mb) gross ist, kein anders


datfindbat

Verzeichnis von C:\WINDOWS\system32

21.12.2005 14:36 4 win32.dll.tmp
21.12.2005 14:36 232 winmgnt.dll.txt
21.12.2005 14:36 50 winmgnt.dll
21.12.2005 14:06 50 winmgnt.dll.bkup
21.12.2005 05:05 5 spoolvc.dll
21.12.2005 05:05 0 schost.dll
21.12.2005 05:05 0 win32.dll.bkup

Nt auth.dll:
pidfile schost.dll
statefile win32.dll
connectionmethod direct
server irc.rizon.net 6667
user_modes +i
slotsmax 1
queuesize 100
maxtransfersperperson 1
maxqueueditemsperperson 2
respondtochannelxdcc
respondtochannellist
smallfilebypass 50
downloadhost *!*@*
adminpass WxHEZmgSZjnlU
adminhost *!*@*.com
uploadhost *!*@*
autoignore_exclude *!*@*
hideos
quietmode
nomd5sum
creditline .4,1....::::.0,1Brought to you by.8,1 #Twiztid .9,1::::.....
headline .4,1....::::.0,1Brought to you by.8,1 #Twiztid .9,1::::.....
uploadmaxsize 0
user_nick [Twiztid]-R00T-
user_modes -x
user_realname Twiztid
filedir C:\WINdows\system\driver
uploaddir C:\WINdows\system\driver
channel #Twiztid -key pimpin -plist 25
user_nick [Twiz-TTX-216]
user_realname [Twiz-TTX-216]
filedir C:\WINDOWS\system\driver
uploaddir C:\WINDOWS\system\driver



andere winlogon.exe Link: winlogonexe

HijackThis

O4 - HKLM\..\Run: [WindowsUpdate] C:\WINDOWS\System\svchost.exe /s
O4 - HKLM\..\Run: [WindowsUpdateS] C:\WINDOWS\System\winlogon.exe /s
O4 - HKLM\..\Run: [WindowsUpdateR] C:\WINDOWS\System\regserv.exe /s
O20 - Winlogon Notify: zopenssl - zopenssl.dll


scanne mit Bitdefender - ScanOnline neu
http://virus-protect.org/onlinescan.html

C:\WINNT\system\regserv.exe
Infiziert: Dropped:Trojan.Spy.Goldun.CM

C:\WINNT\system\regserv.dll [??]


anderer PC

Verzeichnis von C:\WINDOWS
19.09.2006 00:00 0 1.dat
18.09.2006 20:44 0 keyboard1.dat
18.09.2006 20:43 40 teller2.chk
18.09.2006 10:47 95.232 winlogon.exe

Verzeichnis von C:\WINDOWS\SYSTEM32

19.09.2006 10:31 40.973 rqrqrrs.dll
18.09.2006 10:47 68 i
18.09.2006 10:41 0 TFTP3332
18.09.2006 10:35 0 TFTP3812
18.09.2006 10:35 77 qaz
18.09.2006 01:55 0 TFTP2244
18.09.2006 01:51 0 TFTP3048
18.09.2006 01:46 0 TFTP2488


anderer PC

HijackThis

O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\system32\byxxvsp.dll
O20 - Winlogon Notify: byxxvsp - C:\WINDOWS\SYSTEM32\byxxvsp.dll
O20 - Winlogon Notify: SharedDLLs - C:\WINDOWS\system32\gpnol3531.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O23 - Service: Microsoft Windows Spooler Service (Windows Spooler Service) - Unknown owner - C:\WINDOWS\winlogon.exe


Combofix

((((((((((((((((((((((((((((((((((((((((((((( Look2Me's Log ))))))))))))))))))))))))))))))))))))))))))))))))))
REGISTRY ENTRIES REMOVED:
[HKEY_CLASSES_ROOT\CLSID\{46B399BB-E604-4B6A-B6FB-CB406974A411}]
@=""
"IDEx"="ADDR"

FILES REMOVED:

C:\WINDOWS\system32\gp42l3ho1.dll
C:\WINDOWS\system32\k6800glme6qa0.dll
C:\WINDOWS\system32\NWERROR.DLL
C:\WINDOWS\system32\pPnmap.dll

(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

C:\WINDOWS\drsmartload2.dat

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\byxxvsp


datfindbat

Verzeichnis von C:\WINDOWS\system32
22.09.2006 20:41 69 i

Verzeichnis von C:\WINDOWS
22.09.2006 20:41 95.232 winlogon.exe



Avenger

registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDOWS_SPOOLER_SERVICE\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Spooler Service
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINDOWS_SPOOLER_SERVICE\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Windows Spooler Service
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_SPOOLER_SERVICE\0000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Spooler Service
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\byxxvsp
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}

Files to delete:
C:\WINDOWS\system32\i
C:\WINDOWS\SYSTEM32\byxxvsp.dll
C:\WINDOWS\winlogon.exe


Link: http://virus-protect.org/artikel/spyware/config_virus.html


anderer PC

HijackThis

R3 - URLSearchHook: DeskbarBHO - {A8B28872-3324-4CD2-8AA3-7D555C872D96} - C:\Programme\Deskbar\deskbar.dll
O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINNT\system32\qomjigg.dll
O2 - BHO: (no name) - {A5B8C341-81AB-4D14-BB10-17C16E26C328} - C:\WINNT\system32\yayaw.dll (file missing)

O4 - HKCU\..\Run: [ntdll.dll] ctfmon.exe
O4 - HKLM\..\Run: [Task Manager Win32] C:\WINNT\system32\taskmngr32.exe
O20 - Winlogon Notify: IPConfTSP - C:\WINNT\system32\m6nqlg5516.dll
O20 - Winlogon Notify: RunOnceEx - C:\WINNT\system32\o6lulg3916.dll
O23 - Service: Network Monitor - Unknown owner - C:\Programme\Network Monitor\netmon.exe
O23 - Service: Win32 Kernel Update (Win32Kernel) - Unknown owner - C:\WINNT\win32host.exe
O23 - Service: 27037 - Unknown owner - \\84.57.213.153\Admin$\eraseme_24845.exe
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINNT\QXJub2xk\command.exe
O23 - Service: Microsoft Windows Spooler Service (Windows Spooler Service) - Unknown owner - C:\WINNT\winlogon.exe

Verzeichnis von C:\WINNT

15.09.2006 19:20 95.232 winlogon.exe
15.09.2006 19:20 95.232 eraseme_24845.exe

Verzeichnis von C:\

01.10.2006 14:11 175.900 pro3_install.exe
28.09.2006 22:35 37.376 iexplorer.exe

C:\WINNT\system32

01.10.2006 14:50 81.984 bdod.bin
01.10.2006 11:12 0 atmtd.dll.tmp
27.09.2006 19:56 37.376 taskmngr32.exe
17.09.2006 20:14 12.068 ycey.exe
17.09.2006 20:14 0 TFTP2616


Combofix

((((((((((((((((((((((((((((((((((((((((((((( Look2Me's Log ))))))))))))))))))))))))))))))))))))))))))))))))))

REGISTRY ENTRIES REMOVED:

[HKEY_CLASSES_ROOT\CLSID\{417DA1ED-2861-4BD0-A118-9926642C4F76}] @=""

FILES REMOVED:

C:\WINNT\system32\dbctl.dll
C:\WINNT\system32\dnr4019qe.dll
C:\WINNT\system32\erent.dll

(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

C:\dfndrff_e15.exe
C:\dfndrff_e16.exe
C:\dfndrff_e17.exe
C:\dfndrff_e18.exe
C:\dfndrff_e19.exe
C:\drsmartload.exe
C:\drsmartload45a45a45o.exe
C:\drsmartload45a45a45p.exe
C:\deskbar.exe
C:\deskbar4.exe
C:\deskbar7.exe
C:\deskbar8.exe
C:\deskbar_e18.exe
C:\deskbar_e19.exe
C:\MTE3NDI6ODoxNg.exe
C:\MTE3NDI6ODoxNgnew.exe
C:\nwnmff_e19.exe
C:\mte3ndi6odoxng.exe
C:\WINNT\uninstall_nmon.vbs
C:\Dokumente und Einstellungen\Default User.WINNT\Anwendungsdaten\NetMon
C:\Programme\Deskbar
C:\Programme\network monitor
C:\WINNT\QXJub2xk

((((((((((((((((((((((((((((((( Files Created from 2006-09-01 to 2006-10-01 ))))))))))))))))))))))))))))))))))

2006-10-01 09:44 175,900 --a------ C:\pro3_install.exe
2006-10-01 09:31 13,904 --a------ C:\WINNT\system32\drivers\hidusb.sys
2006-10-01 09:31 11,728 --a------ C:\WINNT\system32\drivers\mouhid.sys
2006-09-27 19:56 37,376 --a------ C:\WINNT\system32\taskmngr32.exe
2006-09-26 22:31 45,525 --a------ C:\WINNT\system32\ruowydfa.dll
2006-09-24 20:38 42,736 --a------ C:\WINNT\icont.exe
2006-09-20 21:30 159,232 --a------ C:\WINNT\system32\awfull.dll
2006-09-19 21:53 50,912 --a------ C:\WINNT\iconu.exe
2006-09-18 21:09 37,376 --a------ C:\iexplorer.exe
2006-09-17 20:25 578,560 --a------ C:\Installer4.exe
2006-09-17 20:14 12,068 --ah----- C:\WINNT\system32\ycey.exe
2006-09-17 20:09 95,232 -rahs---- C:\WINNT\eraseme_24845.exe
2006-09-17 20:09 95,232 ---hs---- C:\WINNT\winlogon.exe

---------------

C:\Dokumente und Einstellungen\Default User.WINNT\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IT65IXWT\deskbar_e[1].exe/deskbar.exe Infizierte Objekte: not-a-virus:AdWare.Win32.Softomate.r
C:\Dokumente und Einstellungen\Default User.WINNT\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IT65IXWT\installer[1].exe/Stream/data0002 Infizierte Objekte: Trojan-Clicker.Win32.VB.fo
C:\Dokumente und Einstellungen\Default User.WINNT\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GTIXCTGL\pro[1].exe/data.rar Infizierte Objekte: not-a-virus:AdWare.Win32.Virtumonde.cz
C:\Dokumente und Einstellungen\Default User.WINNT\Lokale Einstellungen\Temporary Internet Files\Content.IE5\03AXKVMF\AppWrap[1].exe Infizierte Objekte: not-a-virus:AdWare.Win32.AdURL.c


Unknown Service # 1
Service Name: 27037
Display Name: 27037
Start Mode: Manual
Start Name: LocalSystem
Description: 27037...
Service Type: Share Process
Path: \\84.57.213.153\admin$\eraseme_24845.exe
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

O23 - Service: Win32 Kernel Update (Win32Kernel) - Unknown owner - C:\WINNT\win32host.exe

Unknown Service # 9
Service Name: Win32Kernel
Display Name: Win32 Kernel Update
Start Mode: Auto
Start Name: LocalSystem
Description: Win32 Kernel ...
Service Type: Own Process
Path: "c:\winnt\win32host.exe"
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 10
Service Name: Windows Spooler Service
Display Name: Microsoft Windows Spooler Service
Start Mode: Auto
Start Name: LocalSystem
Description: Microsoft Windows Spooler ...
Service Type: Own Process
Path: "c:\winnt\winlogon.exe"
State: Running
Process ID: 712
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Falsch


Avenger

registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A5B8C341-81AB-4D14-BB10-17C16E26C328}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDOWS_SPOOLER_SERVICE
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Spooler Service
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINDOWS_SPOOLER_SERVICE
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Windows Spooler Service
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINDOWS_SPOOLER_SERVICE
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Windows Spooler Service
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_SPOOLER_SERVICE
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Spooler Service

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WIN32KERNEL
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WIN32KERNEL
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WIN32KERNEL
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Win32Kernel
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Win32Kernel
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Win32Kernel

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_27037
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\27037
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_27037
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\27037
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_27037
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\27037

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NETWORK_MONITOR
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Network Monitor
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_NETWORK_MONITOR
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Network Monitor
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_NETWORK_MONITOR
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Network Monitor
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETWORK_MONITOR
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Network Monitor

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_CMDSERVICE
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\cmdService
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_CMDSERVICE
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\cmdService
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_CMDSERVICE
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\cmdService
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CMDSERVICE
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cmdService

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDOWS_MAN_SERVICE
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Man Service
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINDOWS_MAN_SERVICE
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Windows Man Service
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_MAN_SERVICE
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Man Service

Files to delete:
C:\WINNT\system32\qomjigg.dll
C:\WINNT\winlogon.exe
C:\WINNT\win32host.exe
C:\WINNT\eraseme_24845.exe
C:\WINNT\icont.exe
C:\WINNT\iconu.exe
C:\WINNT\system32\awfull.dll
C:\pro3_install.exe - AdWare.Win32.Virtumonde.cz
C:\iexplorer.exe - Trojan-Proxy.Win32.Agent.hd
C:\Installer4.exe
C:\WINNT\system32\ruowydfa.dll
C:\WINNT\system32\atmtd.dll.tmp
C:\WINNT\system32\taskmngr32.exe - Trojan-Proxy.Win32.Agent.hd
C:\WINNT\system32\ycey.exe
C:\WINNT\system32\TFTP2616

Folders to delete:
C:\Dokumente und Einstellungen\Default User.WINNT\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GTIXCTGL
C:\Dokumente und Einstellungen\Default User.WINNT\Lokale Einstellungen\Temporary Internet Files\Content.IE5\03AXKVMF
C:\Dokumente und Einstellungen\Default User.WINNT\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IT65IXWT
C:\Dokumente und Einstellungen\Default User.WINNT\Lokale Einstellungen\Temporary Internet Files\Content.IE5\87QX09Q9


anderer PC

HijackThis

O23 - Service: Microsoft Windows Spooler Service (Windows Spooler Service) - Unknown owner - C:\WINDOWS\winlogon.exe


Combofix

((((((((((((((((((((((((((((((( Files Created from 2006-09-01 to 2006-10-01 ))))))))))))))))))))))))))))))))))

2006-09-29 20:41 5,632 --a------ C:\WINDOWS\system32\Machnm64.sys
2006-09-29 20:41 2,304 --a------ C:\WINDOWS\system32\Machnm32.sys
2006-09-29 20:41 15,840 --a------ C:\WINDOWS\system32\Machnm1.exe

2006-09-28 14:49 778,917 ---hs---- C:\WINDOWS\system32\mlnmp.ini2

2006-09-22 09:31 8,192 --a------ C:\WINDOWS\system32\tsbyuv.dll
2006-09-22 09:31 45,568 --a------ C:\WINDOWS\system32\iyuv_32.dll
2006-09-22 09:30 50,176 --a------ C:\WINDOWS\system32\vfwwdm32.dll

2006-09-17 01:15 754,911 ---hs---- C:\WINDOWS\system32\mlnmp.bak1
2006-09-17 01:14 577,588 --------- C:\WINDOWS\system32\pmnlm.dll
2006-09-17 01:05 95,232 -r-hs---- C:\WINDOWS\winlogon.exe

-------------

datfindbat

Verzeichnis von C:\WINDOWS\system32

01.10.2006 15:19 779.658 mlnmp.ini2
30.09.2006 05:39 97 mcrh.tmp
29.09.2006 20:41 3.120 118290.54
18.09.2006 17:34 777.446 mlnmp.ini
18.09.2006 17:34 777.446 mlnmp.tmp
17.09.2006 01:15 754.911 mlnmp.bak1
17.09.2006 01:14 577.588 pmnlm.dll
17.09.2006 01:05 63 o - Trojan-Downloader.BAT.Ftp.ab
17.09.2006 01:04 70 i - Trojan-Downloader.BAT.Ftp.ab

Verzeichnis von C:\WINDOWS

29.09.2006 20:51 3.120 118294.78
17.09.2006 01:04 95.232 winlogon.exe


Avenger 

registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDOWS_SPOOLER_SERVICE\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Spooler Service
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINDOWS_SPOOLER_SERVICE\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Windows Spooler Service
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINDOWS_SPOOLER_SERVICE\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Windows Spooler Service
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_SPOOLER_SERVICE\0000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Spooler Service
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\pmnlm

Files to delete:
C:\WINDOWS\winlogon.exe
C:\WINDOWS\system32\mlnmp.ini2
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\118290.54
C:\WINDOWS\system32\mlnmp.ini
C:\WINDOWS\system32\mlnmp.tmp
C:\WINDOWS\system32\mlnmp.bak1
C:\WINDOWS\system32\pmnlm.dll
C:\WINDOWS\system32\o
C:\WINDOWS\system32\i
C:\WINDOWS\118294.78

Folders to delete:
C:\Programme\PokerStars.NET

**
http://virus-protect.org/ewido.html

C:\WINDOWS\system32\Com\rasmed.exe -> Adware.Virtumonde
C:\WINDOWS\system32\TFTP2884 -> Backdoor.Rbot.rq
C:\WINDOWS\system32\actskn45.ocx -> Downloader.IstBar

**
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

cd\
dir "C:\Windows\System32\Com" >>files.txt
notepad files.txt


HijackThis

O23 - Service: Microsoft Windows Als Service (Windows Als Service) - Unknown owner - C:\WINDOWS\alrs.exe

Verzeichnis von C:\WINDOWS 
07.10.2006 12:00 95.232 alrs.exe
08.10.2006 18:42 50.912 iconu.exe
08.10.2006 12:58 24.296 icont.exe
12.10.2006 18:02 0 PL-2303 DriverInstaller.exe

Verzeichnis von C:\WINDOWS\system32
12.10.2006 16:03 421.354 gillm.ini
12.10.2006 15:55 663.541 rqrpq.dll
12.10.2006 15:31 143.380 ixsgxwjl.exe
12.10.2006 15:30 98.324 wtflgnis.dll
12.10.2006 15:30 414.361 gillm.bak1
12.10.2006 15:30 684.084 mllig.dll
07.10.2006 17:42 40.973 awtqnkh.dll
27.09.2006 18:38 72 i

2. Durchgang

13.10.2006 08:49 420.041 ihiii.ini2
12.10.2006 18:28 417.743 ihiii.ini
12.10.2006 18:02 414.922 ihiii.tmp
12.10.2006 18:02 0 cmmgr32.exe
12.10.2006 18:02 98.324 xveimyls.dll
12.10.2006 18:02 414.361 ihiii.bak1
12.10.2006 18:01 684.084 iiihi.dll


registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDOWS_ALS_SERVICE\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINDOWS_ALS_SERVICE\0000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_ALS_SERVICE\0000

winIogon.exe

O4 - HKLM\..\Run: [Windows Logon Application] C:\WINDOWS\System32\winIogon.exe


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Logon Application"="C:\\WINDOWS\\System32\\winIogon.exe"

winIogon.exe : Not detected by Sandbox (Signature: NO_VIRUS)

[ General information ]
* File length: 51068 bytes.
* MD5 hash: 893fe125e53b7c8486320326c129b1aa.

[ Changes to filesystem ]
* Deletes file C:\WINDOWS\SYSTEM32\lssas.exe.
* Creates file C:\WINDOWS\SYSTEM32\lssas.exe.
* Deletes file luaz.bat.
* Creates file C:\\luaz.bat.
* Deletes file ioav.bat.
* Creates file C:\WINDOWS\SYSTEM32\ioav.bat.

[ Changes to registry ]
* Deletes value "Windows DLL Loader" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\Run".

[ Process/window information ]
* Creates a mutex EE00912D0000000015AE5E4E3AFFF23D56D019285DE.
* Attemps to open luaz.bat NULL.
* Attemps to open ioav.bat NULL.

[ Signature Scanning ]
* C:\WINDOWS\SYSTEM32\lssas.exe (51068 bytes) : no signature detection.
* C:\WINDOWS\SYSTEM32\ioav.bat (117 bytes) : no signature detection.


anderer Rechner

C:\WINDOWS\system32\winlogon.exe - Trojanische Pferd TR/Patched.I
C:\WINDOWS\system32\wsys.dll - Trojan-Downloader.Win32.Femad.bd

datfindbat

Verzeichnis von C:\WINDOWS\system32

15.01.2007 22:17 36.864 main.sys
15.01.2007 22:13 31.744 wsys.dll
09.01.2007 15:19 507.392 winlogon.exe

Start > Ausführen --> reinschreiben: cmd
und ok. kopiere rein
dir /s /a "c:\winlogon*.*" > c:\find.txt & start notepad c:\find.txt


Verzeichnis von c:\WINDOWS\system32

09.01.2007 15:19 507.392 winlogon.exe
1 Datei(en) 507.392 Bytes

Verzeichnis von c:\WINDOWS\system32\dllcache

04.08.2004 13:00 507.392 winlogon.exe
1 Datei(en) 507.392 Bytes


Avenger

Registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices|windll

Files to delete:
C:\WINDOWS\system32\main.sys
C:\WINDOWS\system32\wsys.dll


Start > Ausführen --> reinschreiben --> cmd
und ok. kopiere rein

expand c:\WINDOWS\system32\dllcache\winlogon.exe c:\windows\system32\winlogon.exe


mit Yes bestaetigen, dass die winlogon.exe expandiert wird.


anderer PC

Combofix

C:\Dokumente und Einstellungen\%Username%\Anwendungsdaten\Install.dat
C:\secure32.html
C:\WINDOWS\system32\ixt1.dll
C:\Programme\Safety Bar
C:\WINDOWS\system32\components

((((((((((((((((((((((((((((((( Files Created from 2006-12-05 to 2007-01-05 ))))))))))))))))))))))))))))))))))

2007-01-05 18:21 36,864 --a------ C:\WINDOWS\system32\main.sys
2007-01-02 08:05 31,744 --a------ C:\WINDOWS\system32\wsys(2)(3).dll
2007-01-02 08:05 507392 --------- C:\WINDOWS\system32\winlogon.exe


[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="C:\\WINDOWS\\warnhp.html"
"SubscribedURL"=""
"FriendlyName"="Desktop Uninstall"

datfindbat

Verzeichnis von C:\

28.09.2006 12:38 1.152 5vwja6hw.sys
24.08.2006 07:41 3.061 secure32.html
24.08.2006 07:39 0 uniq
14.12.2005 11:59 788 868000442457.dat

Verzeichnis von C:\WINDOWS\system32

02.01.2007 11:08 31.744 wsys(2)(3).dll
02.01.2007 08:05 507.392 winlogon.exe

Verzeichnis von C:\WINDOWS\temp

05.01.2007 18:21 169 gkjnr_nt.conf
05.01.2007 08:42 57.344 2200671.exe
04.01.2007 19:40 57.344 258843.exe

antivirus

B e g i n n e m i t d e r S u c h e i n ' C : \ W I N D O W S \ s y s t e m 3 2 '
C : \ W I N D O W S \ s y s t e m 3 2 : l z x 3 2 . s y s
[ F U N D ] I s t d a s T r o j a n i s c h e P f e r d T R / C l i c k . C o s t r a t . H . 1 3


o 4 s v c . d l l
z i p f l d r . d l l
[ W A R N U N G ] D i e D a t e i k o n n t e n i c h t g e ö f f n e t w e r d e n !


RootBuster von Trendmicro
http://www.trendmicro.com/download/rbuster.asp


gmer

ADS C:\WINDOWS\system32:lzx32.sys

Wenn du im Rootkitfenster auf diese Datei mit der rechten Maustaste drueckst, sollte es dir anbieten die Datei zu loeschen(delete file) mache das bitte und starte neu


HKLM\System\CurrentControlSet\Services\pe386
" DisplayName = "Win23 PE files loader"
" ErrorControl = 0x0
" Group = "Base"
" ImagePath = "\??\%SYSDIR%\lzx32.sys" // ALLES KLAR ??
" Start = 0x1
" Type = 0x1

HKLM\System\CURRENTCONTROLSET\SERVICES\pe386\Enum
" 0 = "Root\LEGACY_PE386\0000"
" Count = 0x1
" NextInstance = 0x1

KLM\System\CurrentControlSet\Services\pe386\Security
" Security = %Hex Werte%


Lade dazu bitte killbox und entpacke es in einen Extra Ordner: Killbox
Starte killbox, waehle "replace on reboot"(use dummy nicht anhaken!), in das obere weisse Feld kopierst du folgendes: C:\WINDOWS\system32\winlogon.exe
in das untere weisse Feld das:

C:\WINDOWS\system32\dllcache\winlogon.exe

Dann drueckst du den Button mit roten Kreis(und weissen X). Bestaetige evtl. Meldungen mit Ja und lass den Rechner neu starten.
Dann schau nach dem Neustart, ob es funktioniert hat!




Valid HTML 4.01 Ranking-Hits