winlogon.exe
|
winlogon.exe infiziert
HijackThis
O2 - BHO: WriteFileware Class - {33E8230A-AFA8-4db4-8684-CBA061C98D1E} - C:\WINDOWS\system32\rwl.dll C:\WINDOWS\system32\dllcache\winlogon.exe infected by "Type_Win32" Virus! C:\WINDOWS\system32\winlogon.exe infected by "Type_Win32" Virus! C:\WINDOWS\winlogon.exe infected by "Trojan-Downloader.Win32.Small.aag
datfindbat
Verzeichnis von I:\WINDOWS\system32 21.09.2005 10:26 507.392 winlogon.exe 17.09.2005 17:58 662.016 wininet.dll 06.07.2005 00:10 99.678 wp.bmp 06.07.2005 00:09 766 spyware.ico 06.07.2005 00:09 4.286 spam.ico 06.07.2005 00:09 2.238 pharm.ico 06.07.2005 00:09 2.238 network.ico 06.07.2005 00:09 2.238 Date.ico ******************************** Click Start - Ausführen - sigverif - OK click OK and Start. Der Computer wird scannen alle Dateien auf ihre digital "Autograph" (Authentizitaet) und kopiere die sigverif.txt andere winlogon.exe
Link: winlogon
HijackThis
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll O23 - Service: NTLOAD - Unknown owner - c:\windows\system32\dllcache\win32\winlogon.exe O23 - Service: NTSVCMGR - Unknown owner - c:\windows\system32\dllcache\win32\winlogon.exe andere winlogon.exec:\windows\inetdata\winlogon.exe infected by trojandownloader win32.cws.gen
HijackThis
O4 - HKLM\..\Run: [xp_system] C:\WINDOWS\inetdata\winlogon.exe O4 - HKCU\..\Run: [xp_system] C:\WINDOWS\inetdata\winlogon.exe + c:\windows\inetdata\winlogon.exe infected by trojandownloader win32.cws.gen c:\windows\notepad.exe infected by trojan downloader win32.cws.gen c:\windows\system32\notepad.exe infected by trojan downloader win32 cws.gen c:\windows\system32\wldr.dll infected by trojan downloader win32 agent.le c:\windows\system32\x3pk8vxvotju.dll infected by trojan downloader win32 small.amg
andere winlogon.exe
Kaspersky -Onlinescan
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\15CV8O7H\cash[1].exe/winlogon.exe Trojan-Clicker.Win32.Agent.ap C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5 \15CV8O7H\cash[1].exe/dr.exe Infected: Trojan-Downloader.Win32.Adload.j andere winlogonWin32:Trojano-1320 - dvd4free.dll - winlogon.dll - virus pws
HijackThis
O4 - HKLM\..\Run: [WindowsUpdateS] C:\WINDOWS\System\winlogon.exe /s O4 - HKLM\..\Run: [WindowsUpdate] C:\WINDOWS\System\svchost.exe /s O4 - HKCU\..\Run: [System] C:\WINDOWS\winlogon.exe O20 - Winlogon Notify: dvd4free - C:\WINDOWS\SYSTEM32\dvd4free.dll -> Haxdoor
Start > Ausführen --> reinschreiben --> cmd.exe
und ok. kopiere rein
RootkitRevealer
C:\WINDOWS\system32\dvd4free.dll 30.03.2006 16:04 16.86 KB Hidden from Windows API C:\WINDOWS\system32\dvdkernl.sys 30.03.2006 16:04 6.61 KB Hidden from Windows API --------------- c:\WINDOWS\wjl.exe --> Win32:Trojano-1320 C:\windows\winl.exe --> Win32:Trojano-1320 C:\WINDOWS\system32\dvd4free.dll C:\WINDOWS\system32\dvdkernl.sys -> Trojan.Spy.Goldun.ID/ Win32/Rootkit.Agent.AT C:\WINDOWS\system32\tickcnt.bin c:\WINDOWS\system\winlogon.dll c:\WINDOWS\system\winlogon.exe C:\WINDOWS\winlogon.exe C:\WINDOWS\System\svchost.exe C:\WINDOWS\System\svchost.dll
Avast-Virenscanner
"Win32:Trojano-1320 [Trj]" has been found in "C:\WINDOWS\System\svchost.dll" "Win32:Trojano-1320 [Trj]" has been found in "C:\WINDOWS\System\winlogon.dll" "Win32:Trojano-1320 [Trj]" has been found in "C:\WINDOWS\TEMP\_avast4_\unp216517412.tmp" Trojano-1320 [Trj]" has been found in "C:\WINDOWS\TEMP\_avast4_\trz9.tmp" Trojano-1320 [Trj]" has been found in "C:\WINDOWS\TEMP\_avast4_\trzA.tmp
Start -- Ausführen -- regedit (reinschreiben)
bearbeiten - suchen - DVDKERNL
Sollte man Probleme haben, die Einträge zu löschen,
Legacy_ .....kann nicht gelöscht werden. Fehler beim Löschen des Schlüssels,
dann gehe mit Rechtsklick im Kontextmenü auf: "Berechtigungen" Setze das Häkchen bei "Vollzugriff zulassen"
Übernehmen, OK
Danach sollte(n) sich der(die) betreffenden Schlüssel löschen lassen.
dvdkernl.sysBitDefender 7.2 03.25.2006 Trojan.Spy.Goldun.IDDrWeb 4.33 03.25.2006 Trojan.PWS.GoldSpy eTrust-Vet 12.4.2133 03.24.2006 Win32/ProcHide!generic Kaspersky 4.0.2.24 03.25.2006 Trojan-Spy.Win32.Goldun.id McAfee 4726 03.24.2006 PWS-Goldun.sys NOD32v2 1.1458 03.24.2006 probably a variant of Win32/Rootkit.Agent.AT Sophos 4.04.0 03.24.2006 Troj/Haxdor-Gen UNA 1.83 03.23.2006 Trojan.Spy.Banker VBA32 3.10.5 03.24.2006 suspected of Rootkit.Agent.10
HijackThis
O4 - HKLM\..\Run: [WindowsUpdateS] C:\WINDOWS\System\winlogon.exe /s O4 - HKLM\..\Run: [WindowsUpdateR] C:\WINDOWS\System\regserv.exe /s O4 - HKLM\..\Run: [WindowsUpdate] C:\WINDOWS\SYSTEM\SVCHOST.EXE /s
scanne Online mit Bitdefender
C:\Windows\system\regserv.exe Infiziert: Dropped:Trojan.Spy.Goldun.CM C:\WINDOWS\SYSTEM\REGSERV.dll Infected with: Trojan.Spy.Goldun.CM C:\WINDOWS\SYSTEM\svchost.exe Infected with: Trojan.Spy.Goldun.CM C:\WINDOWS\SYSTEM\SVCHOST.dll Infected with: Trojan.Spy.Goldun.CM C:\WINDOWS\SYSTEM\dvd4free.dll Infected with: Trojan.Spy.Goldun.CL |
