winlogon.exe infiziert, rwl.dll, dvdkernl.sys

startseite Gastbuch Kontakt
winlogon.exe infiziert rwl.dll dvdkernl.sys
winlogon.exe infiziert, rwl.dll, dvdkernl.sys

winlogon.exe infiziert





HijackThis

O2 - BHO: WriteFileware Class - {33E8230A-AFA8-4db4-8684-CBA061C98D1E} - C:\WINDOWS\system32\rwl.dll

C:\WINDOWS\system32\dllcache\winlogon.exe infected by "Type_Win32" Virus!
C:\WINDOWS\system32\winlogon.exe infected by "Type_Win32" Virus!
C:\WINDOWS\winlogon.exe infected by "Trojan-Downloader.Win32.Small.aag



datfindbat

Verzeichnis von I:\WINDOWS\system32

21.09.2005 10:26 507.392 winlogon.exe
17.09.2005 17:58 662.016 wininet.dll
06.07.2005 00:10 99.678 wp.bmp
06.07.2005 00:09 766 spyware.ico
06.07.2005 00:09 4.286 spam.ico
06.07.2005 00:09 2.238 pharm.ico
06.07.2005 00:09 2.238 network.ico
06.07.2005 00:09 2.238 Date.ico

********************************

Click Start - Ausfuehren - sigverif - OK
click OK and Start.
Der Computer wird scannen alle Dateien auf ihre digital "Autograph" (Authentizitaet) und kopiere die sigverif.txt


andere winlogon

Link: winlogon

O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O23 - Service: NTLOAD - Unknown owner - c:\windows\system32\dllcache\win32\winlogon.exe
O23 - Service: NTSVCMGR - Unknown owner - c:\windows\system32\dllcache\win32\winlogon.exe



andere winlogon

c:\windows\inetdata\winlogon.exe infected by trojandownloader win32.cws.gen

O4 - HKLM\..\Run: [xp_system] C:\WINDOWS\inetdata\winlogon.exe
O4 - HKCU\..\Run: [xp_system] C:\WINDOWS\inetdata\winlogon.exe

+

c:\windows\inetdata\winlogon.exe infected by trojandownloader win32.cws.gen
c:\windows\notepad.exe infected by trojan downloader win32.cws.gen
c:\windows\system32\notepad.exe infected by trojan downloader win32 cws.gen
c:\windows\system32\wldr.dll infected by trojan downloader win32 agent.le
c:\windows\system32\x3pk8vxvotju.dll infected by trojan downloader win32 small.amg


[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5321E378-FFAD-4999-8C62-03CA8155F0B3}\InprocServer32]
@="C:\\WINDOWS\\inetdata\\3.00.03.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"xp_system"="C:\\WINDOWS\\inetdata\\winlogon.exe"

[HKEY_USERS\S-1-5-21-1957994488-842925246-854245398-1003\Software\Microsoft\Windows\CurrentVersion\Run]
"xp_system"="C:\\WINDOWS\\inetdata\\winlogon.exe"

[HKEY_USERS\S-1-5-21-1957994488-842925246-854245398-1003\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"run"="C:\\WINDOWS\\inetdata\\winlogon.exe"




andere winlogon

Kaspersky -Onlinescan

C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\15CV8O7H\cash[1].exe/winlogon.exe Trojan-Clicker.Win32.Agent.ap

C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5 \15CV8O7H\cash[1].exe/dr.exe Infected: Trojan-Downloader.Win32.Adload.j



andere winlogon

Win32:Trojano-1320 - dvd4free.dll - winlogon.dll - virus pws

HijackThis

O4 - HKLM\..\Run: [WindowsUpdateS] C:\WINDOWS\System\winlogon.exe /s
O4 - HKLM\..\Run: [WindowsUpdate] C:\WINDOWS\System\svchost.exe /s
O4 - HKCU\..\Run: [System] C:\WINDOWS\winlogon.exe
O20 - Winlogon Notify: dvd4free - C:\WINDOWS\SYSTEM32\dvd4free.dll -> Haxdoor


Start > Ausführen --> reinschreiben --> cmd.exe
und ok. kopiere rein


dir /s /a "c:\winlogon*.*" > c:\find.txt & start notepad c:\find.txt



Verzeichnis von c:\WINDOWS\system

05.04.2006 14:04 35.328 winlogon.dll
30.03.2006 16:03 22.016 winlogon.exe
2 Datei(en) 57.344 Bytes

Verzeichnis von c:\WINDOWS\system32

04.08.2004 14:00 507.392 winlogon.exe
1 Datei(en) 507.392 Bytes


RootkitRevealer

C:\WINDOWS\system32\dvd4free.dll 30.03.2006 16:04 16.86 KB Hidden from Windows API.
C:\WINDOWS\system32\dvdkernl.sys 30.03.2006 16:04 6.61 KB Hidden from Windows API.

---------------

c:\WINDOWS\wjl.exe --> Win32:Trojano-1320
C:\windows\winl.exe --> Win32:Trojano-1320
C:\WINDOWS\system32\dvd4free.dll
C:\WINDOWS\system32\dvdkernl.sys -> Trojan.Spy.Goldun.ID/ Win32/Rootkit.Agent.AT
C:\WINDOWS\system32\tickcnt.bin
c:\WINDOWS\system\winlogon.dll
c:\WINDOWS\system\winlogon.exe
C:\WINDOWS\winlogon.exe
C:\WINDOWS\System\svchost.exe
C:\WINDOWS\System\svchost.dll

Avast-Virenscanner

"Win32:Trojano-1320 [Trj]" has been found in "C:\WINDOWS\System\svchost.dll"

"Win32:Trojano-1320 [Trj]" has been found in "C:\WINDOWS\System\winlogon.dll"

"Win32:Trojano-1320 [Trj]" has been found in "C:\WINDOWS\TEMP\_avast4_\unp216517412.tmp"

Trojano-1320 [Trj]" has been found in "C:\WINDOWS\TEMP\_avast4_\trz9.tmp"

Trojano-1320 [Trj]" has been found in "C:\WINDOWS\TEMP\_avast4_\trzA.tmp


Start -- Ausführen -- regedit (reinschreiben)

bearbeiten - suchen - DVDKERNL

Sollte man Probleme haben, die Einträge zu löschen, Legacy_ .....kann nicht gelöscht werden. Fehler beim Löschen des Schlüssels, dann gehe mit Rechtsklick im Kontextmenü auf: "Berechtigungen" Setze das Häkchen bei "Vollzugriff zulassen" Übernehmen, OK Danach sollte(n) sich der(die) betreffenden Schlüssel löschen lassen.


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_DVDKERNL]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\dvdkernl]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_DVDKERNL]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\dvdkernl]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DVDKERNL]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dvdkernl]


dvdkernl.sys

BitDefender 7.2 03.25.2006 Trojan.Spy.Goldun.ID
DrWeb 4.33 03.25.2006 Trojan.PWS.GoldSpy
eTrust-Vet 12.4.2133 03.24.2006 Win32/ProcHide!generic
Kaspersky 4.0.2.24 03.25.2006 Trojan-Spy.Win32.Goldun.id
McAfee 4726 03.24.2006 PWS-Goldun.sys
NOD32v2 1.1458 03.24.2006 probably a variant of Win32/Rootkit.Agent.AT
Sophos 4.04.0 03.24.2006 Troj/Haxdor-Gen
UNA 1.83 03.23.2006 Trojan.Spy.Banker
VBA32 3.10.5 03.24.2006 suspected of Rootkit.Agent.10



HijackThis

O4 - HKLM\..\Run: [WindowsUpdateS] C:\WINDOWS\System\winlogon.exe /s
O4 - HKLM\..\Run: [WindowsUpdateR] C:\WINDOWS\System\regserv.exe /s
O4 - HKLM\..\Run: [WindowsUpdate] C:\WINDOWS\SYSTEM\SVCHOST.EXE /s

scanne mit Bitdefender - ScanOnline neu
http://virus-protect.org/onlinescan.html

C:\Windows\system\regserv.exe
Infiziert: Dropped:Trojan.Spy.Goldun.CM

C:\WINDOWS\SYSTEM\REGSERV.dll
Infected with: Trojan.Spy.Goldun.CM

C:\WINDOWS\SYSTEM\svchost.exe
Infected with: Trojan.Spy.Goldun.CM

C:\WINDOWS\SYSTEM\SVCHOST.dll
Infected with: Trojan.Spy.Goldun.CM

C:\WINDOWS\SYSTEM\dvd4free.dll
Infected with: Trojan.Spy.Goldun.CL



Valid HTML 4.01 Ranking-Hits