| Vorheriges Thema anzeigen :: Nächstes Thema anzeigen |
| Autor |
Nachricht |
Nicht geloggter Tuncay
Gast
|
 Verfasst am: Sa Apr 26, 2008 5:36 pm Titel: >>> winlogon.exe mit Troyaner infiziert! ich brauch |
 |
|
Nun habe ich mir mal endlich auch für zuhause einen Internet Anschluss besorgt (es lebten die ICafes). Zu diesem Anlass habe ich auch mal Windows neu installiert und einige Sicherheitsvorkehrungen getroffen.
Eines dieser Vorkehrungen ist das Service Pack 2 für Windows zu installieren. Eine andere Avira AntiVir. Soweit keine Probleme. Dann habe ich die SP2 eigene Firewall deaktiviert und Comode Firewall installiert. Dieser hat dann die winlogon.exe als einen Troyaner identifiziert b.z.w. einen mit einem Troyaner infizierten Datei.
| Zitat: | Trojan.Win32.Patched.m(ID = 0x4d69a) C:\WINDOWS\ServicePackFiles\i386\winlogon.exe
Trojan.Win32.Patched.m(ID = 0x4d69a) C:\WINDOWS\system32\winlogon.exe |
Ich habe das SP2 von der originalen Microsoft SP2 Update CD installiert. Deswegen verstehe ich diese Meldung nicht. Zu dieser Zeit hatte ich auch noch keine Internet Verbindung und soviele Programme habe ich auch nicht installiert.
Ich dachte mir das dies eventuell nur eine Fehlmeldung ist. Um das noch mals zu überprüfen installierte ich Spybot Search & Destroy. Und siehe da, auch er hat dann winlogon.exe als "CoolWWWSearch.Leftovers" identifiziert.
Zudem versucht winlogon.exe ständig eine Internet Verbindung herzustellen, welche ich erst einmal vorläufig zugesagt habe, da ich sonst mit Meldungen überhäuft werde und kaum noch eine Übersicht habe.
Das ist noch nicht alles. Seit einiger Zeit (ich glaube seit ich vor einigen Wochen die AGP Grafikkarte gekauft habe, Nvidia 7300 GT) habe ich manchmal ein Problem bei dem Anmeldebildschirm, bei dem das Logon Bildschirm von Windows manchmal beim Booten nicht angezeigt wurde und somit ich mich nicht anmelden konnte. Ich weis nicht mehr so genau ob ich das Problem auch vorher hatte (weil Rechner damals nicht so oft benutzt). Dann würde das mit dem Troyaner einen Zusammenhang geben.
Ich habe mal vorsichtshalber die winlogon.exe umbenannt, um einfach mal zu sehen was passiert. Ich hätte gedacht, das Windows diese Datei beim Booten automatisch aus einem anderen sicheren Verzeichnis kopieren würde oder zumindest die Installations-CD verlangen würde um diese von da zu kopieren; ABER nein, ich musste umständlich die Wiederherstellungskonsole booten, da natürlich auch der Abgesicherter Modus nicht funktioniert hatte. Naja, die Datei habe ich wieder in winlogon.exe zurück umbenannt.
Was soll ich jetzt tun? |
|
| Nach oben |
|
 |
Nicht geloggter Tuncay
Gast
|
| Verfasst am: Sa Apr 26, 2008 5:56 pm Titel: |
|
|
Spybot Search & Destroy Suche ist gerade beendet und hier ein Teil des Berichtes, was winlogon betrifft:
| Zitat: | CoolWWWSearch.Leftovers: [SBI $1348EFF1] Ausführbare Datei (Datei, nothing done)
C:\WINDOWS\winlogon.exe |
| Zitat: | Located: WinLogon, crypt32chain
command: crypt32.dll
file: crypt32.dll
size: 0
MD5: D41D8CD98F00B204E9800998ECF8427E
Warning: if the file is actually larger than 0 bytes,
the checksum could not be properly calculated!
Located: WinLogon, cryptnet
command: cryptnet.dll
file: cryptnet.dll
size: 0
MD5: D41D8CD98F00B204E9800998ECF8427E
Warning: if the file is actually larger than 0 bytes,
the checksum could not be properly calculated!
Located: WinLogon, cscdll
command: cscdll.dll
file: cscdll.dll
size: 0
MD5: D41D8CD98F00B204E9800998ECF8427E
Warning: if the file is actually larger than 0 bytes,
the checksum could not be properly calculated!
Located: WinLogon, ScCertProp
command: wlnotify.dll
file: wlnotify.dll
size: 0
MD5: D41D8CD98F00B204E9800998ECF8427E
Warning: if the file is actually larger than 0 bytes,
the checksum could not be properly calculated!
Located: WinLogon, Schedule
command: wlnotify.dll
file: wlnotify.dll
size: 0
MD5: D41D8CD98F00B204E9800998ECF8427E
Warning: if the file is actually larger than 0 bytes,
the checksum could not be properly calculated!
Located: WinLogon, sclgntfy
command: sclgntfy.dll
file: sclgntfy.dll
size: 0
MD5: D41D8CD98F00B204E9800998ECF8427E
Warning: if the file is actually larger than 0 bytes,
the checksum could not be properly calculated!
Located: WinLogon, SensLogn
command: WlNotify.dll
file: WlNotify.dll
size: 0
MD5: D41D8CD98F00B204E9800998ECF8427E
Warning: if the file is actually larger than 0 bytes,
the checksum could not be properly calculated!
Located: WinLogon, termsrv
command: wlnotify.dll
file: wlnotify.dll
size: 0
MD5: D41D8CD98F00B204E9800998ECF8427E
Warning: if the file is actually larger than 0 bytes,
the checksum could not be properly calculated!
Located: WinLogon, wlballoon
command: wlnotify.dll
file: wlnotify.dll
size: 0
MD5: D41D8CD98F00B204E9800998ECF8427E
Warning: if the file is actually larger than 0 bytes,
the checksum could not be properly calculated! |
| Zitat: | PID: 776 ( 576) \??\C:\WINDOWS\winlogon.exe
size: 507392 |
|
|
| Nach oben |
|
|
Nicht geloggter Tuncay
Gast
|
| Verfasst am: Sa Apr 26, 2008 7:11 pm Titel: |
|
|
Ich habe gerade versucht die Datei winlogon.ex_ aus dem Service Pack 2 in winlogon.exe zu umbenennen und diese mit der Version im installiertem Windows Verzeichnis auszutauschen. Nein, auch das war nicht erfolgreich.
Da ich seit Wochen Windows und einige Applikationen neu installiere und installiert habe und konfiguriert, möchte ich das alles nicht noch mal neu machen. Ich bekomme den HORROR! Erneute Verzweiflung (wie immer) macht sich breit. Suizid Gefahr. |
|
| Nach oben |
|
|
Dbof
Anmeldedatum: 10.01.2008
Beiträge: 282
Wohnort: C:\
|
|
| Nach oben |
|
|
Nicht geloggter Tuncay
Gast
|
| Verfasst am: Sa Apr 26, 2008 8:03 pm Titel: |
|
|
Ich habe im abesicherten Modus nun SP2 neu installiert, doch das Prob bleibt bestehen.
Über die Auswirkungen bin ich mir nicht so hundertprozentig sicher, ich weis ja nicht was es alles noch tut. AntiVirus meldet sich schon mal gar nicht, wohl aber der Teatimer von Spybot Search & Destroy. Das ist ein Echtzeitschutz vor Prozessen, bei dem der mich jedes mal fragt ob ich diesen Prozess zulassen soll oder nicht und ob ich die Datei löschen sollte.
Egal was ich anklicke, ich werde dabei von dieser Abfrage überschüttet, bis ich auf zulassen stimme und somit dieser Prozess weiter ausgeführt wird. Dann muss ich aber noch Neustarten.
Mal abgesehen das 50% der Neustarts fehlschlagen (wobei das Neustart Problem eventuell an einem anderen Problem liegen könnte...). Es ist zum Hühnerrupfen!
Aber ausser den genannten Dingen läuft alles andere relativ stabil. |
|
| Nach oben |
|
|
Tuncay
Anmeldedatum: 28.10.2006
Beiträge: 127
Wohnort: Berlin
|
| Verfasst am: Sa Apr 26, 2008 9:39 pm Titel: |
|
|
Ok, Nach einem im Betrieb abgestürztem Windows, knapp 10 fehlgeschlagenen Neustarts stehe ich jetzt wirklich kurz vor der Verzweiflung!
_________________
Manchmal ist es /falsch/ das "richtige" zu tun. |
|
| Nach oben |
|
|
Dbof
Anmeldedatum: 10.01.2008
Beiträge: 282
Wohnort: C:\
|
| Verfasst am: Sa Apr 26, 2008 10:03 pm Titel: |
|
|
| Zitat: |
Bekannt ist daß der Wurm NetSky.D (Massenmailer) sich unter dem Namen
winlogon.exe in c:\windows kopiert
Diese Datei ist zu löschen. Nicht verwechseln mit der Originaldatei in system32.
Aber alle üblichen Virussucher, z.B. Antivir, bringen das auch raus. |
| Zitat: | | C:\WINDOWS\winlogon.exe |
Gelöstes Problem, hast du denn mal die Datei gelöscht??
##EDIT##:
| Zitat: | | http://www.virustotal.com/de/analisis/e438da07608cd503c9486d0dcd0e4478 |
Hab mal meine saubere winlogon.exe hochgeladen. Ergebnis kannst du anschauen, nur Antivir erkennt ihn...
Avira Update löst das Problem....
_________________
mein spontanes ControlSend - Tutorial:
http://de.autohotkey.com/forum/viewtopic.php?p=25173#25173 |
|
| Nach oben |
|
|
Tuncay
Anmeldedatum: 28.10.2006
Beiträge: 127
Wohnort: Berlin
|
| Verfasst am: Sa Apr 26, 2008 10:20 pm Titel: |
|
|
Ich bin mir nicht sicher, ob wir von denselben Schadsoftware "reden". Zum einen hab ich das aktuellste Avira Antivir drauf und der erkennt ihn nicht. Zum anderen wird er bereits von den anderen Programmen (nicht Virus, sondern anderen Typus) erkannt. Das löschen bringt mir höchstens das Problem ein, das ich mich anschließend nicht mehr einloggen kann.
Habe ja auch Probleme mit dem Einloggen, also wird das mit Sicherheit mit winlogon.exe zusammenhängen. Ich möchte auch nicht (bitte verzeih) von Fremden Ausführbare Dateien annehmen. Das ist mir hier zu riskannt. Ich wäre aber für jeden Tipp dankbar, um meine eigene winlogon.exe aus der Installations CD von Windows XP oder des Service Pack 2 erstellen kann. (ok seltsam formuliert)
_________________
Manchmal ist es /falsch/ das "richtige" zu tun. |
|
| Nach oben |
|
|
Ripp3r]D3[
Anmeldedatum: 11.11.2007
Beiträge: 551
Wohnort: Altenburg\Kernel32.dll
|
| Verfasst am: Sa Apr 26, 2008 10:25 pm Titel: |
|
|
Lade dir Ubuntu Live cd runter brenn die und starte dann die cd.... dann activiere die ntfs schreibrechte und kopiere die win...exe in den windows ordner und überschreibe die ....tada fertig es lebe LINUX!!!
_________________
ResistantX:
"...In deren Köpfen läuft das selbe Programm welches auch bei den früheren Jahrgängen lief! Ich bin der Virus der diese Programme zerstören will..." |
|
| Nach oben |
|
|
Tuncay
Anmeldedatum: 28.10.2006
Beiträge: 127
Wohnort: Berlin
|
| Verfasst am: Sa Apr 26, 2008 10:30 pm Titel: |
|
|
Ripp3r]D3[, das hat nix mit Linux zu tun. Ich bin durchaus in der Lage Windows mittels der Windows Installations CD so zu starten und mich darin anzumelden, das diese von CD ausgeführt wird. Das nennt sich dann dort die Wiederherstellungskonsole" mit nur ein paar Befehlen. Das habe ich da schon paar mal gemacht. Bringt nix, da ich ja keine saubere Version dieser Datei habe. Die Varianten von der CD sind anscheinend nicht einfach so durch Umbenennung des Dateinamens verwendbar.
Ich würde ja sogar gerne auf Linux umsteigen, aber das geht nach 7 Jahren Anwendungen, Dateien und Gewohnheiten einfach nicht so.
_________________
Manchmal ist es /falsch/ das "richtige" zu tun. |
|
| Nach oben |
|
|
Dbof
Anmeldedatum: 10.01.2008
Beiträge: 282
Wohnort: C:\
|
| Verfasst am: Sa Apr 26, 2008 10:30 pm Titel: |
|
|
Äähm, ja, ich hab nicht gemeint, dass du meine jetzt runterladen kannst, ich meine, dass sogar meine saubere Datei nur von Avira erkannt wird, der Link führt zu einem Online Antivirus - Bericht...
Überprüfe erstmal, ob im Ordner "C:\Windows\System32 sich die winlogon.exe befindet! Wenn ja, kannst du die Datei "winlogon" im Ordner C:\Windows\ löschen lassen vom Antivirus, das ist ja die vom Virus infizierte Datei...
_________________
mein spontanes ControlSend - Tutorial:
http://de.autohotkey.com/forum/viewtopic.php?p=25173#25173 |
|
| Nach oben |
|
|
Ripp3r]D3[
Anmeldedatum: 11.11.2007
Beiträge: 551
Wohnort: Altenburg\Kernel32.dll
|
| Verfasst am: So Apr 27, 2008 12:20 am Titel: |
|
|
un das Service Pack kannste auch nochmal neu laden
_________________
ResistantX:
"...In deren Köpfen läuft das selbe Programm welches auch bei den früheren Jahrgängen lief! Ich bin der Virus der diese Programme zerstören will..." |
|
| Nach oben |
|
|
John W
Anmeldedatum: 03.05.2007
Beiträge: 160
Wohnort: /home/john
|
| Verfasst am: So Apr 27, 2008 11:06 am Titel: |
|
|
| Tuncay hat Folgendes geschrieben: | | Ich würde ja sogar gerne auf Linux umsteigen, aber das geht nach 7 Jahren Anwendungen, Dateien und Gewohnheiten einfach nicht so. |
Ging mir ähnlich - ebenfalls 7 Jahre, seit 3 Monaten benutze ich fast nur noch OpenSUSE; Windows nur für eine 1:1-Kopie der Festplatte auf eine externe Platte.
Den Umstieg wirst du auch schaffen - so schwer ist es gar nicht!
_________________
John
Inaktiv - bis AHK für Linux kommt.
 |
|
| Nach oben |
|
|
Ripp3r]D3[
Anmeldedatum: 11.11.2007
Beiträge: 551
Wohnort: Altenburg\Kernel32.dll
|
| Verfasst am: So Apr 27, 2008 11:31 am Titel: |
|
|
bei mir auch so....5 Jahre Windoof und jetzt ca 2 jahre linux un windoof nur noch zum daddeln un bissel coden.......warte bloß noch das AHK für linux raus kommt 
_________________
ResistantX:
"...In deren Köpfen läuft das selbe Programm welches auch bei den früheren Jahrgängen lief! Ich bin der Virus der diese Programme zerstören will..." |
|
| Nach oben |
|
|
Tuncay
Anmeldedatum: 28.10.2006
Beiträge: 127
Wohnort: Berlin
|
| Verfasst am: So Apr 27, 2008 3:39 pm Titel: |
|
|
| Tuncay hat Folgendes geschrieben: | | Ich habe das SP2 von der originalen Microsoft SP2 Update CD installiert. Deswegen verstehe ich diese Meldung nicht. Zu dieser Zeit hatte ich auch noch keine Internet Verbindung und soviele Programme habe ich auch nicht installiert. |
| Ripp3r]D3[ hat Folgendes geschrieben: | | un das Service Pack kannste auch nochmal neu laden |
Wollte nur noch mal darauf hinweisen, das ich ja bereits die unveränderliche Original CD von Microsoft benutze. Leider hat das auch nicht geholfen, weil diese Versionen so nicht einfach durch rename und copy und paste einsetzbar sind (nehme ich mal an)
Da ist mir übrigens heute morgen der andere Rechner im Hause eingefallen. Habe den schon sehr lange nicht mehr benutzt. Dieser ist wahrscheinlich auch nicht ganz clean, wird aber vom Internet abgeschottet. Darauf läuft auch Windoof XP.
Von diesem habe ich mal die winlogon.exe Version aus dem system32 Verzeichnis geklaut und die Versionen hier ersetzt; einschließlich den möglicherweise infizierten Version im Windows Verzeichnis gelöscht.
Ob das etwas gebracht hat, weis ich jetzt nicht. Werde das ja erst im laufendem Betrieb und bei den nächsten Neustarts bemerken. Das System und die Down und Uploads waren auch sehr langsam. Im moment scheint alles beruhigt zu sein.
Werde jetzt noch schnell mit Spybot Search & Destroy abschecken und mit der im Firewall integrierten Spyware Suche auch. Ich halte euch auf dem laufendem. 
Thema Linux. Ich hatte mal zu Suse 9.1 Zeiten (im Sonderangebot) die Professional Variante für 9.95 € gekauft und installiert. Damals hatte ich kein Internet und konnte so nid die Pakete downloaden die ich gebraucht hatte. Also installierte ich kurzerhand alles was drauf war. Ich kam nicht wirklich klar. Das System an sich ist ja sehr schön.
Eigentlich bin ich in gewisser Weise Linux Fan. Ich brauche nur Zeit. Diesen Rechner werden noch andere auch benutzen; was ein zusätzlicher Hindernis ist. Vista will ich sowieso nie haben. Bei dem nächsten Rechner kommt aber definitiv Linux (egal welche Distri). Dieser hat ja schon 7 Jahre aufm Buckel.^^
Dbof, das mit dem virustotal werde ich auch noch mal überprüfen lassen. Danke für eure Kommentare und Ideen zur Problemlösung.
_________________
Manchmal ist es /falsch/ das "richtige" zu tun. |
|
| Nach oben |
|
|
|
FAQ
Suchen
Mitgliederliste
Registrieren
Profil
Einloggen, um private Nachrichten zu lesen
Login
