Virus windows\system32\winlogon.exe

23.11.2005, 19:11

hei zusammen

ich habe ein problem mit meinem pc der art windows xp homedition. ich hatte vor einer woche einen virus auf meinem pc und mein freund hat ihn mir gelöscht am wochenende und jetzt ist er wieder aufgetaucht und ich kann ihn nicht entfernen. den namen des viruses kann ich nicht sagen der virenscanner norten zeigt mir nur an: windows\system32\winlogon.exe. ich bin durch einen kollegen auf diese seite gekommen und muss sagen ich bin ein absoluter anfänger in pc sachen und wäre froh wenn mir jemand helfen könnte. ich habe das problem mit dem search & destroy programm gelöscht aber der virenscanner norten zeigt ihn mir immer noch an und ich bekomme die virenmeldung nicht vom desktop. kann mir jemand sagen wie man dieses problem beheben kann?!

Logfile of HijackThis v1.99.1
Scan saved at 19:42:07, on 23.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Microsoft IntelliType Pro\type32.exe
C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
C:\Programme\Browser Control\browser.exe
C:\WINDOWS\System\Inst.exe
C:\Programme\MessengerPlus! 3\MsgPlus.exe
C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\PROGRA~1\GEMEIN~1\Nokia\MPAPI\MPAPI3s.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
C:\Programme\MSN Messenger\msnmsgr.exe
C:\WINDOWS\regedit.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\Manuela\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis[1].zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.rosy-logic.ch/inlove
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = https://as.starware.com/dp/search?x=wKX1 ... CSpmIHyaRx
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://omgtommys12.tommy97.net/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [windows 32 services] wuamcgy32.exe
O4 - HKLM\..\Run: [REGRUN] C:\faww32.exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe
O4 - HKLM\..\Run: [Browser Control] C:\Programme\Browser Control\browser.exe
O4 - HKLM\..\Run: [Inst] C:\WINDOWS\System\Inst.exe install
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [DataLayer] C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKCU\..\Run: [Start Upping] mediaplayer32.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [PcSync] C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - https://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - https://download.mcafee.com/molbin/share ... insctl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - https://v5.windowsupdate.microsoft.com/v ... 8619792937
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - https://update.microsoft.com/microsoftup ... 2416050343
O16 - DPF: {9524BF70-90B6-48BE-BD81-A945EDC6EC17} (NetdebitSecureModule Control) - https://www.netdebit-dialer.de/NetDebitSecureModule.cab
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} - https://download.mcafee.com/molbin/share ... cgdmgr.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O18 - Filter: text/html - {CFCDABEA-EF6B-4ACF-A079-E01C10DC5A1E} - C:\Dokumente und Einstellungen\Manuela\Lokale Einstellungen\Anwendungsdaten\microsoft\internet explorer\V0.34.dat
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SPBBCSvc - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

23.11.2005, 21:54

Hallöchen,

folgende Einträge sollten gefixt werden:

Code:

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = https://as.starware.com/dp/search?x=w...D/YOx16Q+SeVwj XiC0EcANPDVUjrx1F/o5PfN9GeZxEZZONlotQ/5KWccjd8zvwfY2Oj5UnwrBWk87GCbMxqFfbpWjetQc w199NPPz2GpvOBLNcBK5q9C5VITk0uZWpHMycxvdvfVKEg0PvOKJ+npieCSpmIHyaRx
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O4 - HKLM\..\Run: [windows 32 services] wuamcgy32.exe
O4 - HKLM\..\Run: [REGRUN] C:\faww32.exe
O4 - HKLM\..\Run: [Browser Control] C:\Programme\Browser Control\browser.exe
O4 - HKLM\..\Run: [Inst] C:\WINDOWS\System\Inst.exe install
O4 - HKCU\..\Run: [Start Upping] mediaplayer32.exe
O16 - DPF: {9524BF70-90B6-48BE-BD81-A945EDC6EC17} (NetdebitSecureModule Control) - https://www.netdebit-dialer.de/NetDebitSecureModule.cab

Anschließend den Rechner im abgesicherten Modus starten und die gefixten .exe Dateien endgültig löschen...

24.11.2005, 06:54

und was heisst gefixt werden und im gesicherten stauts starten? ich habe mit solchen wörtern keine ahnung und bin voller anfänger. könntest du mir das besser erklären?

24.11.2005, 07:45

Hallöchen,

gefixt heißt im Programm HijackThis beheben... Am besten schaust du dir einfach mal die Anleitung an:

https://www.dirks-computerecke.de/hij...-anleitung.htm

24.11.2005, 07:54

das habe ich schon gemacht aber wie gesagt mein norton virenscanner zeigt ihn mir aber immer noch auf auch nach einem neustart. ich habe alles gelöscht mit dem hijack. aber es löscht mir ihn im scanner nicht.

24.11.2005, 08:02

Hallöchen,

bevor du etwas löscht solltest du auch die Systemwiederherstellung deaktivieren. Ausserdem mal eine Datenträgerbereinigung durchführen, also alle temporären Dateien löschen...

24.11.2005, 09:10

aber wie mache ich das am besten ich habe wirklich null ahnung.

24.11.2005, 09:35

Hallöchen,

also wie man die Systemwiederherstellung aktiviert bzw. deaktiviert ist unter folgendem Link erklärt:

https://www.dirks-computerecke.de/sys...erstellung.htm

Und für die Datenträgerbereinigung gibt es einen Menüeintrag im Startmenü unter Programme - Zubehör - Systemprogramme

24.11.2005, 10:08

dann soll ich dass deaktivieren und dan das hijacks nochmal darüber gehen lassen und nochmal alles löschen danach die systemreinigung machen?

24.11.2005, 10:52

Hallöchen,

genau...

24.11.2005, 11:01

dann die systemwiederherstellung wieder aktivieren und neu starten? dann sollte er entfernt sein? und wnen nicht?

24.11.2005, 21:35

Hallöchen,

die Systemwiederherstellung erst wieder aktivieren, wenn dein PC wirklich frei ist von Spyware. Wenn du alles entsprechend der Hinweise gelöscht hast, dann machst du noch mal einen Scan und kopierst das Logfile wieder hier rein und wir schauen nach ob noch etwas übrig geblieben ist...

Virus windows\system32\winlogon.exe

Virus windows\system32\winlogon.exe

hei computerdirk

hei dirk

Ähnliche Themen

Windows\System32\Confic\System fehlt oda beschädigt !

/Windows/system32/config/system - Fehler mit Windows und beim Starten des PCs.

die anwendung dll c:\windows\system32\wininet.dll ist keine gültige windows-datei

Fehlermeldung <windows root>\system32\hal.dll.

Änderung in "c:windows/system32/drivers/etc/host"

Benutzer, die dieses Thema gelesen haben: 0