winlogon.exe

winlogon.exe, win32.dll.tmp, winmgnt.dll

HijackThis
O23 - Service: NTLOAD - Unknown owner - c:\windows\system32\dllcache\win32\winlogon.exe
O23 - Service: NTSVCMGR - Unknown owner - c:\windows\system32\dllcache\win32\winlogon.exe

** Click Start - Ausführen - Type in Services.msc und Click OK!
"Eigenschaften" - Click "Stop" - Starttyp "deaktiviert"

NTLOAD
NTSVCMGR

** Start --> Ausführen --> reinkopieren (wenn eine Fehlermeldung kommt...ignorieren) --> klicke nach jedem O.K.

sc delete NTLOAD
sc delete NTSVCMGR

** Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

** Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken

REGEDIT4

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Secure Mime Handlers]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NTLOAD]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NTLOAD]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_NTLOAD]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\NTLOAD]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NTLOAD]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTLOAD]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NTSVCMGR]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NTSVCMGR]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_NTSVCMGR]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\NTSVCMGR]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NTSVCMGR]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTSVCMGR]

Antivir Guard lässt ständig eine Warnmeldung zum Backdoorprogramm "BDS/Iroffer.1228" ab:

c:\windows\system32\dllcache\win32\winlogon.exe
c:\windows\system32\dllcache\win32\services.exe
c:\windows\system32\dllcache\win32\csrss.exe

File: winlogon.exe
Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database) (Note: only non-destructive malware has been found. Considering the non-destructive nature of samples like these - although they can be a pain in the ass - results will not be stored in the database.) Packers detected: None

Kaspersky Anti-Virus not-a-virus:RiskWare.Tool.ServiceRunner.d (4.21 seconds taken) mks_vir No viruses found (2.13 seconds taken) NOD32 No viruses found (2.27 seconds taken) Norman Virus Control No viruses found (2.88 seconds taken)

csrss.exe
Kaspersky Anti-Virus not-a-virus:RiskWare.Tool.ServiceRunner.d

Positive identification: Riskware.FTP.Serv-U.4100a
File: c:\windows\system32\dllcache\win32\csrss.exe.tcf

c:\windows\system32\winmgnt.dll
c:\windows\system32\spoolvc.dll
c:\windows\system32\schost.dll
c:\stcli\srvany.exe
C:\Windows\system32\dllcache\win32\csrss.exe.tcf
c:\windows\system32\dllcache\win32\winlogon.exe
c:\windows\system32\dllcache\win32\services.exe
c:\windows\system32\dllcache\win32\csrss.exe

c:\windows\system32\dllcache\win32\ --loeschen
c:\WINDOWS\$NtServicePackUninstall$\ -->> löschen, wenn es ca. (11mb) gross ist, kein anders

datfindbat

Verzeichnis von C:\WINDOWS\system32

21.12.2005 14:36 4 win32.dll.tmp
21.12.2005 14:36 232 winmgnt.dll.txt
21.12.2005 14:36 50 winmgnt.dll
21.12.2005 14:06 50 winmgnt.dll.bkup
21.12.2005 05:05 5 spoolvc.dll
21.12.2005 05:05 0 schost.dll
21.12.2005 05:05 0 win32.dll.bkup

Nt auth.dll:
pidfile schost.dll
statefile win32.dll
connectionmethod direct
server irc.rizon.net 6667
user_modes +i
slotsmax 1
queuesize 100
maxtransfersperperson 1
maxqueueditemsperperson 2
respondtochannelxdcc
respondtochannellist
smallfilebypass 50
downloadhost *!*@*
adminpass WxHEZmgSZjnlU
adminhost *!*@*.com
uploadhost *!*@*
autoignore_exclude *!*@*
hideos
quietmode
nomd5sum
creditline .4,1....::::.0,1Brought to you by.8,1 #Twiztid .9,1::::.....
headline .4,1....::::.0,1Brought to you by.8,1 #Twiztid .9,1::::.....
uploadmaxsize 0
user_nick [Twiztid]-R00T-
user_modes -x
user_realname Twiztid
filedir C:\WINdows\system\driver
uploaddir C:\WINdows\system\driver
channel #Twiztid -key pimpin -plist 25
user_nick [Twiz-TTX-216]
user_realname [Twiz-TTX-216]
filedir C:\WINDOWS\system\driver
uploaddir C:\WINDOWS\system\driver

andere winlogon.exe Link: winlogonexe Information

HijackThis

O4 - HKLM\..\Run: [WindowsUpdate] C:\WINDOWS\System\svchost.exe /s
O4 - HKLM\..\Run: [WindowsUpdateS] C:\WINDOWS\System\winlogon.exe /s
O4 - HKLM\..\Run: [WindowsUpdateR] C:\WINDOWS\System\regserv.exe /s
O20 - Winlogon Notify: zopenssl - zopenssl.dll

scanne mit Bitdefender Onlinescan

C:\WINNT\system\regserv.exe
Infiziert: Dropped:Trojan.Spy.Goldun.CM

C:\WINNT\system\regserv.dll [??]

anderer PC

Verzeichnis von C:\WINDOWS
19.09.2006 00:00 0 1.dat
18.09.2006 20:44 0 keyboard1.dat
18.09.2006 20:43 40 teller2.chk
18.09.2006 10:47 95.232 winlogon.exe

Verzeichnis von C:\WINDOWS\SYSTEM32

19.09.2006 10:31 40.973 rqrqrrs.dll
18.09.2006 10:47 68 i
18.09.2006 10:41 0 TFTP3332
18.09.2006 10:35 0 TFTP3812
18.09.2006 10:35 77 qaz
18.09.2006 01:55 0 TFTP2244
18.09.2006 01:51 0 TFTP3048
18.09.2006 01:46 0 TFTP2488

anderer PC

HijackThis

O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\system32\byxxvsp.dll
O20 - Winlogon Notify: byxxvsp - C:\WINDOWS\SYSTEM32\byxxvsp.dll
O20 - Winlogon Notify: SharedDLLs - C:\WINDOWS\system32\gpnol3531.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O23 - Service: Microsoft Windows Spooler Service (Windows Spooler Service) - Unknown owner - C:\WINDOWS\winlogon.exe

Combofix

((((((((((((((((((((((((((((((((((((((((((((( Look2Me's Log ))))))))))))))))))))))))))))))))))))))))))))))))))
REGISTRY ENTRIES REMOVED:
[HKEY_CLASSES_ROOT\CLSID\{46B399BB-E604-4B6A-B6FB-CB406974A411}]
@=""
"IDEx"="ADDR"

FILES REMOVED:

C:\WINDOWS\system32\gp42l3ho1.dll
C:\WINDOWS\system32\k6800glme6qa0.dll
C:\WINDOWS\system32\NWERROR.DLL
C:\WINDOWS\system32\pPnmap.dll

(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

C:\WINDOWS\drsmartload2.dat

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\byxxvsp

datfindbat

Verzeichnis von C:\WINDOWS\system32
22.09.2006 20:41 69 i

Verzeichnis von C:\WINDOWS
22.09.2006 20:41 95.232 winlogon.exe

Avenger (Beispiel)

registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDOWS_SPOOLER_SERVICE\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Spooler Service
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINDOWS_SPOOLER_SERVICE\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Windows Spooler Service
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_SPOOLER_SERVICE\0000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Spooler Service
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\byxxvsp
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}

Files to delete:
C:\WINDOWS\system32\i
C:\WINDOWS\SYSTEM32\byxxvsp.dll
C:\WINDOWS\winlogon.exe

Link: config_virus

anderer PC

HijackThis

R3 - URLSearchHook: DeskbarBHO - {A8B28872-3324-4CD2-8AA3-7D555C872D96} - C:\Programme\Deskbar\deskbar.dll
O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINNT\system32\qomjigg.dll
O2 - BHO: (no name) - {A5B8C341-81AB-4D14-BB10-17C16E26C328} - C:\WINNT\system32\yayaw.dll (file missing)

O4 - HKCU\..\Run: [ntdll.dll] ctfmon.exe
O4 - HKLM\..\Run: [Task Manager Win32] C:\WINNT\system32\taskmngr32.exe
O20 - Winlogon Notify: IPConfTSP - C:\WINNT\system32\m6nqlg5516.dll
O20 - Winlogon Notify: RunOnceEx - C:\WINNT\system32\o6lulg3916.dll
O23 - Service: Network Monitor - Unknown owner - C:\Programme\Network Monitor\netmon.exe
O23 - Service: Win32 Kernel Update (Win32Kernel) - Unknown owner - C:\WINNT\win32host.exe
O23 - Service: 27037 - Unknown owner - \\84.57.213.153\Admin$\eraseme_24845.exe
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINNT\QXJub2xk\command.exe
O23 - Service: Microsoft Windows Spooler Service (Windows Spooler Service) - Unknown owner - C:\WINNT\winlogon.exe

Verzeichnis von C:\WINNT

15.09.2006 19:20 95.232 winlogon.exe
15.09.2006 19:20 95.232 eraseme_24845.exe

Verzeichnis von C:\

01.10.2006 14:11 175.900 pro3_install.exe
28.09.2006 22:35 37.376 iexplorer.exe

C:\WINNT\system32

01.10.2006 14:50 81.984 bdod.bin
01.10.2006 11:12 0 atmtd.dll.tmp
27.09.2006 19:56 37.376 taskmngr32.exe
17.09.2006 20:14 12.068 ycey.exe
17.09.2006 20:14 0 TFTP2616

Combofix

((((((((((((((((((((((((((((((((((((((((((((( Look2Me's Log ))))))))))))))))))))))))))))))))))))))))))))))))))

REGISTRY ENTRIES REMOVED:

[HKEY_CLASSES_ROOT\CLSID\{417DA1ED-2861-4BD0-A118-9926642C4F76}] @=""

FILES REMOVED:

C:\WINNT\system32\dbctl.dll
C:\WINNT\system32\dnr4019qe.dll
C:\WINNT\system32\erent.dll

(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

C:\dfndrff_e15.exe
C:\dfndrff_e16.exe
C:\dfndrff_e17.exe
C:\dfndrff_e18.exe
C:\dfndrff_e19.exe
C:\drsmartload.exe
C:\drsmartload45a45a45o.exe
C:\drsmartload45a45a45p.exe
C:\deskbar.exe
C:\deskbar4.exe
C:\deskbar7.exe
C:\deskbar8.exe
C:\deskbar_e18.exe
C:\deskbar_e19.exe
C:\MTE3NDI6ODoxNg.exe
C:\MTE3NDI6ODoxNgnew.exe
C:\nwnmff_e19.exe
C:\mte3ndi6odoxng.exe
C:\WINNT\uninstall_nmon.vbs
C:\Dokumente und Einstellungen\Default User.WINNT\Anwendungsdaten\NetMon
C:\Programme\Deskbar
C:\Programme\network monitor
C:\WINNT\QXJub2xk

((((((((((((((((((((((((((((((( Files Created from 2006-09-01 to 2006-10-01 ))))))))))))))))))))))))))))))))))

2006-10-01 09:44 175,900 --a------ C:\pro3_install.exe
2006-10-01 09:31 13,904 --a------ C:\WINNT\system32\drivers\hidusb.sys
2006-10-01 09:31 11,728 --a------ C:\WINNT\system32\drivers\mouhid.sys
2006-09-27 19:56 37,376 --a------ C:\WINNT\system32\taskmngr32.exe
2006-09-26 22:31 45,525 --a------ C:\WINNT\system32\ruowydfa.dll
2006-09-24 20:38 42,736 --a------ C:\WINNT\icont.exe
2006-09-20 21:30 159,232 --a------ C:\WINNT\system32\awfull.dll
2006-09-19 21:53 50,912 --a------ C:\WINNT\iconu.exe
2006-09-18 21:09 37,376 --a------ C:\iexplorer.exe
2006-09-17 20:25 578,560 --a------ C:\Installer4.exe
2006-09-17 20:14 12,068 --ah----- C:\WINNT\system32\ycey.exe
2006-09-17 20:09 95,232 -rahs---- C:\WINNT\eraseme_24845.exe
2006-09-17 20:09 95,232 ---hs---- C:\WINNT\winlogon.exe

---------------

C:\Dokumente und Einstellungen\Default User.WINNT\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IT65IXWT\deskbar_e[1].exe/deskbar.exe Infizierte Objekte: not-a-virus:AdWare.Win32.Softomate.r
C:\Dokumente und Einstellungen\Default User.WINNT\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IT65IXWT\installer[1].exe/Stream/data0002 Infizierte Objekte: Trojan-Clicker.Win32.VB.fo
C:\Dokumente und Einstellungen\Default User.WINNT\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GTIXCTGL\pro[1].exe/data.rar Infizierte Objekte: not-a-virus:AdWare.Win32.Virtumonde.cz
C:\Dokumente und Einstellungen\Default User.WINNT\Lokale Einstellungen\Temporary Internet Files\Content.IE5\03AXKVMF\AppWrap[1].exe Infizierte Objekte: not-a-virus:AdWare.Win32.AdURL.c

Unknown Service # 1
Service Name: 27037
Display Name: 27037
Start Mode: Manual
Start Name: LocalSystem
Description: 27037...
Service Type: Share Process
Path: \\84.57.213.153\admin$\eraseme_24845.exe
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

O23 - Service: Win32 Kernel Update (Win32Kernel) - Unknown owner - C:\WINNT\win32host.exe

Unknown Service # 9
Service Name: Win32Kernel
Display Name: Win32 Kernel Update
Start Mode: Auto
Start Name: LocalSystem
Description: Win32 Kernel ...
Service Type: Own Process
Path: "c:\winnt\win32host.exe"
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 10
Service Name: Windows Spooler Service
Display Name: Microsoft Windows Spooler Service
Start Mode: Auto
Start Name: LocalSystem
Description: Microsoft Windows Spooler ...
Service Type: Own Process
Path: "c:\winnt\winlogon.exe"
State: Running
Process ID: 712
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Falsch

Avenger (Beispiel)

registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A5B8C341-81AB-4D14-BB10-17C16E26C328}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDOWS_SPOOLER_SERVICE
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Spooler Service
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINDOWS_SPOOLER_SERVICE
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Windows Spooler Service
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINDOWS_SPOOLER_SERVICE
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Windows Spooler Service
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_SPOOLER_SERVICE
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Spooler Service

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WIN32KERNEL
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WIN32KERNEL
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WIN32KERNEL
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Win32Kernel
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Win32Kernel
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Win32Kernel

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_27037
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\27037
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_27037
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\27037
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_27037
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\27037

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NETWORK_MONITOR
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Network Monitor
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_NETWORK_MONITOR
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Network Monitor
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_NETWORK_MONITOR
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Network Monitor
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETWORK_MONITOR
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Network Monitor

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_CMDSERVICE
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\cmdService
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_CMDSERVICE
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\cmdService
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_CMDSERVICE
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\cmdService
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CMDSERVICE
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cmdService

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDOWS_MAN_SERVICE
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Man Service
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINDOWS_MAN_SERVICE
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Windows Man Service
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_MAN_SERVICE
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Man Service

Files to delete:
C:\WINNT\system32\qomjigg.dll
C:\WINNT\winlogon.exe
C:\WINNT\win32host.exe
C:\WINNT\eraseme_24845.exe
C:\WINNT\icont.exe
C:\WINNT\iconu.exe
C:\WINNT\system32\awfull.dll
C:\pro3_install.exe - AdWare.Win32.Virtumonde.cz
C:\iexplorer.exe - Trojan-Proxy.Win32.Agent.hd
C:\Installer4.exe
C:\WINNT\system32\ruowydfa.dll
C:\WINNT\system32\atmtd.dll.tmp
C:\WINNT\system32\taskmngr32.exe - Trojan-Proxy.Win32.Agent.hd
C:\WINNT\system32\ycey.exe
C:\WINNT\system32\TFTP2616

Folders to delete:
C:\Dokumente und Einstellungen\Default User.WINNT\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GTIXCTGL
C:\Dokumente und Einstellungen\Default User.WINNT\Lokale Einstellungen\Temporary Internet Files\Content.IE5\03AXKVMF
C:\Dokumente und Einstellungen\Default User.WINNT\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IT65IXWT
C:\Dokumente und Einstellungen\Default User.WINNT\Lokale Einstellungen\Temporary Internet Files\Content.IE5\87QX09Q9

anderer PC

HijackThis

O23 - Service: Microsoft Windows Spooler Service (Windows Spooler Service) - Unknown owner - C:\WINDOWS\winlogon.exe

Combofix

((((((((((((((((((((((((((((((( Files Created from 2006-09-01 to 2006-10-01 ))))))))))))))))))))))))))))))))))

2006-09-29 20:41 5,632 --a------ C:\WINDOWS\system32\Machnm64.sys
2006-09-29 20:41 2,304 --a------ C:\WINDOWS\system32\Machnm32.sys
2006-09-29 20:41 15,840 --a------ C:\WINDOWS\system32\Machnm1.exe

2006-09-28 14:49 778,917 ---hs---- C:\WINDOWS\system32\mlnmp.ini2

2006-09-22 09:31 8,192 --a------ C:\WINDOWS\system32\tsbyuv.dll
2006-09-22 09:31 45,568 --a------ C:\WINDOWS\system32\iyuv_32.dll
2006-09-22 09:30 50,176 --a------ C:\WINDOWS\system32\vfwwdm32.dll

2006-09-17 01:15 754,911 ---hs---- C:\WINDOWS\system32\mlnmp.bak1
2006-09-17 01:14 577,588 --------- C:\WINDOWS\system32\pmnlm.dll
2006-09-17 01:05 95,232 -r-hs---- C:\WINDOWS\winlogon.exe

datfindbat

Verzeichnis von C:\WINDOWS\system32

01.10.2006 15:19 779.658 mlnmp.ini2
30.09.2006 05:39 97 mcrh.tmp
29.09.2006 20:41 3.120 118290.54
18.09.2006 17:34 777.446 mlnmp.ini
18.09.2006 17:34 777.446 mlnmp.tmp
17.09.2006 01:15 754.911 mlnmp.bak1
17.09.2006 01:14 577.588 pmnlm.dll
17.09.2006 01:05 63 o - Trojan-Downloader.BAT.Ftp.ab
17.09.2006 01:04 70 i - Trojan-Downloader.BAT.Ftp.ab

Verzeichnis von C:\WINDOWS

29.09.2006 20:51 3.120 118294.78
17.09.2006 01:04 95.232 winlogon.exe

Avenger (Beispiel)

registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDOWS_SPOOLER_SERVICE\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Spooler Service
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINDOWS_SPOOLER_SERVICE\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Windows Spooler Service
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINDOWS_SPOOLER_SERVICE\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Windows Spooler Service
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_SPOOLER_SERVICE\0000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Spooler Service
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\pmnlm

Files to delete:
C:\WINDOWS\winlogon.exe
C:\WINDOWS\system32\mlnmp.ini2
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\118290.54
C:\WINDOWS\system32\mlnmp.ini
C:\WINDOWS\system32\mlnmp.tmp
C:\WINDOWS\system32\mlnmp.bak1
C:\WINDOWS\system32\pmnlm.dll
C:\WINDOWS\system32\o
C:\WINDOWS\system32\i
C:\WINDOWS\118294.78

Folders to delete:
C:\Programme\PokerStars.NET

AVG-Antivirus

C:\WINDOWS\system32\Com\rasmed.exe -> Adware.Virtumonde
C:\WINDOWS\system32\TFTP2884 -> Backdoor.Rbot.rq
C:\WINDOWS\system32\actskn45.ocx -> Downloader.IstBar

** Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

cd\
dir "C:\Windows\System32\Com" >>files.txt
notepad files.txt

HijackThis

O23 - Service: Microsoft Windows Als Service (Windows Als Service) - Unknown owner - C:\WINDOWS\alrs.exe

Verzeichnis von C:\WINDOWS

07.10.2006 12:00 95.232 alrs.exe
08.10.2006 18:42 50.912 iconu.exe
08.10.2006 12:58 24.296 icont.exe
12.10.2006 18:02 0 PL-2303 DriverInstaller.exe

Verzeichnis von C:\WINDOWS\system32
12.10.2006 16:03 421.354 gillm.ini
12.10.2006 15:55 663.541 rqrpq.dll
12.10.2006 15:31 143.380 ixsgxwjl.exe
12.10.2006 15:30 98.324 wtflgnis.dll
12.10.2006 15:30 414.361 gillm.bak1
12.10.2006 15:30 684.084 mllig.dll
07.10.2006 17:42 40.973 awtqnkh.dll
27.09.2006 18:38 72 i

2. Durchgang

13.10.2006 08:49 420.041 ihiii.ini2
12.10.2006 18:28 417.743 ihiii.ini
12.10.2006 18:02 414.922 ihiii.tmp
12.10.2006 18:02 0 cmmgr32.exe
12.10.2006 18:02 98.324 xveimyls.dll
12.10.2006 18:02 414.361 ihiii.bak1
12.10.2006 18:01 684.084 iiihi.dll

registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDOWS_ALS_SERVICE\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINDOWS_ALS_SERVICE\0000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_ALS_SERVICE\0000

winIogon.exe

HijackThis

O4 - HKLM\..\Run: [Windows Logon Application] C:\WINDOWS\System32\winIogon.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Logon Application"="C:\\WINDOWS\\System32\\winIogon.exe"

winIogon.exe : Not detected by Sandbox (Signature: NO_VIRUS)

[ General information ]
* File length: 51068 bytes.
* MD5 hash: 893fe125e53b7c8486320326c129b1aa.

[ Changes to filesystem ]
* Deletes file C:\WINDOWS\SYSTEM32\lssas.exe.
* Creates file C:\WINDOWS\SYSTEM32\lssas.exe.
* Deletes file luaz.bat.
* Creates file C:\\luaz.bat.
* Deletes file ioav.bat.
* Creates file C:\WINDOWS\SYSTEM32\ioav.bat.

[ Changes to registry ]
* Deletes value "Windows DLL Loader" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\Run".

[ Process/window information ]
* Creates a mutex EE00912D0000000015AE5E4E3AFFF23D56D019285DE.
* Attemps to open luaz.bat NULL.
* Attemps to open ioav.bat NULL.

[ Signature Scanning ]
* C:\WINDOWS\SYSTEM32\lssas.exe (51068 bytes) : no signature detection.
* C:\WINDOWS\SYSTEM32\ioav.bat (117 bytes) : no signature detection.

anderer Rechner

C:\WINDOWS\system32\winlogon.exe - Trojanische Pferd TR/Patched.I
C:\WINDOWS\system32\wsys.dll - Trojan-Downloader.Win32.Femad.bd

datfindbat

Verzeichnis von C:\WINDOWS\system32

15.01.2007 22:17 36.864 main.sys
15.01.2007 22:13 31.744 wsys.dll
09.01.2007 15:19 507.392 winlogon.exe

Start > Ausführen --> reinschreiben: cmd
und ok. kopiere rein

dir /s /a "c:\winlogon*.*" > c:\find.txt & start notepad c:\find.txt

Verzeichnis von c:\WINDOWS\system32

09.01.2007 15:19 507.392 winlogon.exe
1 Datei(en) 507.392 Bytes

Verzeichnis von c:\WINDOWS\system32\dllcache

04.08.2004 13:00 507.392 winlogon.exe
1 Datei(en) 507.392 Bytes

Avenger (Beispiel)

Registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices|windll

Files to delete:
C:\WINDOWS\system32\main.sys
C:\WINDOWS\system32\wsys.dll

Start > Ausführen --> reinschreiben --> cmd
und ok. kopiere rein

expand c:\WINDOWS\system32\dllcache\winlogon.exe c:\windows\system32\winlogon.exe

mit Yes bestätigen, dass die winlogon.exe expandiert wird.

anderer PC

Combofix

C:\Dokumente und Einstellungen\%Username%\Anwendungsdaten\Install.dat
C:\secure32.html
C:\WINDOWS\system32\ixt1.dll
C:\Programme\Safety Bar
C:\WINDOWS\system32\components

((((((((((((((((((((((((((((((( Files Created from 2006-12-05 to 2007-01-05 ))))))))))))))))))))))))))))))))))

2007-01-05 18:21 36,864 --a------ C:\WINDOWS\system32\main.sys
2007-01-02 08:05 31,744 --a------ C:\WINDOWS\system32\wsys(2)(3).dll
2007-01-02 08:05 507392 --------- C:\WINDOWS\system32\winlogon.exe

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="C:\\WINDOWS\\warnhp.html"
"SubscribedURL"=""
"FriendlyName"="Desktop Uninstall"

datfindbat

Verzeichnis von C:\

28.09.2006 12:38 1.152 5vwja6hw.sys
24.08.2006 07:41 3.061 secure32.html
24.08.2006 07:39 0 uniq
14.12.2005 11:59 788 868000442457.dat

Verzeichnis von C:\WINDOWS\system32

02.01.2007 11:08 31.744 wsys(2)(3).dll
02.01.2007 08:05 507.392 winlogon.exe

Verzeichnis von C:\WINDOWS\temp

05.01.2007 18:21 169 gkjnr_nt.conf
05.01.2007 08:42 57.344 2200671.exe
04.01.2007 19:40 57.344 258843.exe

Antivirus Avira

B e g i n n e m i t d e r S u c h e i n ' C : \ W I N D O W S \ s y s t e m 3 2 '
C : \ W I N D O W S \ s y s t e m 3 2 : l z x 3 2 . s y s
[ F U N D ] I s t d a s T r o j a n i s c h e P f e r d T R / C l i c k . C o s t r a t . H . 1 3

o 4 s v c . d l l
z i p f l d r . d l l
[ W A R N U N G ] D i e D a t e i k o n n t e n i c h t g e ö f f n e t w e r d e n !

** RootBuster von Trendmicro RootBuster anwenden

** Gmer Rootkitscanner anwenden

ADS C:\WINDOWS\system32:lzx32.sys

** Wenn du im Rootkitfenster auf diese Datei mit der rechten Maustaste drückst, sollte es dir anbieten, die Datei zu löschen(delete file) mache das bitte und starte neu

HKLM\System\CurrentControlSet\Services\pe386
" DisplayName = "Win23 PE files loader"
" ErrorControl = 0x0
" Group = "Base"
" ImagePath = "\??\%SYSDIR%\lzx32.sys" // ALLES KLAR ??
" Start = 0x1
" Type = 0x1

HKLM\System\CURRENTCONTROLSET\SERVICES\pe386\Enum
" 0 = "Root\LEGACY_PE386\0000"
" Count = 0x1
" NextInstance = 0x1

KLM\System\CurrentControlSet\Services\pe386\Security
" Security = %Hex Werte%

Lade dazu bitte Killbox und entpacke es in einen Extraordner: Killbox
Starte Killbox, wähle "replace on reboot" (use dummy nicht anhaken!), in das obere weisse Feld kopierst du folgendes:

C:\WINDOWS\system32\winlogon.exe

in das untere weisse Feld das:

C:\WINDOWS\system32\dllcache\winlogon.exe

Dann drückt man den Button mit rotem Kreis (und weissem X). Bestätige evtl. Meldungen mit Ja und lass den Rechner neu starten.

Sicherheit im InterNet

winlogon.exe - dllcache\win32\winlogon.exe - win32.dll.tmp - winmgnt.dll

winlogon.exe

winlogon.exe, win32.dll.tmp, winmgnt.dll

winIogon.exe