Guten morgen!

Heute empfing mich mein PC mit dem Hinweis ich hätte den WLHack.A Trojaner in der C:\Windows\System32\WINLOGON.exe

Leider kann mein AntiVir diese Datei nicht entfernen....

Hijackthis liefert mir als Resultat:

Logfile of HijackThis v1.99.1
Scan saved at 09:54:22, on 30.03.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\GEARSec.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\PROGRA~1\MICROS~2\OFFICE11\OUTLOOK.EXE
C:\WINDOWS\system32\carpserv.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\bcmwltry.exe
C:\Programme\Java\jre1.5.0_11\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Windows Defender\MSASCui.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Microsoft ActiveSync\Wcescomm.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\PROGRA~1\MICROS~4\rapimgr.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Angel\LOKALE~1\Temp\Rar$EX01.498\Hijac kThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Radio Dunkle Welle - Radio hören
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = 212.172.64.210:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = fritz.box
F2 - REG:system.ini: Shell=
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Removecpl] removecpl.exe
O4 - HKLM\..\Run: [bcmwltry] bcmwltry.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_11\bin\jusched.exe "
O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KAV_Recover] "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\KAV Personal Pro\5.0\Bases\recover.cmd"
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [WindowsServicesStartup] C:\DOKUME~1\Angel\LOKALE~1\Temp\svchost.exe 1
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\Wcescomm.exe"
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1107682364349
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ms...downloader.cab
O16 - DPF: {BF3CD111-6278-11D2-9EA3-00A0C9251384} (O2C-Player Version 1.x) - http://www.o2c.de/download/O2CPlayer.CAB
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = angel.de
O17 - HKLM\Software\..\Telephony: DomainName = angel.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{3BEE607D-73A7-4135-8C59-3132C23C174E}: NameServer = 192.168.0.10
O17 - HKLM\System\CCS\Services\Tcpip\..\{E864A408-608E-4140-B565-12C48A219695}: NameServer = 192.168.0.10
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = angel.de
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: V2i Protector - PowerQuest Corporation - C:\Programme\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe


Ich hoffe, daß Ihr mir weiterhelfen könnt, was ich nun zu tun habe?!

Zitat:

Heute empfing mich mein PC mit dem Hinweis ich hätte den WLHack.A Trojaner in der C:\Windows\System32\WINLOGON.exe
Leider kann mein AntiVir diese Datei nicht entfernen....

Bei mir genau das selbe, bei allen beiden PC meldet AntiVir:
C:\WINDOWS\system32\winlogon.exe
ist das Trojanische Pferd TR/WLHack.A

gibt es schon Hilfe?

Haribo

Oh je, oh je,

das sieht nicht gut aus

Lest mal diesen Artikel, da werdet ihr aufgeklärt.

Gruß Spooner

habe das gleiche problem heute morgen gehabt. bei mir hat es antivir geschafft dei winlogon.exe zu löschen und nungeht nichts mehr! Hätte ich früher gewusst, dass es eine fehlermeldung ist...naja. meine frage:

Der Pc ist mein geschäfts-pc d.h. alle daten von verschiedenen kunden sind darauf gespeichert. Wenn ich diese dateien verliere könnte ich mich praktisch aufhängen. Habe hier auch schon ins forum gepostet "http://www.netzwelt.de/forum/software-allgemein/45101-winlogon-exe-pc-faehrt-mehr-hoch.html"

Nun ist das Problem ich MUSS an die daten dran kommen. Kann ich die winlogon.exe von der Windoof Cd einfach wieder ins system hinzufügen Wenn ja wie? Oder könnt ihr mir vielleicht verraten wie ich jetzt noch an die daten ran komme?

Danke schonmal im Voraus!

MfG
ViirUzz

Wenn die winlogon.exe gelöscht ist, müsste dich der PC nach der Windows CD fragen. Tut er das? Wenn ja, dann rein damit und den PC machen lassen.

Das ist ja gerade das Problem...er frägt mich nach keiner CD. Ich hab den st boot device auf cd-rom gestellt. er bootet jetzt zwar von cd aber weiter komm ich dann auch nicht. habe schon versucht mit der wiederherstellungskonsole alles zu regeln aber was dann erscheint, ist eine eingabeaufforderung mehr nicht.... was habe ich noch für möglichkeiten?

Und danke an dich Arthur Spooner

Hast Du es schon mit dem abgesicherten Modus versucht? Ich hatte heute Morge das gleiche Problem mit AntiVir und hab auch die winlogon.exe gelöscht aber die wurde dann jedes Mal neu erstellt.

Ja habe ich auch schon aber jedesmal, wenn der willkomen-bildschirm kommt seh ich kurz die grüne wiese (übliches wallpaper) und dann macht er etwas, das er sons nicht macht...er verlangt, dass ich mich durch klicken auf den benutzer anmelde. vorher war das alles automatisch ohne anklicken des benutzers. und wenn ich auf den benutzer klick steht drunter "benutzereinstellungen werden geladen" und kurz darauf "Abmelden"
So geht das die ganze zeit ich komm einfach nicht mehr rein.
Ich verzweifel noch

Trotzdem danke !

Kommst Du denn wenigstens, wenn Du über CD bootest an das Setup?

Mit ENTER kommst Du ins Installationsfenster und kannst dann die vorhandene Installation mit "R" reparieren.

Schau mal ob das hilft.

Gruß Spooner

Habe ich gemacht nur nach dem reparieren installiert er windows völlig neu.

Gruß
ViirUzz

Solange Du nicht formatierst dürfte das kein Problem sein. Dann installierst du halt drüber aber die Daten bleiben bestehen.

Alles klar habs hinbekommen.
Hab windoof nochmal auf "D:\" installiert und dann mir die dateien runtergezogen.

Nochmal danke für die hilfe

Gruß
ViirUzz

Wunderbar, geht doch. Und beim nächsten Mal, schön Backups machen von den wichtigen Daten.

Gruß Spooner

Gesagt getan Backup hab ich gleich nach neuistall. gemacht

Danke & Gruß
ViirUzz

Zitat:

Zitat von EisbLars

Heute empfing mich mein PC mit dem Hinweis ich hätte den WLHack.A Trojaner in der C:\Windows\System32\WINLOGON.exe

Leider hat man dich vergessen.

Wenn man ANTIVIR benutzt sollte man eine Möglichkeit haben um einzelne Dateien zu überprüfen.Da ANTIVIR im Prinzip dumm ist und des öfteren Dateien die das Programm nicht kennt als Virus einstuft.
Hier hilft z.B. =>> virusscan.jotti

Nun speziell zu deinem Problem.
Da AntiVir spinnt kannste die Meldung vergessen.
Das will aber nicht sagen das dein PC sauber ist.

den Eintrag:
O4 - HKLM\..\Run: [WindowsServicesStartup] C:\DOKUME~1\Angel\LOKALE~1\Temp\svchost.exe 1


unbedingt "fixen" ist malware!!

Nicht wichtig,oder doch??
C:\DOKUME~1\Angel\LOKALE~1\Temp\Rar$EX01.498\Hijac kThis.exe
Aber Hijackthis muss in einem eigenem Ordner laufen,ansonsten können keine Backups erstellt werden!

Einträge die du überprüfen solltest:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = 212.172.64.210:8080

F2 - REG:system.ini: Shell=

O16 - DPF: {BF3CD111-6278-11D2-9EA3-00A0C9251384} (O2C-Player Version 1.x) - ht*p://www.o2c.de/download/O2CPlayer.CAB

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = angel.de

O17 - HKLM\Software\..\Telephony: DomainName = angel.de

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = angel.de

Dann die unwirksamen Einträge:

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
----------------
Fixen sollte man so==>> Deaktivieren der Systemwiederherstellung und Start in den abgesicherten Modus

M.f.G.

Hallo,

ich habe ein ähnliches Problem, weis aber nicht in wie weit AntiVir dabei eine Rolle spielt. Nachdem bei mir Outlook abgestürzt ist, hat sich der ganze Rechner aufgehangen.


Beim Neustart kommt lange Zeit gar nichts bis dann folgende Fehlermeldung erscheint:

Ein Problem mit winlogon.exe besteht da auf die DLL [COMctl32.dll] nicht zugegriffen werden kann.


Bei einem weiteren Versuch, bestand die Möglichkeit im Abgesicherten Modus zu starten. Diese Option endete dann mit folgender Meldung:

Die DLL für die Anmeldungsbenutzeroberfläche [msgina.dll] wurde nicht geladen.


Habe versucht mit Hilfe von Knoppix die COMctl32.dll neu reinzukopieren, durch fehlende Schreibrechte schlug dieser Versuch jedoch fehl.


Hat jemand nen Tip was ich versuchen könnte um den Rechner wieder zum laufen zu bringen?


Vorab vielen Dank!

Alhafi

Hab gerade was interessantes gefunden:

Fehlermeldung: Winlogon.Exe konnte Komponente nicht finden. Diese Anwendung ist an Anfang fehlgeschlagen, da Comctl32.Dll sich Nicht gefunden befand.

Wie es aussieht liegt wohl eher ein Windowsfehler vor. Antivir ist also in meinem Fall unschuldig.