Trojaner-Problem
Bei filemon folgedes in den Process Properties:
\??\C:\WINNT\system32\winlogon.exe
was heisst das vorm Pfad. Der gleiche Prozess findet sich im Taskmanager aber nicht bei Autoruns.
Danke
Viren, Spyware, Datenschutz 11.250 Themen, 94.777 Beiträge
Mario32 lijubu „was bedeutet das?“
wie kommst du drauf das winlogon.exe ein trojaner ist?
Ist ein legitimer Systembestandteil von NT basierten MS-BS
Die vorzeichen haben wohl was damit zu tun weil du ja auch speicherorte auf einem remotesystem haben könntest die die bezahltversion des viewers anzeigen kann
[Diese Nachricht wurde nachträglich bearbeitet.]
lijubu2 Mario32 „wie kommst du drauf das winlogon.exe ein trojaner ist? Ist ein legitimer...“
Hi, Danke für schnelle Antwort.
Zu gleich zweimal: Habe erst die Frage gestellt und wußte nicht dass es ins Forum kommt. Ausserdem ungeduldig :-)
Komme auf winlogon weil andererseits auch wieder vom Trojaner eine shell32.exe runtergeladen wird. Die habe ich ja nun mittlerweile identifiziert, zusammen mit einer "i" und einer "eraseme_". Aber ich bin nicht fit genug für Systeminternas aus Filemon etc. um nachvollziehen zu können, welche Microsoft Dateien nur genutzt werden und welche tatsächlich Malware-Prozesse auslösen. Bis jetzt bin ich soweit:
Mein Zugang ins Internet löst versteckte cmd.exe aus, dadurch wird die "i" runtergeladen
irgendwas (evtl. die dann ladenden ftp.exe) liest die "i" in der die Daten für die "eraseme_" incl. 213.....Adresse stehen.
die "eraseme_" scheint die shell32.exe zu laden, die dann wiederum versucht ins Internet zu kommen.
Wenn die eraseme_ blockiert wird (Löschversuche), werden neue cmd.exe-Prozesse eröffnet, die alten bleiben.
Bislang scheint Outpost es zu verhindern, indem alles ausser Mozilla geblockt wird.
Mario32 lijubu2 „Hi, Danke für schnelle Antwort. Zu gleich zweimal: Habe erst die Frage gestellt...“
auch wieder vom Trojaner eine shell32.exe runtergeladen wird.
Mein Zugang ins Internet löst versteckte cmd.exe aus, dadurch wird die "i" runtergeladen
irgendwas (evtl. die dann ladenden ftp.exe) liest die "i" in der die Daten für die "eraseme_" incl. 213.....Adresse stehen.
die "eraseme_" scheint die shell32.exe zu laden, die dann wiederum versucht ins Internet zu kommen.
Hört sich interessant an! ;-)
Von was für einem Trojaner sprichst du der die "shell32.exe" runterlädt, von wo? wieso weißt du das? Durch ansehen von Filemon logs?!
Hast du mal den netzwerkverkehr mit ethereal mitgeschnitten und kannst konkrete Angaben machen zu IP adressen bspw.?!
Bis jetzt klingt das was du schreibst sehr "verwirrt" !
