Winlogon.exe sendet durchgehend!

hellfire84 · 9. Januar 2006, 19:36

Hatte einige Viren auf meinen Rechner mit Adaware Antivir und Hkjack alles weg bekommen. Das einzigste was ich net weg krieg ist das mein Rechner durchgehend sendet. Durch TCPView kann ich sehen das durch die datei winlogon.exe gesendet wird. Kein Viren Prgramm findet noch was kann mir bitte jemand helfen.

Psyco · 11. Januar 2006, 11:00

Mahlzeit,
hast du schon mal nachgeschaut im Taskmannager ob 1 oder 2 von den Prozessen laufen?
Wenn 2 laufen ist eine davon ein Virus

Die Datei "winlogon.exe" befindet sich im Ordner C:\Windows\System32. Wenn das nicht der Fall ist, handelt es sich bei winlogon.exe um einen Virus, Spyware, Trojaner oder Worm! Überprüfen Sie dieses z.B. mit Security Task Manager.

h**p://www.neuber.com/taskmanager/deutsch/

Troj/Madr-B ist ein Backdoor-Trojaner, der einem remoten Eindringling Zugriff auf und die Steuerung über den Computer mittels IRC-Kanälen ermöglicht.

Wenn er erstmals ausgeführt wird, kopiert sich der Trojaner als winlogon.exe mit Leserechten und dem Attribut "Versteckt" in die Ordner <WINDOWS>\system\ und <WINDOWS>\system32\wins\. Er erstellt außerdem die folgenden Registrierungseinträge, so dass winlogon.exe automatisch bei jedem Start von Windows aktiviert wird:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
Winlogon = <WINDOWS>\system\winlogon.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\
Winlogon = <WINDOWS>\system32\wins\winlogon.exe

Jedes Mal, wenn der Trojaner ausgeführt wird, versucht er, sich mit einem remoten IRC-Server und einem bestimmten Kanal zu verbinden, wobei er einen zufälligen Nickname verwendet. Der Trojaner läuft dann kontinuierlich im Hintergrund und wartet auf dem Kanal auf Befehle.

Also schau da mal nach.

Gruß PsYcO

hellfire84 · 11. Januar 2006, 13:48

Es läuft nur einmal so wie es eigentlich sein soll allerdings ist es auch der einzigste prozess der cpu leistung vordert!

Teilen