Hallo alle zusammen,

ich mache jetzt schon den ganzen Tag mit einem unschönen Problemchen rum und komme einfach nicht weiter, da ihr hier alle so hilfsbereit seid dachte ich, ich poste mein problem mal.

Als ich heute morgen den Rechner gestartet habe kam direkt nachdem ich mich angemeldet habe, während er die autostart programme geladen hat, eine meldung meines AVG Free, die datei winlogon.exe im Windows/System32/ Ordner sei mit einem Virus infoziert. AVG Free erkennt den Virus als "Trojan Horse Flooder.AKE", die Datei lässt sich scheinbar nicht heilen.

Ich habe natürlich auf "Heal" geklickt und er hat die file der Vault zugefügt und mich informiert, dass der Rechner nun neu starten müsste. Ich klicke also auf OK und warte.
Leider fährt der Rechner seitdem nicht mehr hoch. Sobald der blaue Hintergrund des windows logon screens auftaucht startet der rechner neu. Im Bootmenü(F8) scheinen auf einmal neue optionen hinzugefügt worden zu sein, wie "Betriebssystem wählen" und "Ordnerstruktur wiederherstellen", es ist jedoch nach wie vor nur winXP Pro auswählbar und die ordnerstruktur wiederherzustellen resultiert darin, dass er behauptet, die beiden Platten seien im dateisystem beschädigt. Das da was dran ist bezweifle ich, der Rechner funktioniert im abgesicherten Modus mit Netzwerktreibern reibungslos. Systemwiederherstellung lieferte keine Hilfe und über den von AVG ausgegebenen Virus finde ich keine Informationen.

Natürlich habe ich die datei mit virus total gescanned:

STATUS: FINISHEDComplete scanning result of "winlogon.exe", received in VirusTotal at 12.06.2006, 18:22:33 (CET).

Antivirus Version Update Result
AntiVir 7.2.0.49 12.06.2006 no virus found
Authentium 4.93.8 12.05.2006 no virus found
Avast 4.7.892.0 12.06.2006 no virus found
AVG 386 12.06.2006 no virus found
BitDefender 7.2 12.06.2006 no virus found
CAT-QuickHeal 8.00 12.05.2006 no virus found
ClamAV devel-20060426 12.06.2006 no virus found
DrWeb 4.33 12.06.2006 no virus found
eSafe 7.0.14.0 12.06.2006 no virus found
eTrust-InoculateIT 23.73.78 12.06.2006 no virus found
eTrust-Vet 30.3.3234 12.06.2006 no virus found
Ewido 4.0 12.06.2006 no virus found
Fortinet 2.82.0.0 12.06.2006 no virus found
F-Prot 3.16f 12.05.2006 no virus found
F-Prot4 4.2.1.29 12.05.2006 no virus found
Ikarus T3.1.0.26 12.05.2006 no virus found
Kaspersky 4.0.2.24 12.06.2006 no virus found
McAfee 4911 12.05.2006 no virus found
Microsoft 1.1804 12.06.2006 no virus found
NOD32v2 1904 12.06.2006 no virus found
Norman 5.80.02 12.05.2006 no virus found
Panda 9.0.0.4 12.06.2006 no virus found
Prevx1 V2 12.06.2006 no virus found
Sophos 4.12.0 12.06.2006 no virus found
Sunbelt 2.2.907.0 11.30.2006 no virus found
TheHacker 6.0.3.130 12.06.2006 no virus found
UNA 1.83 12.05.2006 no virus found
VBA32 3.11.1 12.05.2006 no virus found
VirusBuster 4.3.15:9 12.05.2006 no virus found

Da erscheint sie geradezu erschreckend Viren-frei.

Hier nun die HJT-Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 18:58:48, on 06.12.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\GEMEIN~1\Stardock\SDMCP.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Grisoft\AVG Free\avgwb.dat
C:\Programme\Grisoft\AVG Free\avgvv.exe
C:\Dokumente und Einstellungen\***SHUBIDU**\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: (no name) - {A6790AA5-C6C7-4BCF-A46D-0FDAC4EA90EB} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [iamapp] C:\Programme\Norton Personal Firewall\IAMAPP.EXE
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [PRISMSVR.EXE] "C:\Programme\Siemens\Gigaset USB Adapter 54\PRISMSVR.EXE" /APPLY
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Programme\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ?
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: Gigaset WLAN Adapter Monitor.lnk = C:\Programme\Siemens\Gigaset USB Adapter 54\GigasetUSBMonitor.exe
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Programme\Yahoo!\Messenger\YahooMessenger.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Programme\Yahoo!\Messenger\YahooMessenger.exe
O15 - Trusted IP range: 67.19.178.84 (HKLM)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkID=39204
O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.5) - http://eu-housecall.trendmicro-europe.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1165426333031
O16 - DPF: {96512D57-F751-4088-A689-5778FCC77F7A} (Photo Uploader Control) - http://www.studivz.net/lib/photouploader/PhotoUploader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2B121404-17D3-442A-B8F4-4521FC4631F8}: NameServer = 192.168.254.254
O17 - HKLM\System\CCS\Services\Tcpip\..\{ADC39FFA-CDB2-46EA-86BB-87558AB4D41A}: NameServer = 192.168.254.254
O17 - HKLM\System\CS2\Services\Tcpip\..\{2B121404-17D3-442A-B8F4-4521FC4631F8}: NameServer = 192.168.254.254
O17 - HKLM\System\CS3\Services\Tcpip\..\{2B121404-17D3-442A-B8F4-4521FC4631F8}: NameServer = 192.168.254.254
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: MCPClient - C:\PROGRA~1\GEMEIN~1\Stardock\mcpstub.dll
O21 - SSODL: System - {C96E8402-D700-4110-B7F7-EAFA39220362} - vr_sys.dll (file missing)
O21 - SSODL: AudioHQ - {5CDA8B85-8DDF-6EEA-CE2B-1C29B5964852} - c:\progra~1\gemein~1\instal~1\engine\6\intel3~1\winnaqdm32.dll (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: svchost.exe (moto) - Unknown owner - C:\WINDOWS\svchost.exe (file missing)
O23 - Service: Norton Personal Firewall Service (NISSERV) - Symantec Corporation - C:\Programme\Norton Personal Firewall\NISSERV.EXE
O23 - Service: Norton Personal Firewall Accounts Manager (NISUM) - Symantec Corporation - C:\Programme\Norton Personal Firewall\NISUM.EXE
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR2a\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR2a\RpcSandraSrv.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Norton Personal Firewall Proxy Service (SymProxySvc) - Symantec Corporation - C:\Programme\Norton Personal Firewall\SymProxySvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

Das System ist nicht gerade aufgeräumt, zugegeben. Mir geht es allerdings nur darum, dass es wieder startet denn ich werde im Januar ohnehin einen neuen Rechner zusammenbauen.

Ich werde nun weiter nach einer Lösung suchen.. gibts doch nicht sowas :P Ich hoffe hier kann mir jemand weiterhelfen.

Vielen Dank schonmal und einen schönen Abend,

NcjE

Das ist ein hoffnungsloser Fall, allein schon wegen diesem Eintrag:

Zitat:

O23 - Service: svchost.exe (moto) - Unknown owner - C:\WINDOWS\svchost.exe (file missing)

Mit an Sicherheit grenzender Wahrscheinlichkeit ein Backdooreintrag.
Aber kein Wunder, denn dein Windows hat auch noch nie ein Update bekommen!

Zitat:

Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Hier hilft garnichts mehr außer neu aufsetzen inkl. Formatierung der Systempartition.

Kann das nicht ein alter Eintrag sein von einem bereits entfernten Virus? Ist nicht so dass das das erste problem wäre das auftritt

Aber stimmt schon mit diesem build bin ich nicht gerade sorgsam unterwegs gewesen

Ich würde nur ungern den Rechner jetzt neu aufsetzen und das dann in 4 wochen wiederholen müssen

Folge dem Link "Neu aufsetzen" in meiner Sig, da wird auch was über die Absicherung geschrieben. Wenn du dich daran hälst, wird der Rechner nicht mehr so schwuppdiwupp kompromittiert.
Ein wichtiges Kritierium ist, dass du OFFLINE das SP2 einspielst.

Guten Abend zusammen.

hatte heute zufälligerweise dasselbe Problem, bzw. habs immernoch. Dachte zunächst ich könnte das Problem durch ein neuansetzten meiner systempartition durch ein image backup von letzter woche beheben ---> Fehlanzeige.

Hab hier im Forum gelesen dass es sich evtl. auch um einen trojaner mit rootkit eigenschaften handeln könnte. Somit müßte ich alle partitionen mit ausführbaren programmmen tot(o)machen.

Das will ich aber nicht.

Hab mir folgende Lösung überlegt:

Im abgesicherten Modus Computer scannen, alle infizierten dateien entfernen und anschließend sofort ohne Neustart meine c: partition überschreiben (sollte hoffentlich mit acronis image type funktionieren).

Meine frage lautet schlicht:

Kann des funktionieren??

Bzw. falls nicht, gibts irgendwelche anderen Möglichkeiten?

Habe leider nicht meine Spiele partition gesichert, dh. kann diese nicht auch durch ein nicht infiziertes Image ersetzten.

Grüße

Elsevier

Zitat:

Dachte zunächst ich könnte das Problem durch ein neuansetzten meiner systempartition durch ein image backup von letzter woche beheben ---> Fehlanzeige.

Da hast du wohl ein Backupimage eines kompromittierten Systems erstellt - sehr ärgerlich sowas.

Zitat:

Im abgesicherten Modus Computer scannen, alle infizierten dateien entfernen und anschließend sofort ohne Neustart meine c: partition überschreiben (sollte hoffentlich mit acronis image type funktionieren).

Verstehe ich das richtig? Du willst erst alle gefundenen Schädlinge entfernen, aber dann ein Image wieder draufrollen? Das bringt nichts, denn das Image ist ja auch kompromittiert, dann hast du das gleiche Problem wie vorher. Im übrigen wäre das entfernen vorher auch unsinnig, denn das Image überschreibt ja eh wieder alles.

Zitat:

Bzw. falls nicht, gibts irgendwelche anderen Möglichkeiten?

Wenn du keine sauberen Images mehr hast, bleibt dir nur noch das Neuaufsetzen.
Die Spiele kannst und solltest du auch alle von Originalmedien neu installieren, um das Risiko einer erneuten Infektion zu minimieren.

Ok.

falls mein image auch verseucht ist gibts natürlich probleme. zum glück hab ich noch nen paar frühere versionen. werds mal mit einem von denen probieren.

Punkt ist aber das ich immer vor erstellen eines backups alle scanner laufen lasse. Und da wurde das letzte mal nichts gefunden. kann natürlich sein dass avg den virus erst gestern oder heute in seine datenbank aufgenommen hat. Ist des irgendwie festzustellen? Hab mal auf der avg seite geschaut, aber nix unter dem namen trojan horse flooder.ake gefunden

Mein image scheint tatsächlich verseucht zu sein. avg hat nur auf meiner frisch aufgesetzten c: partition etwas gefunden. kann natürlich sein dass der trojaner irgendeine datei auf meiner spiele partition anlegt die avg nicht findet und sich dann wieder in die winlogon.exe einschreibt.Naja,versuchs jetzt grad mit neustart und wenns dann net geht mit nem früheren image.

Danke schonmal für deine Antwort.

Zitat:

Punkt ist aber das ich immer vor erstellen eines backups alle scanner laufen lasse. Und da wurde das letzte mal nichts gefunden.

** Prinzipielle Schwächen der Virenscanner
Auf einem kompromittierten System sind Virenscanner chancenlos. Wichtige Systemdateien von Windows könnten durch den Angreifer modifiziert sein. Da der Virenscanner aber auf betriebssysteminterne Funktionen zugreifen muss, ist es möglich, dass das kompromittierte System den Scanner "anlügt".
Daraus folgt eigentlich unweigerlich die Erkenntnis, dass ein Virencheck auf einem bereits kompromittierten System zum Zwecke der sicheren (!) Bereinigung bzw. Auffinden aller Schädlinge nicht möglich sein kann!
Wenn überhaupt wäre das nur von einem sauberen Zweitsystem aus möglich, von dem aus man den Scanner ausführt und die Dateien des infizierten OS checkt - aber auch das ist nicht sicher, da Virenscanner ja prinzipiell Schädlinge übersehen können.

Diesen Link von dir hab ich mir erst vor fünf minuten selber angeschaut.

Ich sehs ja ein.

Bin grad dabei ein früheres Image aufzutragen...

Hm okay
Kannst du in etwa die Kompromittierung zeitlich einschätzen?

Angenommen avg hat diesen schädling schon länger in der datenbank, dann kann des ganze erst gestern oder heute basiert sein. der Virenscanner läuft immer automatisch mittags durch, und mein PC war gestern zu diesem Zeitpunkt an, dh er hätte da etwas finden müssen. Falls dies der fall ist hab ich auch schon eine konkrete vermutung. Falls nicht, buhh, unmöglich festzustellen.

Meckert der denn nur bei der Datei winlogon.exe? Wenn ja wo liegt diese?
Was sagt eine Auswertung bei Jotti oder Virustotal?
Möglichkeit des Fehlalarms besteht natürlich...

Leider nicht.

Die winlogon.exe ist im system32 und außerdem hat er noch eine winlogon.dll im system32/dllcache gefunden glaub ich. Auf jedenfall zwei dateien.

dummerweise kann ich mit dem befallenen PC gerade nicht ins netz. brauch meinen Netzanschluß für mein notebook. bin nebenbei nämlich noch am arbeiten...

Also des kann wirklich net sein!!

Problem ist selbst mit einem image von vor sechs monaten nicht behoben!

Sehr merkwürdig....

Entweder es gibt hier ein hardwareproblem, oder des is so nen neuer BIOS rootkit trojaner. glaub ich aber net.

jetzt schließ ich den erstmal ans netz an, check mal die datei und laß nochmal den avg laufen.

Also jotti und wintotal haben bei der winlogon.exe vom neu aufgespielten image nichts gefunden. Allerdings bootet der Computer immernoch nicht hoch, außer im abgesicherten modus. lass gerade avg nochmal laufen. langsam kommt mir des ganze spanisch vor..

Also...ich hab auf meine Windows-XP-Parallelinstallation geschaut (nutze hauptsächlich W2k ), dort gibt es keine winlogon.dll!
Wenn Du mal nach winlogon.dll googelst, ist der erste Treffer bei Sophos zu finden...
Vllt. schaffts du es diese Datei vom verseuchten Rechner auf ein externes Medium (Diskette, USB-Stick) zu kopieren. Und dann vom Notebook aus auswerten. Dem OS auf dem Notebook kann da eigentlich nichts passieren, die "nackte" DLL-datei ist nämlich so nicht ausführbar.

Also avg free 7.5 erkennt mir die winlogon.exe immernoch als thread und entfernt diese. Jotti und virustotal erkennen keinen virus. die winlogon.dll scheint verschwunden zu sein. Werde morgen des System einfach totmachen und nächste woche neu bespielen. falls es anschließend immernoch nicht funtkioniert werde ich dies hier nochmal posten.

So long,

danke für die Hilfe,


Elsevier