Hallo zusammen,

Bei mir verhält sich seit knapp einer Woche die winlogon.exe merkwürdig.
Sie versucht auf v1.nuvodka.com:80 (59.148.221.241) zuzugreifen (hab ich mit der Firewall natürlich geblockt). Ich frage mich bloß, was winlogon alle 3 1/2Minuten von einem Host in Hong Kong will, vorallem von einem der eine dynamisch allocierte IP Adressen hat.

Da das ganze erst seit einer Woche passiert, frag ich mich, ob es sich um einen Schädling jeglicher Art handeln könnte?

Leider habe ich keine Antivir o.Ä. installiert.

Mein HijackThis Log, der aber keine interessanten Informationen enthält:

Logfile of HijackThis v1.99.1
Scan saved at 12:50:23, on 20.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{***}\PIFSvc.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Razer\Diamondback 3G\razerhid.exe
C:\WINDOWS\winlogon.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\Programme\Free Download Manager\FUM\fumoei.exe
C:\Programme\Razer\Diamondback 3G\razertra.exe
C:\Programme\Razer\Diamondback 3G\razerofa.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\WINDOWS\system32\cisvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{***}\PIFSvc.exe
C:\Programme\M-Audio MA_CMIDI\MA_CMIDI_Inst.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\ArcorOnline\AOButler.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\FREEDO~1\fdm.exe
C:\Programme\7-Zip\7zFM.exe
D:\apache\xampp\apache\bin\apache.exe
D:\apache\xampp\mysql\bin\mysqld.exe
D:\apache\xampp\apache\bin\apache.exe
I:\USER_TMP\TEMP\7zOD.tmp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://localhost/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
O2 - BHO: Malicious Scripts Scanner - {55EA1964-F5E4-4D6A-B9B2-125B37655FCB} - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Prevx\pxbho.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Programme\Free Download Manager\iefdm2.dll
O3 - Toolbar: Übersetzer - {FF284F5C-7CF9-4682-8701-D467C1DBB99F} - C:\Programme\PRMT6\PRMTIE\prmtie.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [NapsterShell] E:\Programme\Napster\napster.exe /systray
O4 - HKLM\..\Run: [ApacheTomcatMonitor] "D:\Tomcat 6.0\bin\tomcat6w.exe" //MS//Tomcat6
O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\Run: [EPSON Stylus DX3800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /F "C:\WINDOWS\TEMP\E_S81.tmp" /EF "HKLM"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "E:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [InternetLogger] rundll32 InternetLogger.dll, DoAutoRun
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Diamondback] C:\Programme\Razer\Diamondback 3G\razerhid.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [nvchost] C:\WINDOWS\winlogon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Orb] "C:\Programme\Winamp Remote\bin\OrbTray.exe" /background
O4 - HKCU\..\Run: [Free Download Manager] "C:\Programme\Free Download Manager\fdm.exe" -autorun
O4 - HKCU\..\Run: [Free Upload Manager] "C:\Programme\Free Download Manager\fum\fum.exe" -autorun
O4 - HKCU\..\Run: [Free Uploader Oe Integration] C:\Programme\Free Download Manager\FUM\fumoei.exe
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - Startup: OpenOffice.org 2.3.lnk = D:\Programme\OpenOffice.org 2.3\program\quickstart.exe
O8 - Extra context menu item: Alles mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Datei mit FDM herunterladen - file://C:\Programme\Free Download Manager\dllink.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Videos mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlfvideo.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: (no name) - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - C:\Programme\PRMT6\PRMTIE\prmtie5.htm
O9 - Extra 'Tools' menuitem: Übersetzen - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - C:\Programme\PRMT6\PRMTIE\prmtie5.htm
O9 - Extra button: (no name) - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - C:\Programme\PRMT6\PRMTIE\options.htm
O9 - Extra 'Tools' menuitem: Übersetzungsoptionen anpassen - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - C:\Programme\PRMT6\PRMTIE\options.htm
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Upload - {FD4E2FF8-973C-4A19-89BD-8E86B3CFCFE1} - C:\Programme\Free Download Manager\FUM\fumiebtn.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\internetlogger.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\internetlogger.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\internetlogger.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\internetlogger.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\internetlogger.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\internetlogger.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{B71827E9-61CB-47E1-8189-114154F1B54C}: NameServer = 195.50.140.114 195.50.140.252
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: LiveUpdate Notice Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{***}\PIFSvc.exe" /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{***}\PifEng.dll (file missing)
O23 - Service: M-Audio CMIDI Installer (MA_CMIDI_InstallerService) - Unknown owner - C:\Programme\M-Audio MA_CMIDI\MA_CMIDI_Inst.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe

Pruefe C:\WINDOWS\winlogon.exe bitte einmal bei virustotal.com und poste das gesamte Ergebniss.

Alle Zeilen mit einem "-" außer:

Sunbelt 3.0.978.0 2008.03.18 ], [

Scheint also schonmal kein bekannter Schädling zu sein.

Der ganze Report waere hilfreich. Mit MD5 und Packerangaben.

Du solltest auf jeden Fall diesen Eintrag in HijackThis anhaken, fix checked druecken und neu starten:
O4 - HKLM\..\Run: [nvchost] C:\WINDOWS\winlogon.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

Weisst du, was InternetLogger ist? Hoert sich irgendwie nach adware an und was hast du noch von Symantec/Norton installiert?

File size: 507392 bytes
MD5: 2b6a0baf33a9918f09442d873848ff72
SHA1: e94549181cc6cdf9f5373e86c857049b73baee66
PEiD: -

InternetLogger is ne eigenentwicklung, der loggt meinen traffic und speichert den auf dem pc.
Eigentlich sollte er aber nur einmal in der liste stehen.

hallo, shf10105,
die winlogon.exe ist mit sicherheit malware, wahrscheinlich das hier:
Troj/Klone-J Trojan (Packed.Win32.Klone.j, FDoS-Spabot), Packed.Win32.Klone.j, FDoS-Spabot - Sophos security analysis
es bringt nichts, wenn du die c:\windows\system32\winlogon.exe auswertest,
es geht um die c:\windows\winlogon.exe, also bitte
per copy/paste

Zitat:

c:\windows\winlogon.exe

bei virustotal einfügen und das komplette ergebnis posten.
zurück zu ralf

Der Dateigroesse und MD5 nach, ist das die Orginale Winlogon.exe

Du musst die aus dem Windows Ordner pruefen lassen, nicht die aus windows\system32!

AhnLab-V3 2008.3.20.2 2008.03.20 Win-Trojan/Agent.155648.T
AntiVir 7.6.0.75 2008.03.20 TR/Proxy.Agent.KJ.20
Authentium 4.93.8 2008.03.20 W32/Trojan.QUT
Avast 4.7.1098.0 2008.03.20 Win32:Trojan-gen {Other}
AVG 7.5.0.516 2008.03.20 Proxy.IWQ
BitDefender 7.2 2008.03.20 Trojan.Proxy.Agent.KJ
CAT-QuickHeal 9.50 2008.03.20 TrojanProxy.Agent.kj
ClamAV 0.92.1 2008.03.20 Trojan.Proxy-2317
DrWeb 4.44.0.09170 2008.03.20 Trojan.Spambot
eSafe 7.0.15.0 2008.03.18 Win32.Agent.kj
eTrust-Vet 31.3.5629 2008.03.20 Win32/Iflar.C
Ewido 4.0 2008.03.20 Proxy.Agent.kj
F-Prot 4.4.2.54 2008.03.19 W32/Trojan.QUT
F-Secure 6.70.13260.0 2008.03.20 W32/Malware
FileAdvisor 1 2008.03.20 -
Fortinet 3.14.0.0 2008.03.20 W32/Agent.KJ!tr
Ikarus T3.1.1.20 2008.03.20 Trojan-Proxy.Win32.Agent.kj
Kaspersky 7.0.0.125 2008.03.20 Trojan-Proxy.Win32.Agent.kj
McAfee 5255 2008.03.20 FDoS-Spabot
Microsoft 1.3301 2008.03.20 Trojan:Win32/Agent.ER
NOD32v2 2964 2008.03.20 probably a variant of Win32/TrojanProxy.Agent
Norman 5.80.02 2008.03.20 W32/Agent.AUIY
Panda 9.0.0.4 2008.03.20 Trj/Agent.ECP
Prevx1 V2 2008.03.20 Generic.Malware
Rising 20.36.32.00 2008.03.20 Trojan.Proxy.Agent.swa
Sophos 4.27.0 2008.03.20 Troj/Klone-K
Sunbelt 3.0.978.0 2008.03.18 Trojan-Proxy.Win32.Agent.kj
Symantec 10 2008.03.20 Trojan.Goldun
TheHacker 6.2.92.250 2008.03.19 Trojan/Proxy.Agent.kj
VBA32 3.12.6.3 2008.03.17 Trojan-Proxy.Win32.Agent.kj
VirusBuster 4.3.26:9 2008.03.20 Trojan.PR.Agent.GSF
Webwasher-Gateway 6.6.2 2008.03.20 Trojan.Proxy.Agent.KJ.20

File size: 155648 bytes
MD5: 435e8cf80df80af88848d4d9d905c690
SHA1: c8a0271fd87ff68f7c480227be3d1c08243f3381
PEiD: PKLITE32 1.1 -> PKWARE Inc.
packers: PKLite32
Prevx info: ~DP1.EXE - Prevx

---------------------------

Das sieht schon besser aus und wie werd ich den jetz los?
Und vorallem was macht der lustige Trojaner und wie kommt er hierher?

Wenn ich mir die Namen bei der Erkennung ansehe, also Proxy und Goldun, ist das ein Passwotstehlender Trojaner, der gleichzeitig auch als Proxy und Spamtrojanerr nutzen kann. Also wuerde ich zur Sicherheit, den Rechner neu aufsetzen und alle Passworte wechseln. Es waere moeglich, das deine Firewall nicht alles geblockt hat.

Ueber den Verbreitungsweg des Trojaners kann ich dir nichts sagen, wuerde aber auf die Nutzung von Software aus nicht vertrauenswuerdigen Quellen tippen....

Das trifft sich gut, denn ich wollte sowieso mal wieder neu aufsetzen...
Denn die Partition für Linux ist ein wenig klein.
Dann gehts wohl mal ans sichern der Dokumente auf C://^^
Und meine Proggs werd ich dann wohl mal zur sicherheit neu compilieren.

Dennoch hoff ich mal, dass die Firewall alles geblockt hat.

Da ich in der letzten Woche nur ein einziges Programm installiert habe (welches nicht aus vertrauenswürdigen Quellen stammte), kann die Vermutung durchaus zutreffen. Es handelt sich um ein Open Source Programm, der download war aber nicht von der original seite.