Hallo alle zusammen,

ich mache jetzt schon den ganzen Tag mit einem unschönen Problemchen rum und komme einfach nicht weiter, da ihr hier alle so hilfsbereit seid dachte ich, ich poste mein problem mal.

Als ich heute morgen den Rechner gestartet habe kam direkt nachdem ich mich angemeldet habe, während er die autostart programme geladen hat, eine meldung meines AVG Free, die datei winlogon.exe im Windows/System32/ Ordner sei mit einem Virus infoziert. AVG Free erkennt den Virus als "Trojan Horse Flooder.AKE", die Datei lässt sich scheinbar nicht heilen.

Ich habe natürlich auf "Heal" geklickt und er hat die file der Vault zugefügt und mich informiert, dass der Rechner nun neu starten müsste. Ich klicke also auf OK und warte.
Leider fährt der Rechner seitdem nicht mehr hoch. Sobald der blaue Hintergrund des windows logon screens auftaucht startet der rechner neu. Im Bootmenü(F8) scheinen auf einmal neue optionen hinzugefügt worden zu sein, wie "Betriebssystem wählen" und "Ordnerstruktur wiederherstellen", es ist jedoch nach wie vor nur winXP Pro auswählbar und die ordnerstruktur wiederherzustellen resultiert darin, dass er behauptet, die beiden Platten seien im dateisystem beschädigt. Das da was dran ist bezweifle ich, der Rechner funktioniert im abgesicherten Modus mit Netzwerktreibern reibungslos. Systemwiederherstellung lieferte keine Hilfe und über den von AVG ausgegebenen Virus finde ich keine Informationen.

Natürlich habe ich die datei mit virus total gescanned:

STATUS: FINISHEDComplete scanning result of "winlogon.exe", received in VirusTotal at 12.06.2006, 18:22:33 (CET).

Antivirus Version Update Result
AntiVir 7.2.0.49 12.06.2006 no virus found
Authentium 4.93.8 12.05.2006 no virus found
Avast 4.7.892.0 12.06.2006 no virus found
AVG 386 12.06.2006 no virus found
BitDefender 7.2 12.06.2006 no virus found
CAT-QuickHeal 8.00 12.05.2006 no virus found
ClamAV devel-20060426 12.06.2006 no virus found
DrWeb 4.33 12.06.2006 no virus found
eSafe 7.0.14.0 12.06.2006 no virus found
eTrust-InoculateIT 23.73.78 12.06.2006 no virus found
eTrust-Vet 30.3.3234 12.06.2006 no virus found
Ewido 4.0 12.06.2006 no virus found
Fortinet 2.82.0.0 12.06.2006 no virus found
F-Prot 3.16f 12.05.2006 no virus found
F-Prot4 4.2.1.29 12.05.2006 no virus found
Ikarus T3.1.0.26 12.05.2006 no virus found
Kaspersky 4.0.2.24 12.06.2006 no virus found
McAfee 4911 12.05.2006 no virus found
Microsoft 1.1804 12.06.2006 no virus found
NOD32v2 1904 12.06.2006 no virus found
Norman 5.80.02 12.05.2006 no virus found
Panda 9.0.0.4 12.06.2006 no virus found
Prevx1 V2 12.06.2006 no virus found
Sophos 4.12.0 12.06.2006 no virus found
Sunbelt 2.2.907.0 11.30.2006 no virus found
TheHacker 6.0.3.130 12.06.2006 no virus found
UNA 1.83 12.05.2006 no virus found
VBA32 3.11.1 12.05.2006 no virus found
VirusBuster 4.3.15:9 12.05.2006 no virus found

Da erscheint sie geradezu erschreckend Viren-frei.

Hier nun die HJT-Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 18:58:48, on 06.12.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\GEMEIN~1\Stardock\SDMCP.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Grisoft\AVG Free\avgwb.dat
C:\Programme\Grisoft\AVG Free\avgvv.exe
C:\Dokumente und Einstellungen\***SHUBIDU**\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: (no name) - {A6790AA5-C6C7-4BCF-A46D-0FDAC4EA90EB} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [iamapp] C:\Programme\Norton Personal Firewall\IAMAPP.EXE
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [PRISMSVR.EXE] "C:\Programme\Siemens\Gigaset USB Adapter 54\PRISMSVR.EXE" /APPLY
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Programme\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ?
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: Gigaset WLAN Adapter Monitor.lnk = C:\Programme\Siemens\Gigaset USB Adapter 54\GigasetUSBMonitor.exe
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Programme\Yahoo!\Messenger\YahooMessenger.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Programme\Yahoo!\Messenger\YahooMessenger.exe
O15 - Trusted IP range: 67.19.178.84 (HKLM)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkID=39204
O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.5) - http://eu-housecall.trendmicro-europe.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1165426333031
O16 - DPF: {96512D57-F751-4088-A689-5778FCC77F7A} (Photo Uploader Control) - http://www.studivz.net/lib/photouploader/PhotoUploader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2B121404-17D3-442A-B8F4-4521FC4631F8}: NameServer = 192.168.254.254
O17 - HKLM\System\CCS\Services\Tcpip\..\{ADC39FFA-CDB2-46EA-86BB-87558AB4D41A}: NameServer = 192.168.254.254
O17 - HKLM\System\CS2\Services\Tcpip\..\{2B121404-17D3-442A-B8F4-4521FC4631F8}: NameServer = 192.168.254.254
O17 - HKLM\System\CS3\Services\Tcpip\..\{2B121404-17D3-442A-B8F4-4521FC4631F8}: NameServer = 192.168.254.254
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: MCPClient - C:\PROGRA~1\GEMEIN~1\Stardock\mcpstub.dll
O21 - SSODL: System - {C96E8402-D700-4110-B7F7-EAFA39220362} - vr_sys.dll (file missing)
O21 - SSODL: AudioHQ - {5CDA8B85-8DDF-6EEA-CE2B-1C29B5964852} - c:\progra~1\gemein~1\instal~1\engine\6\intel3~1\winnaqdm32.dll (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: svchost.exe (moto) - Unknown owner - C:\WINDOWS\svchost.exe (file missing)
O23 - Service: Norton Personal Firewall Service (NISSERV) - Symantec Corporation - C:\Programme\Norton Personal Firewall\NISSERV.EXE
O23 - Service: Norton Personal Firewall Accounts Manager (NISUM) - Symantec Corporation - C:\Programme\Norton Personal Firewall\NISUM.EXE
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR2a\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR2a\RpcSandraSrv.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Norton Personal Firewall Proxy Service (SymProxySvc) - Symantec Corporation - C:\Programme\Norton Personal Firewall\SymProxySvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

Das System ist nicht gerade aufgeräumt, zugegeben. Mir geht es allerdings nur darum, dass es wieder startet denn ich werde im Januar ohnehin einen neuen Rechner zusammenbauen.

Ich werde nun weiter nach einer Lösung suchen.. gibts doch nicht sowas :P Ich hoffe hier kann mir jemand weiterhelfen.

Vielen Dank schonmal und einen schönen Abend,

NcjE

Das ist ein hoffnungsloser Fall, allein schon wegen diesem Eintrag:

Zitat:

O23 - Service: svchost.exe (moto) - Unknown owner - C:\WINDOWS\svchost.exe (file missing)

Mit an Sicherheit grenzender Wahrscheinlichkeit ein Backdooreintrag.
Aber kein Wunder, denn dein Windows hat auch noch nie ein Update bekommen!

Zitat:

Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Hier hilft garnichts mehr außer neu aufsetzen inkl. Formatierung der Systempartition.

Kann das nicht ein alter Eintrag sein von einem bereits entfernten Virus? Ist nicht so dass das das erste problem wäre das auftritt

Aber stimmt schon mit diesem build bin ich nicht gerade sorgsam unterwegs gewesen

Ich würde nur ungern den Rechner jetzt neu aufsetzen und das dann in 4 wochen wiederholen müssen

Folge dem Link "Neu aufsetzen" in meiner Sig, da wird auch was über die Absicherung geschrieben. Wenn du dich daran hälst, wird der Rechner nicht mehr so schwuppdiwupp kompromittiert.
Ein wichtiges Kritierium ist, dass du OFFLINE das SP2 einspielst.

Guten Abend zusammen.

hatte heute zufälligerweise dasselbe Problem, bzw. habs immernoch. Dachte zunächst ich könnte das Problem durch ein neuansetzten meiner systempartition durch ein image backup von letzter woche beheben ---> Fehlanzeige.

Hab hier im Forum gelesen dass es sich evtl. auch um einen trojaner mit rootkit eigenschaften handeln könnte. Somit müßte ich alle partitionen mit ausführbaren programmmen tot(o)machen.

Das will ich aber nicht.

Hab mir folgende Lösung überlegt:

Im abgesicherten Modus Computer scannen, alle infizierten dateien entfernen und anschließend sofort ohne Neustart meine c: partition überschreiben (sollte hoffentlich mit acronis image type funktionieren).

Meine frage lautet schlicht:

Kann des funktionieren??

Bzw. falls nicht, gibts irgendwelche anderen Möglichkeiten?

Habe leider nicht meine Spiele partition gesichert, dh. kann diese nicht auch durch ein nicht infiziertes Image ersetzten.

Grüße

Elsevier

Zitat:

Dachte zunächst ich könnte das Problem durch ein neuansetzten meiner systempartition durch ein image backup von letzter woche beheben ---> Fehlanzeige.

Da hast du wohl ein Backupimage eines kompromittierten Systems erstellt - sehr ärgerlich sowas.

Zitat:

Im abgesicherten Modus Computer scannen, alle infizierten dateien entfernen und anschließend sofort ohne Neustart meine c: partition überschreiben (sollte hoffentlich mit acronis image type funktionieren).

Verstehe ich das richtig? Du willst erst alle gefundenen Schädlinge entfernen, aber dann ein Image wieder draufrollen? Das bringt nichts, denn das Image ist ja auch kompromittiert, dann hast du das gleiche Problem wie vorher. Im übrigen wäre das entfernen vorher auch unsinnig, denn das Image überschreibt ja eh wieder alles.

Zitat:

Bzw. falls nicht, gibts irgendwelche anderen Möglichkeiten?

Wenn du keine sauberen Images mehr hast, bleibt dir nur noch das Neuaufsetzen.
Die Spiele kannst und solltest du auch alle von Originalmedien neu installieren, um das Risiko einer erneuten Infektion zu minimieren.