Erst mal Hallo hier im Forum. Ich war Jahrelang unterwegs mit XP SP2 und das war auch OK. Dann wollte auf nummer sicher gehen, habe mit nLite meine eigene SlipStreamed Win XP Pro SP3+AiO erstellt.Ha ja Windows von der Neue CD Installiert und schien alles Perfekt zusein.Von Nov bis Dez 2008 war alles OK, doch dann habe bemerkt das mein System von sich selbst hat angefangen Viren,Trojanern,Maleware&Co runterzuladen. Der doffe Win Task Manager hatte natürlich nicht gezeigt,habe dann mit einem Proffi Programm AnVir Task Manger Pro in mein System durchgeschaut. Im Register "Processes" unterhalb kann man alle TCP&UDP Connection von allen .exe,dll,sys dateien sehen und zwar detaliert.Von den Ganzen Systemdateien die im DDR-Ram waren schien all die kleine Programmen ihren Job richtig zu machen außer einen.Habe bemerkt das die original Microsoft NT Anmeldungs Dienst namens winlogon.exe hat eine Aktive verbindung zu IP Adresse:58.65.234.90 Port:80 gebaut und tut etwas runterladen so 500 Kbyte groß.Als dowload fertig war waren die Trojaner,Viren&Co schon im DDR-Ram drinnen - rs32net.exe,reader_s.exe,reader_s.exe + zwei svchost.exe die Simulierten Microsofts eigene svchost.exe, die Standart nur 6 Stück im Speicher drinn sind und nicht 8 oder mehr. Ich habe mal Trace Route gemacht, die IP:58.65.234.90 ist im Hong Kong in der Stadt mitte so Grosses Hochhaus mit Glas Fenstern 20 Stöckig. Habe dann im Router alle Outgoings Connection zu IP:58.65.234.90 alle 65535 Ports geblockt bis ich lösung gefunden hätte.Das hatte Paar tage ruhe gebracht, wegen eine fehler musste ich windows leider neu installieren.So jetzt kommts! Die winlogon.exe hatte kapiert das ich die IP geblockt hatte und verbindet jetzt zu eine andere IP:61.235.117.80 ebenfals im Hong Kong gleiche Netzwerk-gleiche Provider.Mit einem AntiRootkit Freeware namens GMER habe mehr details rausbekommen,

Host: ircd.zief.pl
Port: 80
das heißt es wird immer zu Host ircd.zief.pl im Polen verbunden aber die IP ist im Hong Kong und wechselt nach bedarf.

Meine Trace Route:

Registrant Data
Registrant id#: 1
This is the RIPE Whois query server 3.
The objects are in RPSL format.

Rights restricted by copyright.
See http://www.ripe.net/db/copyright.html

The object shown below is NOT in the RIPE database.
It has been obtained by querying a remote server:
(whois.dns.pl) at port 43.
To see the object stored in the RIPE database
use the -R flag in your query

REFERRAL START


DOMAIN: zief.pl

registrant's handle: sibr62259 (INDIVIDUAL)

nameservers: dns1.zief.pl. [58.65.232.33]

dns2.zief.pl. [58.65.232.34]

created: 2005.07.25 15:58:55

last modified: 2008.09.25 10:49:06



no option





REGISTRAR: Consulting Service

ul. Domaniewska 35A lok.1B

02-672 Warszawa

Polska/Poland

+48.22 8538888

domeny@ConsultingService.pl



WHOIS displays data with a delay not exceeding 15 minutes in relation to the .pl Registry system

Registrant data available at http://dns.pl/cgi-bin/en_whois.pl

_____
NeoTrace Copyright ©1997-2001 NeoWorx Inc

Also da ist etwas in meinem System das die Original Microsoft winlogon.exe so manipuliert das es nicht mehr nur sein Job tut Login und Logout auf der XP Willkommen Seite,sondenn auch Trojaner,Viren,Spyware&Co runterlädt ausschlieslich zum einem zweck. Jetzt ist mir nicht klar wann passiert die Manipulation überhaupt das ich davon nicht merke weährend ich die nLite ISO bearbeite und dann auf die CD brenne, oder jedes mal nach der frischen Wiondows Istallation ??? Also im Speicher sehe nicht das ne andere datei die winlogon.exe überschreibt,verändert,infiziert oder so ganz ruhig die Ganze zeit während ich die ISO erstelle und brenne.Es muss also direkt nach der Installation passieren oder es kommt auf die CD drauf was nicht kommen sollte. Die extra XP SP3 UpdatePacks,Addons,Tuning,VisualStyles,Themes und das ganze sind alle von nLite webseite und von vertraulichen Personnen. Die SP3 habe direkt von Microsoft runter geladen und nicht sonst wo das da schon ne andere winlogon.exe drin ist.Wie passiert jetzt die Ganze scheise kappiere net.

Danke Voraus !!!
cTreamer

Hallo cTreamer!
Ich habe 100% genau die selben Symptome. Konntest du dir schon weiterhelfen? Ich glaube, dass entweder ist da irgendwas auf meinem Rechner, was kein Antivirenprogramm finden kann und was die entsprechenden Windows Dateien bei der Installation sofort modifiziert oder meine Windows CDs sind alle bereits infeziert. Danke fuer eine Rueckmeldung.

habe nuun selber die Lösung gefunden. Ich hoffe diejenigen, die ein ähnliches Problem haben können hiermit ein bisschen Zeit sparen (ich hab eine komplette Woche in den Sand gesetzt). Hier gibt es die Lösung:
CRC-Summe wurde verändert! Dies könnte von einem Virus verursacht worden sein! - Viren und andere Sicherheitsrisiken - Avira Support Forum