winlogon -> gigafreehost.com

der-baer-mobil · 17.11.2005, 23:22

Hallo Leute,

verzweifle gerade ein wenig. Mein PC - genauer gesagt seine winlogon.exe (%WinDir%\system32\) - versucht seit gestern bei jedem Systemstart (ca. 40 sek. nach erfolgter Anmeldung) eine Verbindung zu gigafreehost.com (85.255.115.178) und einigen anderen Adressen aus diesem IP-Range zu initiieren (hdsnservice.com). Diesen Range findet man in der Ukraine. AV-Software, SpyBot und PestPatrol finden nichts.

WinXP Pro
Antivir PersonalEdition Premium
SpyBot 1.4 (inkl. updates)
PestPatrol 5.0 (inkl. updates)
HJT sieht auch gut aus

Danke vorweg!

Der Baer

cronos · 17.11.2005, 23:33

Wenn der Log von HijackThis schon besteht, warum postest du ihn nicht?
Lass auch mal die von dir genannte Datei hier prüfen (winlogon.exe):

http://virusscan.jotti.org/de/

Je mehr Infos haben um so besser!

der-baer-mobil · 18.11.2005, 10:20

Ok, der Link mich einen Schritt nach vorne gebracht:

potentieller Virus gefunden (f-prot)

W32/Agent.AER

Ich kann dazu allerdings nirgends etwas finden. Die Datei ansich scheint dennoch in Ordnung zu sein (ProcessExplorer, sysinternals).

Hier der HJT-Log:

Logfile of HijackThis v1.99.1
Scan saved at 10:12:31, on 18.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRAMME\AVPERSONALPREMIUM\AVGUARD.EXE
C:\PROGRAMME\AVPERSONALPREMIUM\AVESVC.EXE
C:\Programme\AVPersonalPremium\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\PROGRAMME\AVPERSONALPREMIUM\AVMAILC.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\AVPersonalPremium\AVGNT.EXE
C:\Programme\D-Tools\daemon.exe
H:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\D-Link AirPlus\AirPlus.exe
C:\Programme\mitbrandenburg\Apache Group\Apache2\bin\ApacheMonitor.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
D:\Windows\System\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w*w.meinestartseite.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - H:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - h:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonalPremium\AVGNT.EXE" /min
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [SpybotSD TeaTimer] h:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Verknüpfung mit Filemon.exe.lnk = D:\Windows\System\Sysinternals\FilemonNt\Filemon.exe
O4 - Global Startup: D-Link AirPlus.lnk = ?
O4 - Global Startup: laufwerk.bat
O4 - Global Startup: Monitor Apache Servers.lnk = C:\Programme\Apache Group\Apache2\bin\ApacheMonitor.exe
O8 - Extra context menu item: + Offline &Explorer: Download the link - file://H:\Programme\Offline Explorer Pro\Add_UrlO.htm
O8 - Extra context menu item: + Offline E&xplorer: Download the current page - file://H:\Programme\Offline Explorer Pro\Add_AllO.htm
O8 - Extra context menu item: Alles mit FlashGet laden - H:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - H:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://H:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - H:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - H:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - H:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://h**p://update.microsoft.com/w...?1123757861483
O16 - DPF: {D31DE3CC-B9F2-11D8-80AA-00B0D067F8F5} (TCCertRenewal Class) - http://h**ps://www.trustcenter.de/ac...ertRenewal.dll
O23 - Service: AntiVir Mail Security Service (AntiVirMailService) - AntiVir PersonalProducts GmbH. - C:\PROGRAMME\AVPERSONALPREMIUM\AVMAILC.EXE
O23 - Service: AntiVir PersonalEdition Premium Service (AntiVirService) - AntiVir PersonalProducts GmbH - C:\PROGRAMME\AVPERSONALPREMIUM\AVGUARD.EXE
O23 - Service: Apache2 - Unknown owner - C:\Programme\Apache Group\Apache2\bin\Apache.exe" -k runservice (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVE Service (AVEService) - AntiVir PersonalProducts GmbH - C:\PROGRAMME\AVPERSONALPREMIUM\AVESVC.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonalPremium\AVWUPSRV.EXE
O23 - Service: GhostStartService - Symantec Corporation - H:\Programme\Symantec\Norton Ghost 2003\GhostStartService.exe
O23 - Service: Imapi Helper - Alex Feinman - C:\Programme\Alex Feinman\ISO Recorder\ImapiHelper.exe
O23 - Service: Monitor Control Service (mcsvc) - Unknown owner - C:\WINDOWS\system32\NETMON~1\mcsvc.exe (file missing)
O23 - Service: MySQL - Unknown owner - C:\Programme\MySQL\MySQL.exe (file missing)
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - H:\Programme\VMware\VMware Workstation\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe

der-baer-mobil · 18.11.2005, 10:23

---> geht dann auch im im Thread W32/Agent.AER weiter. Das scheint mein Problem zu sein ...

Wildone · 18.11.2005, 10:36

Hallo,
nein es geht hier weiter.
untersuche dein system mal mit F-Secure Blacklight und poste das Log.

Grüße Wildone

der-baer-mobil · 18.11.2005, 10:42

OK, geht offensichtlich doch hier weiter

...

Hier das Log von F-Secure BlackLight (latest ß)

... Scan Complete, no items found ...
... no hidden items found ...

scheint gut zu sein.

der Baer

winlogon -> gigafreehost.com

Plagegeister aller Art und deren Bekämpfung: winlogon -> gigafreehost.com