winlogon -> gigafreehost.com

der-baer-mobil · 17.11.2005, 23:22

Hallo Leute,

verzweifle gerade ein wenig. Mein PC - genauer gesagt seine winlogon.exe (%WinDir%\system32\) - versucht seit gestern bei jedem Systemstart (ca. 40 sek. nach erfolgter Anmeldung) eine Verbindung zu gigafreehost.com (85.255.115.178) und einigen anderen Adressen aus diesem IP-Range zu initiieren (hdsnservice.com). Diesen Range findet man in der Ukraine. AV-Software, SpyBot und PestPatrol finden nichts.

WinXP Pro
Antivir PersonalEdition Premium
SpyBot 1.4 (inkl. updates)
PestPatrol 5.0 (inkl. updates)
HJT sieht auch gut aus

Danke vorweg!

Der Baer

cronos · 17.11.2005, 23:33

Wenn der Log von HijackThis schon besteht, warum postest du ihn nicht?
Lass auch mal die von dir genannte Datei hier prüfen (winlogon.exe):

http://virusscan.jotti.org/de/

Je mehr Infos haben um so besser!

der-baer-mobil · 18.11.2005, 10:20

Ok, der Link mich einen Schritt nach vorne gebracht:

potentieller Virus gefunden (f-prot)

W32/Agent.AER

Ich kann dazu allerdings nirgends etwas finden. Die Datei ansich scheint dennoch in Ordnung zu sein (ProcessExplorer, sysinternals).

Hier der HJT-Log:

Logfile of HijackThis v1.99.1
Scan saved at 10:12:31, on 18.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRAMME\AVPERSONALPREMIUM\AVGUARD.EXE
C:\PROGRAMME\AVPERSONALPREMIUM\AVESVC.EXE
C:\Programme\AVPersonalPremium\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\PROGRAMME\AVPERSONALPREMIUM\AVMAILC.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\AVPersonalPremium\AVGNT.EXE
C:\Programme\D-Tools\daemon.exe
H:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\D-Link AirPlus\AirPlus.exe
C:\Programme\mitbrandenburg\Apache Group\Apache2\bin\ApacheMonitor.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
D:\Windows\System\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w*w.meinestartseite.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - H:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - h:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonalPremium\AVGNT.EXE" /min
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [SpybotSD TeaTimer] h:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Verknüpfung mit Filemon.exe.lnk = D:\Windows\System\Sysinternals\FilemonNt\Filemon.exe
O4 - Global Startup: D-Link AirPlus.lnk = ?
O4 - Global Startup: laufwerk.bat
O4 - Global Startup: Monitor Apache Servers.lnk = C:\Programme\Apache Group\Apache2\bin\ApacheMonitor.exe
O8 - Extra context menu item: + Offline &Explorer: Download the link - file://H:\Programme\Offline Explorer Pro\Add_UrlO.htm
O8 - Extra context menu item: + Offline E&xplorer: Download the current page - file://H:\Programme\Offline Explorer Pro\Add_AllO.htm
O8 - Extra context menu item: Alles mit FlashGet laden - H:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - H:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://H:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - H:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - H:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - H:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://h**p://update.microsoft.com/w...?1123757861483
O16 - DPF: {D31DE3CC-B9F2-11D8-80AA-00B0D067F8F5} (TCCertRenewal Class) - http://h**ps://www.trustcenter.de/ac...ertRenewal.dll
O23 - Service: AntiVir Mail Security Service (AntiVirMailService) - AntiVir PersonalProducts GmbH. - C:\PROGRAMME\AVPERSONALPREMIUM\AVMAILC.EXE
O23 - Service: AntiVir PersonalEdition Premium Service (AntiVirService) - AntiVir PersonalProducts GmbH - C:\PROGRAMME\AVPERSONALPREMIUM\AVGUARD.EXE
O23 - Service: Apache2 - Unknown owner - C:\Programme\Apache Group\Apache2\bin\Apache.exe" -k runservice (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVE Service (AVEService) - AntiVir PersonalProducts GmbH - C:\PROGRAMME\AVPERSONALPREMIUM\AVESVC.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonalPremium\AVWUPSRV.EXE
O23 - Service: GhostStartService - Symantec Corporation - H:\Programme\Symantec\Norton Ghost 2003\GhostStartService.exe
O23 - Service: Imapi Helper - Alex Feinman - C:\Programme\Alex Feinman\ISO Recorder\ImapiHelper.exe
O23 - Service: Monitor Control Service (mcsvc) - Unknown owner - C:\WINDOWS\system32\NETMON~1\mcsvc.exe (file missing)
O23 - Service: MySQL - Unknown owner - C:\Programme\MySQL\MySQL.exe (file missing)
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - H:\Programme\VMware\VMware Workstation\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe

der-baer-mobil · 18.11.2005, 10:23

---> geht dann auch im im Thread W32/Agent.AER weiter. Das scheint mein Problem zu sein ...

Wildone · 18.11.2005, 10:36

Hallo,
nein es geht hier weiter.
untersuche dein system mal mit F-Secure Blacklight und poste das Log.

Grüße Wildone

der-baer-mobil · 18.11.2005, 10:42

OK, geht offensichtlich doch hier weiter

...

Hier das Log von F-Secure BlackLight (latest ß)

... Scan Complete, no items found ...
... no hidden items found ...

scheint gut zu sein.

der Baer

Wildone · 18.11.2005, 10:45

Hallo,
na immerhin, überprüfe dein System mal mit Escan (Anleitung sorfältig lesen!) und poste das Ergebnis wie in der Anleitung beschrieben.

Grüße Wildone

der-baer-mobil · 18.11.2005, 11:26

... bin noch dabei ...

melde mich dann wieder.

Gruß, Der Baer

jondalar · 12.12.2005, 11:22

Habe auch dieses Problem

Kein Programm (Spybot/Adaware/Antivir) findet was, aber die Firewall schlägt an.
"smss versucht winlogon zu starten" - wenn ich das erlaube, dann
"winlogon versucht Verbindung zu gigafreehost.com aufzubauen"

Alle *.exe gescant im I-Net -> negativ. Hab mich schon in der registry dämlich gesucht.

Falls es eine Lösung gab/gibt bitte posten.

Wildone · 12.12.2005, 11:44

Hallo,
auch für dich erstmal die Reihenfolge mit F-Secure Blacjklight das System zu scannen und falls der nichts findet es mal mit Escan zu untersuchen und das Log posten, Links zu den Programmen und Anleitungen siehe oben.

Grüße Wildone

jondalar · 12.12.2005, 13:13

Danke erstmal.

Blacklight -> nix
12/12/05 13:15:55 [Info]: BlackLight Engine 1.0.29 initialized
12/12/05 13:15:55 [Info]: OS: 5.1 build 2600 (Service Pack 2)
12/12/05 13:15:56 [Note]: 7019 4
12/12/05 13:15:56 [Note]: 7005 0
12/12/05 13:15:59 [Note]: 7006 0
12/12/05 13:15:59 [Note]: 7011 1388
12/12/05 13:15:59 [Note]: FSRAW library version 1.7.1013
12/12/05 13:16:30 [Note]: 7007 0

HijackThis -> Auswertung alles i.O
Logfile:
http://www.hijackthis.de/logfiles/50...cfef35b8a.html
und Escan mach ich jetzt.

jondalar · 15.12.2005, 16:48

Escan hat es gerichtet. Danke

Escan fand 10 Viruse die kein anderes Progie gefunden hatte. Schnell für einen Monat gekauft (8,75€) und schon läuft wieder alles super.

MFG
Jondalar

winlogon -> gigafreehost.com

Plagegeister aller Art und deren Bekämpfung: winlogon -> gigafreehost.com