hallo, ich habe gestern mein system neu aufgesetzt, bzw. durch meine xp-cd in lieferzustand zurückgesetzt, auch sp2 installiert, ein teil meiner programme neu installiert und finde durch das programm "a-squared HiJackFree 2.0" in meinen prozessen und ports diverse angaben mit bösartige würmer und/oder trojaner. hatte aber doch system neu aufgesetzt und zu dem zeitpunkt noch nichmal meinen online-zugang neu installiert! da es angaben in prozessen sind, und die würmer sich wohl umbenennen, und so von AV nich gefunden werden?!, weiß ich nich wie ich vorgehen und die entfernen soll.

ich poste mal zb. den screenshot:

winlogon.exe mit bösartiger angabe:


außerdem mein hijackthis:
-------------------------------------------------------------------------------
Logfile of HijackThis v1.99.1
Scan saved at 17:23:22, on 26.11.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiDialer\a-squared Anti-Dialer\a2adguard.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Spybot\TeaTimer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\PROGRA~1\MICROS~2\Office10\OUTLOOK.EXE
C:\HiJackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = ht*p://w*w.cidres-security.de/benutzerkonto.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot\SDHelper.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [a-squared Anti-Dialer] "C:\Programme\AntiDialer\a-squared Anti-Dialer\a2adguard.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot\TeaTimer.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{34B92D11-4512-44E3-AE77-C4D93AC39843}: NameServer = 195.50.140.252 195.50.140.114
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: e-DiagTools LAN Configuration Agent (edtlancfg) - Hewlett-Packard - C:\Programme\HP\e-DiagTools\edtsrv.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

-------------------------------------------------------------------------------

die vielen explorer-angaben in R1 sind bestimmt auch nich normal?! da ich sowieso mit firefox surfe, benutze auch kein messenger... ansonsten bitte ich die fachleute mir ratschläge zu geben. danke schonmal!!!!

Hallo.

Als nach deinem Hijacklog zu urteilen, handelt es sich bei dem in dem Screenshot angezeigten Fund, um einen Fehlalarm.

Die Datei winlogon.exe gehört zu Windows ->

Zitat:

Der Prozess "winlogon.exe" ermöglicht das An- und Abmelden von Benutzer und läuft deswegen ständig im Hintergrund mit. Es überprüft auch den Windows XP Aktivierungscode.

Sie steht auch im richtigen Verzeichnis -> System32

Sollte sie dies nicht tun, würde es sich um diesen Schädling handeln -> Troj/Madr-B
bzw. weitere Modifikationen!
Diese Datei steht dann meistens im Ordner -> %WINPATH%System

Ich glaube daher nicht das dieser Eintrag aus dem Screenshot schädlich ist .

Gruß
Sunny

hmm, also der pfad is ja im normalen windows/system32 angegeben. aber die win.netsky.d-meldung?! und bei den anderen zb. smss.exe wird angegeben "Email.worm.win32.sober.p" und auch "Email.worm.win32.sober.o", in den gelben markierungen sind meist bösartige angaben...

was sagt derrest in meinem hijackthis?

Entweder ist dein System wieder kompromittiert oder es kommen ständig Fehlalarme. Werte doch mal die Dateien

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe

bei Virustotal aus und poste die Ergebnisse. Auch die Angaben zur Dateigröße und Prüfsummen (md5, sha1).

Complete scanning result of "smss.exe", received in VirusTotal at 11.26.2006, 18:19:42 (CET).

Antivirus Version Update Result
AntiVir 7.2.0.46 11.26.2006 no virus found
Authentium 4.93.8 11.24.2006 no virus found
Avast 4.7.892.0 11.23.2006 no virus found
AVG 386 11.26.2006 no virus found
BitDefender 7.2 11.26.2006 no virus found
CAT-QuickHeal 8.00 11.25.2006 no virus found
ClamAV devel-20060426 11.25.2006 no virus found
DrWeb 4.33 11.26.2006 no virus found
eSafe 7.0.14.0 11.26.2006 no virus found
eTrust-InoculateIT 23.73.67 11.25.2006 no virus found
eTrust-Vet 30.3.3211 11.24.2006 no virus found
Ewido 4.0 11.26.2006 no virus found
Fortinet 2.82.0.0 11.26.2006 no virus found
F-Prot 3.16f 11.24.2006 no virus found
F-Prot4 4.2.1.29 11.24.2006 no virus found
Ikarus 0.2.65.0 11.24.2006 no virus found
Kaspersky 4.0.2.24 11.26.2006 no virus found
McAfee 4904 11.24.2006 no virus found
Microsoft 1.1804 11.26.2006 no virus found
NOD32v2 1882 11.24.2006 no virus found
Norman 5.80.02 11.24.2006 no virus found
Panda 9.0.0.4 11.26.2006 no virus found
Prevx1 V2 11.26.2006 no virus found
Sophos 4.11.0 11.16.2006 no virus found
TheHacker 6.0.3.123 11.23.2006 no virus found
UNA 1.83 11.24.2006 no virus found
VBA32 3.11.1 11.25.2006 no virus found
VirusBuster 4.3.15:9 11.26.2006 no virus found

Aditional Information
File size: 50688 bytes
MD5: f529c489bf4a8921dfed80638ecda656
SHA1: bc2b4adc622cfec52b424f3fe5fc48cbc5c270ad
------------------------------------------------------------------------------------------
Complete scanning result of "winlogon.exe", received in VirusTotal at 11.26.2006, 18:25:11 (CET).

Antivirus Version Update Result
AntiVir 7.2.0.46 11.26.2006 no virus found
Authentium 4.93.8 11.24.2006 no virus found
Avast 4.7.892.0 11.23.2006 no virus found
AVG 386 11.26.2006 no virus found
BitDefender 7.2 11.26.2006 no virus found
CAT-QuickHeal 8.00 11.25.2006 no virus found
ClamAV devel-20060426 11.25.2006 no virus found
DrWeb 4.33 11.26.2006 no virus found
eSafe 7.0.14.0 11.26.2006 no virus found
eTrust-InoculateIT 23.73.67 11.25.2006 no virus found
eTrust-Vet 30.3.3211 11.24.2006 no virus found
Ewido 4.0 11.26.2006 no virus found
Fortinet 2.82.0.0 11.26.2006 no virus found
F-Prot 3.16f 11.24.2006 no virus found
F-Prot4 4.2.1.29 11.24.2006 no virus found
Ikarus 0.2.65.0 11.24.2006 no virus found
Kaspersky 4.0.2.24 11.26.2006 no virus found
McAfee 4904 11.24.2006 no virus found
Microsoft 1.1804 11.26.2006 no virus found
NOD32v2 1882 11.24.2006 no virus found
Norman 5.80.02 11.24.2006 no virus found
Panda 9.0.0.4 11.26.2006 no virus found
Prevx1 V2 11.26.2006 no virus found
Sophos 4.11.0 11.16.2006 no virus found
TheHacker 6.0.3.123 11.23.2006 no virus found
UNA 1.83 11.24.2006 no virus found
VBA32 3.11.1 11.25.2006 no virus found
VirusBuster 4.3.15:9 11.26.2006 no virus found

Aditional Information
File size: 507392 bytes
MD5: 2b6a0baf33a9918f09442d873848ff72
SHA1: e94549181cc6cdf9f5373e86c857049b73baee66
-------------------------------------------------------------------------------------------

was kann man daraus erkennen? und was kann ich eigentlich im HijackThis alles fixen? was is dortdrin schrott?

Ist ein Fehlalarm bei dir, deine Dateien sind sauber.
Ich hab von diesen beiden Dateien von meiner WindowsXP-CD (mit SP2) die md5-Checksumme berechnen lassen; beide Summen stimmen mit denen von deinen Dateien überein.

Zitat:

# MD5 checksums generated by MD5summer (http://www.md5summer.org)
# Generated 26.11.2006 18:37:49

f529c489bf4a8921dfed80638ecda656 *smss.exe
2b6a0baf33a9918f09442d873848ff72 *winlogon.exe

ich danke dir!!! beruhgit mich, ich glaub ich werd eher das programm mit den fehlalarmen? runterschmeißen, kriegt man ja nen koller wenn man das liest...

wollt nur noch kurz die meinung wegen dateinen im HijackThis fixen wissen, was getrost schrott is... kenn mich ja da nich aus.