Trojan.Win.32.Patched.i in Winlogon.exe gefunden

Svensen

Hallo zusammen,
mein PC hat sich letztens mit einem Bluescreen verabschiedet als ich online war.
Er hat sich einmal komplett heruntergefahren und sich wieder neu gestartet.
Die Fehlermeldung konnte ich leider nicht lesen da diese zu schnell weg war.

Ich habe danach Norton Anti Virus,Ad-Aware und Spybot durchlaufen lassen.
Norton hat nichts verdächtiges gefunden, Ad-Aware in paar Cookies die ich gelöscht habe.
Spybot dagegen hat sich etwas komisch verhalten, er war schon nach ca. 10 Sek. mit dem Scan fertig ohne ein Ergbenis - er hat nix gefunden.

Habe dann noch zusätzlich mit A-Squared / AshampooAntiSpyware und Antivir meinen PC gescannt.
A-Squared und Ashampoo haben in der Winlogon.exe den Trojaner Trojan.Win.32.Patched.i festgestellt.
Habe den erstmal in Quarantäne genommen.
Antivir hat nix gefunden ausser 3 Warnungen.

Habe auch immer schön die LogFiles gespeichert.

Auf der A-Squared Seite im Forum stand das es sich um ein False Positive handeln könnte.
Aber warum wurde er dann auch von Ashampoo gefunden?

Hier einmal die LogFile von A-Squared:
-----------------------------------------------
a-squared Free - Version 2.1

Scan Einstellungen:

Objekte: Speicher, Traces, Cookies, C:\, D:\
Archiv Scan: An
Heuristik: An
ADS Scan: An

Scan Beginn: 17.01.2007 21:18:05

C:\WINDOWS\system32\winlogon.exe gefunden: Trojan.Win32.Patched.i

Gescannt

Dateien: 123880
Traces: 94195
Cookies: 263
Prozesse: 61

Gefunden

Dateien: 1
Traces: 0
Cookies: 0
Prozesse: 0
Registry Keys: 0

Scan Ende: 17.01.2007 22:19:46
Scan Zeit: 01:01:41

-----------------------------------------------

Und hier der von Antivir.
Mir machen irgendwie die 3 Dateien Sorge die nicht geöffnet werden konnten

-----------------------------------------------------------------------

AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Mittwoch, 17. Januar 2007 20:16

Es wird nach 637647 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Benutzername: ####
Computername: #######

Versionsinformationen:
BUILD.DAT : 217 12749 Bytes 05.12.2006 16:57:00
AVSCAN.EXE : 7.0.3.5 208936 Bytes 17.01.2007 19:09:12
AVSCAN.DLL : 7.0.3.0 35880 Bytes 26.10.2006 19:54:37
LUKE.DLL : 7.0.3.2 143400 Bytes 31.10.2006 16:07:43
LUKERES.DLL : 7.0.2.0 9256 Bytes 19.10.2006 08:27:59
ANTIVIR0.VDF : 6.35.0.1 7371264 Bytes 31.05.2006 08:15:44
ANTIVIR1.VDF : 6.37.0.153 3131392 Bytes 12.01.2007 19:09:13
ANTIVIR2.VDF : 6.37.0.183 128000 Bytes 17.01.2007 19:09:13
ANTIVIR3.VDF : 6.37.0.184 2048 Bytes 17.01.2007 19:09:13
AVEWIN32.DLL : 7.3.0.21 1999360 Bytes 17.01.2007 19:09:14
AVPREF.DLL : 7.0.2.0 23592 Bytes 03.11.2006 09:56:47
AVREP.DLL : 6.37.0.119 1052712 Bytes 17.01.2007 19:09:13
AVRPBASE.DLL : 7.0.0.0 2162728 Bytes 30.03.2006 08:43:10
AVPACK32.DLL : 7.2.0.5 368680 Bytes 23.10.2006 15:21:31
AVREG.DLL : 7.0.1.2 30760 Bytes 17.01.2007 19:09:12
NETNT.DLL : Keine Information!
RCIMAGE.DLL : 7.0.1.3 2097192 Bytes 08.11.2006 12:26:22
RCTEXT.DLL : 7.0.12.0 77864 Bytes 22.11.2006 13:17:43

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Lokale Laufwerke
Konfigurationsdatei..............: C:\Programme\AntiVir PersonalEdition Classic\alldrives.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: aus
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: F:,
Durchsuche Speicher..............: ein
Durchsuche Laufende Programme....: ein
Durchsuche Registrierung.........: ein
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel
Erweiterte Sucheinstellungen.....: 0x00007000

Beginn des Suchlaufs: Mittwoch, 17. Januar 2007 20:16

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'msmsgs.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'ehmsas.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'NSCSRVCE.EXE' - '1' Module wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'VzFw.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'VzCdbSvc.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'mcrdsvc.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'VCSW.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'VESMgr.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'RegSrvc.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'NAVAPSVC.EXE' - '1' Module wurden durchsucht
Durchsuche Prozess 'sqlservr.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'ehSched.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'AluSchedulerSvc.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'PhotoshopElementsFileAgent.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'TosBtHSP.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'TosBtHid.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'TosA2dp.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'TosBtMng.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'TeaTimer.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'SSAAD.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'ToADiMon.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'ico.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'acrotray.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'CCAPP.EXE' - '1' Module wurden durchsucht
Durchsuche Prozess 'ApntEx.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'Switcher.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'ISBMgr.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'SPMgr.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'VCUServe.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'ehtray.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'Apoint.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'symlcsvc.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'SPBBCSvc.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'SNDSrvc.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'CCPROXY.EXE' - '1' Module wurden durchsucht
Durchsuche Prozess 'CCEVTMGR.EXE' - '1' Module wurden durchsucht
Durchsuche Prozess 'CCSETMGR.EXE' - '1' Module wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'S24EvMon.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'EvtEng.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Module wurden durchsucht
Es wurden '64' Prozesse mit '64' Modulen durchsucht

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[HINWEIS] Im Laufwerk 'E:\' ist kein Datenträger eingelegt!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( 29 Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <VAIO>
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcrst.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'D:\' <VAIO>
Beginne mit der Suche in 'E:\'
Der zu durchsuchende Pfad E:\ konnte nicht gefunden werden!
Das Gerät ist nicht bereit.

Beginne mit der Suche in 'F:\'
Der zu durchsuchende Pfad F:\ konnte nicht gefunden werden!
Das Gerät ist nicht bereit.



Ende des Suchlaufs: Mittwoch, 17. Januar 2007 21:10
Benötigte Zeit: 53:33 min

Der Suchlauf wurde vollständig durchgeführt.

6600 Verzeichnisse wurden überprüft
264901 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
3 Dateien konnten nicht durchsucht werden
264901 Dateien ohne Befall
8609 Archive wurden durchsucht
3 Warnungen
10 Hinweise


----------------------------------------------------------

Ich hoffe Ihr könnt mir bei meinem Problem weiterhelfen.
Ich habe hier im Forum über Hijack This gelesen. Werde davon auch noch einen Log posten.

Vielen Dank vorab schon einmal für eure Hilfe.
Grüsse
Svensen