Hallo zusammen

Mein BitDefender meckert seit heute mit folgendem:
C:\WINDOWS\system32\=>:logon_.exe Verdächtig BehavesLike:Win32.ProcessHijack

Da ich nun den verdacht auf einen Virus oder Trojaner hab, hab ich mal ein HiJackThis Log-File gemacht und bitte nun um Auswertung.
Ich danke auch jetzt schon für die Mühe.

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:34:58, on 31.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Ashampoo\Ashampoo Magical Defrag 2\bin\aDefragService.exe
C:\WINDOWS\system32\cisvc.exe
C:\Programme\Ashampoo\Ashampoo Magical Defrag 2\bin\defragActivityMonitor.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\WINDOWS\System32\nvraidservice.exe
C:\WINDOWS\system32\PuXpMan2.exe
C:\PROGRA~1\Bluewin\QUICKH~1\SMARTB~1\MotiveSB.exe
C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
C:\Programme\Softwin\BitDefender10\bdagent.exe
C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe
C:\Programme\Ashampoo\Ashampoo Magical Defrag 2\bin\defragTaskBar.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Ashampoo\Ashampoo UnInstaller Platinum 2\UIWatcher.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Softwin\BitDefender10\vsserv.exe
C:\WINDOWS\System32\wbem\unsecapp.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\PROGRA~1\Softwin\BITDEF~1\bdlite.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Programme\Firefox\App\firefox\firefox.exe
C:\Programme\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w*w.bluewin.ch/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://home.sweetim.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SWEETIE - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - C:\PROGRA~1\MACROG~1\SWEETI~1\toolbar.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll
O4 - HKLM\..\Run: [PwrUpTweakMe] C:\WINDOWS\system32\PUXPTWKS.EXE /TWEAK
O4 - HKLM\..\Run: [NVRaidService] C:\WINDOWS\System32\nvraidservice.exe
O4 - HKLM\..\Run: [mspwr] C:\WINDOWS\system32\PuXpMan2.exe
O4 - HKLM\..\Run: [Motive SmartBridge] C:\PROGRA~1\Bluewin\QUICKH~1\SMARTB~1\MotiveSB.exe
O4 - HKLM\..\Run: [BDMCon] C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [BDAgent] "C:\Programme\Softwin\BitDefender10\bdagent.exe"
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [DefragTaskBar] "C:\Programme\Ashampoo\Ashampoo Magical Defrag 2\bin\defragTaskBar.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [UIWatcher] C:\Programme\Ashampoo\Ashampoo UnInstaller Platinum 2\UIWatcher.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [NeroHomeFirstStart] "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMFirstStart.exe" (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [NeroHomeFirstStart] "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMFirstStart.exe" (User 'Default user')
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - h**p://w*w.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://w*w.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1185098090156
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://w*w.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1193420064234
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O20 - Winlogon Notify: Antiwpa - C:\WINDOWS\SYSTEM32\antiwpa.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ashampoo Defrag Service (AshampooDefragService) - - C:\Programme\Ashampoo\Ashampoo Magical Defrag 2\bin\aDefragService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - SOFTWIN S.R.L. - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe
O23 - Service: NBService - Unknown owner - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe (file missing)
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - C:\Programme\Softwin\BitDefender10\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - SOFTWIN S.R.L - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe

--
End of file - 9477 bytes

Zitat:

C:\WINDOWS\system32\=>:logon_.exe Verdächtig BehavesLike:Win32.ProcessHijack

Das ist doch keine Pfadangabe!! Lautet der Pfad nun

C:\WINDOWS\system32\logon_.exe
oder
C:\WINDOWS\system32:logon_.exe

Beide Pfade sind möglich!

Leider weiss ich nicht welcher pfad es ist, ich hab beide geprüft aber jedesmal fand ich nix, gar nix.
Auch die Normale Suchfunktion bringt nichts, es ist als gäbe es die Datei gar nicht
Der BitDefender gibt allerdings immer noch dieselbe Meldung aus.
Versteckt Dateien kann ich sehen.(falls jemand denkt, dass ich das nicht eingestellt hätte)

Ist an dem Log nichts verdächtiges?

Dann poste doch einfach mal das was dir das Virenrateprogramm so anzeigt!

Ich weiss nicht ob es hilfreich ist, aber ich habe mal das Verzeichnis C:\WINDOWS\system32\ durchsuchen lassen,
doch es kam wieder nur die Meldung
C:\WINDOWS\system32\=>:logon_.exe Verdächtig BehavesLike:Win32.ProcessHijack

Hier noch der BitDefender Log:

Zitat:

Pfad : C:\WINDOWS\system32
Zusammenfassung:
C:\WINDOWS\system32\=>:logon_.exe Verdächtig BehavesLike:Win32.ProcessHijack

Geprüfte Dateien
C:\WINDOWS\system32\ OK
C:\WINDOWS\system32\=>:logon_ OK
C:\WINDOWS\system32\=>:logon_.exe Verdächtig BehavesLike:Win32.ProcessHijack
C:\WINDOWS\system32\$winnt$.inf OK
C:\WINDOWS\system32\1025\ OK
C:\WINDOWS\system32\1028\ OK
C:\WINDOWS\system32\1031\ OK
C:\WINDOWS\system32\1031\dwintl.dll OK
C:\WINDOWS\system32\1033\ OK
C:\WINDOWS\system32\1033\dwintl.dll OK
C:\WINDOWS\system32\1037\ OK
C:\WINDOWS\system32\1041\ OK
C:\WINDOWS\system32\1042\ OK
C:\WINDOWS\system32\1054\ OK
...
(musste rest wegen länge löschen, stand aber überall OK)

Tatsächlich. Der zeigt das doch mit dem Pfeil an, vermutlich meint der eine "versteckte" Datei im NTFS alternate datastream...sehr unschön keine Ahnung warum M$ das eingebaut hat in NTFS

Lad dir mal Blacklight und lass es durchlaufen.

Eben kam folgende Meldung vom BitDefender
Link

Blacklight ist noch am überprüfen, doch sobald es abgeschlossen ist werde ich den Log hier rein editieren.

Danke übrigens für die Mühe

Edit:
Hier:

Zitat:

02/01/08 17:01:07 [Info]: BlackLight Engine 1.0.67 initialized
02/01/08 17:01:07 [Info]: OS: 5.1 build 2600 (Service Pack 2)
02/01/08 17:01:09 [Note]: 7019 4
02/01/08 17:01:09 [Note]: 7005 0
02/01/08 17:01:12 [Note]: 7006 0
02/01/08 17:01:12 [Note]: 7011 1592
02/01/08 17:01:13 [Note]: 7026 0
02/01/08 17:01:13 [Note]: 7026 0
02/01/08 17:01:20 [Note]: FSRAW library version 1.7.1024
02/01/08 17:09:47 [Note]: 2000 1012
02/01/08 17:09:47 [Note]: 2000 1012
02/01/08 17:09:47 [Note]: 2000 1012
02/01/08 17:09:47 [Note]: 2000 1012
02/01/08 17:09:47 [Note]: 2000 1012
02/01/08 17:09:47 [Note]: 2000 1012
02/01/08 17:09:47 [Note]: 2000 1012
02/01/08 17:09:47 [Note]: 2000 1012
02/01/08 17:09:47 [Note]: 2000 1012
02/01/08 17:09:47 [Note]: 2000 1012
02/01/08 17:09:47 [Note]: 2000 1012
02/01/08 17:09:47 [Note]: 2000 1012
02/01/08 17:09:47 [Note]: 2000 1012
02/01/08 17:09:47 [Note]: 2000 1012
02/01/08 17:09:47 [Note]: 2000 1012
02/01/08 17:09:47 [Note]: 2000 1012
02/01/08 17:09:47 [Note]: 2000 1012
02/01/08 17:09:47 [Note]: 2000 1012
02/01/08 17:09:47 [Note]: 2000 1012
02/01/08 17:09:47 [Note]: 2000 1012
02/01/08 17:09:47 [Note]: 2000 1012
02/01/08 17:09:47 [Note]: 2000 1012
02/01/08 17:20:18 [Note]: 7007 0

Sorry wegen Doppelpost, aber ich konnte meinen letzten Beitrag nicht editieren.
Der Button ist verschwunden

Der Virus ist immer noch da, bei jedem Suchdurchgang kommt die gleiche Meldung wie im ersten Post hier.
Was soll ich tun?
Die Datei kann ich nicht löschen, da ich sie nicht zu sehen bekomme (weiss leider nicht wieso).

Ich habe den Eindruck Dir ist noch nicht klar warum du die Datei garnicht sehen kannst. Wie ich schon erwähnt habe versteckt sich das Teil offensichtlich in einem (versteckten) alternativen NTFS-Datastream, mit einfachen mitteln siehst du derart versteckte Objekte auch nicht.

Gefahr aus der Schattenwelt - heise Security
Alternate Data Streams - Wikipedia

Hier gibts dieverse ADS-Aufspürer.