Virusbefall oder nicht?

Dieses Thema im Forum "Sicherheit" wurde erstellt von Troll78, 21. Februar 2006.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. Troll78

    Troll78 ROM

    Registriert seit:
    21. Februar 2006
    Beiträge:
    1
    Hallo zusammen!

    Bräuchte mal Rat...
    Hab seit gestern ein komplett frisches Windows2000 mit allen Updates und Servicepacks installiert. Aktuelle Anivir Version und Kerio beschützen mich.

    Dann ging es los...
    Kerio fehlermeldung:
    process \??\WINNT\system32\winlogon.exe injected dangerous code into C:\Programme\Internet Explorer\iexplore.exe (Code address: 0x7EDD0065)

    und:

    \??\WINNT\system32\winlogon.exe injected dangerous code into D:\Programme\FireFox\firefox.exe (Code address: 0x7FE40065)

    und zu guter Letzt:

    Springt die Eingabeaufforderung für den Bruchteil einer Sekunde auf, nichts steht drin, im selben Moment springt Kerio wieder an und meldet:

    NT-Befehlsprozessor versucht Internet Explorer auszuführen

    Bei den ersten Beiden Meldungen gab es keine Möglichkeit einzugreifen, bei der Dritten habe ich jedes Mal verweigert.
    Dann habe ich um zu sehen was passiert einmal zugelassen.
    Passiert ist gar nichts nur das der ieplore.exe im Taskmanager aufgetaucht ist, aber kein Fenster dazu. Hab das dann gleich wieder über den Taskmanager beendet und die Fehlermeldung kam zurück.

    Danach ist es mir zu bunt geworden und ich habe eine Regel erstellt die verhindert dass der iexplorer aufgerufen wird.

    Seitdem spingt dann und wann mal die Eingabeaufforderung auf:

    In der Titelleiste: C.\WINNT\system32\cmd.exe, der Rest wie immer leer und ne Sekunde später kommt eine Fehlermeldung von iexplore: Der Zugriff auf das angegebene Gerät, den Pfad oder die Datei wurde verweigert.

    Was kann das sein???
    Anivir, Adaware, Spybot alles ohne Befund...

    Hat jemand ne Idee was da im Busch sein könnte?

    mfg
    Till
     
  2. deoroller

    deoroller Wandelndes Forum

    Registriert seit:
    18. Juli 2000
    Beiträge:
    116.586
    Es ist nichts ungewöhnliches, wenn wichtige Betriebssystemfunktionen mit einer Desktopfirewall blockiert werden und dann nichts mehr richtig funktioniert.

    Du kannst ja mal die bemängelten Dateien bei http://virusscan.jotti.org/de/ hochladen und auswerten lassen, um zu sehen, ob da wirklich Malware drin versteckt worden ist.

    Beim Winlogon werden mehrere wichtige Systemprozesse ausgeführt.
    Welche da genau ausgeführt werden, kann man bei Spybot S&D unter Werkzeuge-Systemstart sehen.

    Weitere brauchbare Tools zum untersuchen des Systemstarts sind Autoruns von sysinternals.com oder das klassische HijackThis

    Ich gehe jetzt mal davon aus, dass die installierte Software aus vertrauenswürdigen Quellen stammt und keine Cracks und sonstige dubiose Software darunter ist. Denn dabei werden oft Schädlinge mitinstalliert. Irgendwie wollen sich die Cracker ja auch finanzieren.
     
  3. Nevok

    Nevok Ganzes Gigabyte

    Registriert seit:
    3. Oktober 2002
    Beiträge:
    12.196
    Ich hab das Thema mal ins Board "Viren, Trojanische Pferde & Co. :schieb:.
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen