Änderung an Winlogon-Datei erlauben?

H

hexe1

New member
Hallo,

ich bin nicht nur neu hier im Forum, sondern auch total grün hinter den Ohren was PCs betrifft.

Gestern taucht aus heiterm Himmel die Mitteilung auf, es soll irgendwas an der Datei "Winlogon" verändert werden. Ich habe das abgelehnt, weil ich noch nicht mal wusste was für ne Datei das ist. Habe jetzt nachgelesen, das es sich um eine Windows-Datei handelt. Habe ich jetzt einen Fehler gemacht, weil ich das nicht zugelassen habe? Und wenn ja, kann ich im Nachhinein das Ändern dieser Datei zulassen?

Ist es denn normal, das plötzlich ohne z.B Update von Windows ein Ändern dieser Datei versucht wird? Ich dachte immer, ich verändere Datein erst, wenn ich etwas installiere oder ähnliches. Ich habe mich, als die Meldung kam, auf meinem Benutzerkonto gerade angemeldet. Also gar nichts gemacht.

Es wäre schön, wenn ich einfache Antworten bekäme, da ich sonst nur Bahnhof verstehe. Und....bitte auf deutsch, in Englisch bin ich nämlich sowas von mies. :red:

Ich bedanke mich bei Euch
bis dann
hexe1
 
Normal ist diese Aenderung nicht. Es waere hilfreich, wenn du uns sagen koenntest, woher diese Meldung kam.
 
Hallo,

wie woher die Meldung kam? Es war der TeaTimer, der mich fragte, ob ich das Zulassen oder Verweigern will. Kann ich irgendwo sehen, wo die Meldung herkam?

Das steht in der Log-Datei (rechtsklick auf TeaTimer Symbol in der Taskleiste):
31.08.2007 16:34:52 Verweigert value "DefaultUserName" (new data: "Susi") geändert in Winlogon!

Die Meldung war halt plötzlich da.

Danke
hexe1
 
hexe1 said:
..., es soll irgendwas an der Datei "Winlogon" verändert werden. ...
Click to expand...

hexe1 said:
... geändert in Winlogon!
Click to expand...

Du schreibst zunächst, dass etwas AN der Datei Winlogon verändert werden soll.

In Deinem zweiten Posting hört sich das aber so an, als wenn eine Datei IN den Namen Winlogon umbenannt worden wäre.

Ich hatte mal einen Trojaner auf dem PC, der auch eine zweite Winlogon angelegt hat, die aber nur dem Namen nach identisch war und nichts mit der Windows-Datei zu tun hat.

Diese "nachgemachte" Datei befand sich auch nicht in dem üblichen Verzeichnis, in dem sich die "normale" Winlogon befindet und konnte nur im abgesicherten Modus gelöscht werden.

Laß Dein System doch mal nach "Winlogon" durchsuchen.
Diese Datei dürfte ja nur 1(!) mal vorkommen.

GANZ WICHTIG:
Du mußt aber ALLE Dateien und Ordner sichtbar machen, weil oftmals geänderte Dateien o.ä. als "versteckte" Dateien angelegt werden.

Viel Glück!

PS: ALLE Dateien machst Du unter
Windows Explorer => Extras => Ordneroptionen => Ansicht => Alle Dateien und Ordner anzeigen sichtbar!
 
Hallo,

ich habe nach der Winlogon Datei suchen lassen und ich hab tatsächlich 2 davon.

WINLOGON.EXE-32C57D49.pf C:Windows\Prefetch 37 KB Datei

winlogon C:windows\system32 496 KB Anwendung

Ich gehe davon aus, das die erste die falsche ist. Was mach ich jetzt den damit. Habe mein Antivirenprogramm durchlaufen lassen, das hat nix gefunden.

Danke
hexe1
 
Da wurde anscheinend versucht in dem Registrierungsschluessel HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
den Standardbenutzernamen in Susi zu aendern. Sowas sollte eigentlich nicht vorkommen, aber mir leuchtet gerade nicht ein, warum Malware das machen sollte, bzw welchen Vorteil man dadurch erlangen koennte.
 
Hallo,

ob sowas Malware macht, da hab ich keine Ahnung. Was mach ich denn jetzt mit den 2 Winglogons?

hexe1
 
sorry wenn ich mich einmische aber kann es sein da dort jemand in kleinen schritten versucht sich ein admin konto auf dem rechner anzulegen???? damit er volle kontrolle hat?
 
Bin für Deine Einmischung ja dankbar. Aber ist es den möglich, sich von Ausserhalb ein Adminkonto einzurichten. Ne, oder?
Und hier bei mir zuhause, ne, mein Freund und meine Tochter haben noch weniger Ahnung was mit dem Computer abgeht. Die wissen nicht mal, was vom Admin-Konto aus machen kann. Aber ich habe manchmal Schwierigkeiten, z.b bei Update vom Firefox auf den eingeschränkten Konten, kann es sein, das ichh selber irgendwie rumgespielt habe?

Dieser Eintrag in der Log-Datei ist insgesamt 3x vorhanden.

hexe1
 
Also im "system32"-Ordner ist die Winlogon.exe schon mal gut aufgehoben, denn da gehört sie auch hin.

Die "böse" Winlogon.exe wird meist im "system"-Ordner angelegt.

Die Datei im Prefetch-Ordner kannst Du bedenkenlos löschen. Diese hat nichts Böses im Sinn.
Der Prefetch-Ordner beinhaltet diese Dateien, damit häufig genutzte Anwendungen schneller starten sollen.
Die Datei wird jedoch dort auch wieder angelegt werden, also keine Sorge, wenn sie wieder auftaucht.

Aber damit haben wir immer noch keine Lösung für Dein Problem. :oops:

Und ich bin erst mal mit meinem Latein am Ende. :lip:

Sorry!
 
Moeglich ist einiges, aber nach Viren/Trojaner und co hoert sich das nicht an.

Erstelle vom Admin Konto aus bitte einmal ein Hijackthis Report und poste ihn:

Download: http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis.zip

Lade/entpacke HijackThis in einen extra Ordner, Benenne Hijackthis in HJT um, starte es und waehle
---> None of the above just start the program --> Scan -> Save log --> hijackthis.log - Save - es öffnet sich der Editor

nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
 
Also ich hab beide Datein durch VirusTotal auswerten lassen und dann ein Hijackthis erstellt und das in dem Forum, wo ich die Leutchen immer nerve :red: auswerten lassen. (An dieser Stelle ein Dank für deren Geduld :present:). Die meinten auch, da wär nix mit Virus und so.
Ich überlege jetzt ob, ich diese Datei lösche. Hab immer die totale Panik in dem Windows-Ordner irgendwas zu machen.

Aber ich bin ja schon mal zufrieden, wenn ich nicht von Trojanern überfallen wurde :bow:

Na, da hab ich doch noch was gefunden, was treffend is :FF:. Hat nix mit der Sache zu tun, sollte trotzdem mal gesagt werden. :D:

hexe1
 
Hab eben erst Deine Nachricht gelesen, und das ich net aus der Übung komme, hab ich das mit dem Hijackthis noch mal gemacht.

Logfile of HijackThis v1.99.1
Scan saved at 11:30:15, on 02.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\SiteAdvisor\6066\SAService.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\Programme\SiteAdvisor\6066\SiteAdv.exe
C:\Programme\QuickTime\QTTask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Lavasoft\Ad-Aware 2007\AAWTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ig
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Programme\SiteAdvisor\6066\SiteAdv.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Programme\SiteAdvisor\6066\SiteAdv.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [SiteAdvisor] C:\Programme\SiteAdvisor\6066\SiteAdv.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [AAWTray] C:\Programme\Lavasoft\Ad-Aware 2007\AAWTray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - Startup: Microsoft Office Outlook 2007 (2).lnk = ?
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/mic...ls/en/x86/client/muweb_site.cab?1182958806937
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: siteadvisor - {3A5DC592-7723-4EAA-9EE6-AF4222BCF879} - C:\Programme\SiteAdvisor\6066\SiteAdv.dll
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: SiteAdvisor Service - McAfee, Inc. - C:\Programme\SiteAdvisor\6066\SAService.exe

War doch erst zum dritten Mal und das is scho ne schwere Geburt für mich. Würd mich freuen, Deine Meinung zu hören.

Bis dann
hexe1
 
You must log in or register to reply here.
Back
Top