"winlogon.exe" harmlos oder von Netsky eingeschleust?

#1 Hallo,

ich bekomme seit Wochen täglich infizierte Mails mit Anhängen, die "pif"-Dateien sind. Natürlich öffne ich diese Mails nicht. Trotzdem habe ich heute zur Überprüfung das BitDefender Removal tool heruntergelagden, um zu prüfen, ob sich Netzky nicht doch irgendwo einnisten konnte. Das Ergebnis war negativ. Da in der Beschreibung stand, daß Netsky im Systemverzeichnis eine Datei namens "winlogon.exe" anlegt, habe ich solch eine Datei mal über die Windows Suche suchen lassen. Und sie wurde dreimal (!) gefunden. Sie befindet sich im Ordner System 32 und sei eine Windows NT Anmeldung. (Ich habe aber xp). Gibt es auch harmlose Dateien diesen Names oder stimmt hier was nicht? Warum hat BigDefender den Wurm, wenn er sich denn doch hier verbirgt, nicht gefunden?
Kann mir einer einen Tipp geben, was ich machen soll?
Ich habe außerdem einen Guard von AntiVir installiert. Weiß einer, ob der als wirkungsvoll einzuschätzen ist?
Danke für einen Rat,

Goethe

#2 Bei mir treffen seit ca 1 Woche staendig diese eMails bei mir im Office ein und sind angeblich von meinen ChefChefChefs. Ganz richtig - nicht oeffnen und unbesehen loeschen. Die Dinger habe leider immer wieder andere Signaturen (Da gab's was bei Heise) und deshalb haben die VirusDetectionTools gewisse Probleme
__________
"Really, I'm not out to destroy Microsoft. That will just be a completely unintentional side effect." Linus Benedict Torvalds

#3 Hallo Goethe,

bei einem sauberen Windows XP-Home System kommt die Datei in "\Windows\System32" und in " \Windows\ServicePackFiles\i386" vor, sonst nirgends. Außer, Du hast Dir mal irgendwelche Software installiert, dann könnte es schon sein ....

Außerdem:

- wenn eine eMail nicht von jemandem kommt den man persönlich kennt,
- wenn eine eMail nicht von jemandem kommt von dem man eine eMail erwartet,
- wenn eine eMail nicht an Dich persönlich gerichtet ist,
- wenn eine eMail bestimmte (Teil-)Keywords entält (z.B. Viagra, fick, sex, girl, usw.)
- wenn eine eMail bestimmte URL-Teile enthält ....
usw. ... usw. ... usw. ....

dann sollten diese eMails von vornherein als Spam markiert, auf die schwarze Liste gesetzt und gelöscht werden. ==> Voraussetzung dafür ist natürlich ein entsprechendes Programm, wie z.B. MailWasher.

eMails von Freunden oder vertrauenswürdigen Personen kann man mittels der White-List da heraus halten. Aber auch solchen eMails darf man nicht einfach vertrauen sondern muß sie erst auf Unschädlickeit prüfen.

Cascade
__________
Der Pessimist sagt: "Schlimmer, als es jetzt ist, kann es nicht kommen." Der Optimist sagt: "Doch, es kann ..."
Ich bin sehr optimistisch, was die Zukunft angeht ...

#4 @ Cascade
Welche Software meinst Du, könnte eine Datei mit diesem Namen noch mitbringen ?
__________
Durchsuchen --> Aussuchen --> Untersuchen

#5 Danke, Cascade.
Es beruhigt mich, dass die Datei auch "normal" vorkommt. Neben den von Dir genannten Orten, gibt es bei mir noch einen dritten:Windows\NtservicePackUninstall (Beschreibung: Windows NT Anmeldung). Das ist dann wohl auch "normal". Ich installiere mir keine obskure Software, probiere höchstens mal einen neuen Virenscanner aus. Seit meinem Supergau im Januar bin ich sehr vorsichtig.
Danke nochmal.

Goethe

#6 @joschi:

.. nein, ich kann Dir keine Softwar nennen, die sich unter diesem Namen einnistet. Zunächst einmal schließe ich aber keine Möglichkeit aus ...

Es wird aber wahrscheinlich so sein, daß WindowsNT als zweites Betriebssystem auf der Platte existiert. Oder vielleicht ein Rest von früher, vor WindowsXP, der nicht gelöscht wurde.

Ansonsten darf winlogon.exe nur in windows\system32 vorkommen, wenn bisher kein Servicepack installiert wurde.

Cascade
__________
Der Pessimist sagt: "Schlimmer, als es jetzt ist, kann es nicht kommen." Der Optimist sagt: "Doch, es kann ..."
Ich bin sehr optimistisch, was die Zukunft angeht ...