Trojaner-Board - Mal meine Logfile! WINNT32.EXE

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Mal meine Logfile! WINNT32.EXE (https://www.trojaner-board.de/12407-mal-logfile-winnt32-exe.html)

Mal meine Logfile! WINNT32.EXE

Hallo,

seit gestern habe ich diese WINNT32.EXE in meinem Taskmanager und kann nichts damit anfangen.

Könntet ihr euch bitte meine Log Fiele mal ansehen!

Gruß Daniel

Logfile of HijackThis v1.99.0
Scan saved at 12:35:02, on 19.01.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
G:\WINDOWS\System32\smss.exe
G:\WINDOWS\system32\winlogon.exe
G:\WINDOWS\system32\services.exe
G:\WINDOWS\system32\lsass.exe
G:\WINDOWS\system32\Ati2evxx.exe
G:\WINDOWS\system32\svchost.exe
G:\WINDOWS\System32\svchost.exe
G:\WINDOWS\system32\spoolsv.exe
G:\WINDOWS\system32\Ati2evxx.exe
G:\WINDOWS\Explorer.EXE
G:\WINDOWS\system32\rundll32.exe
G:\Programme\Netropa\One-touch Multimedia Keyboard\MMKeybd.exe
G:\Programme\Microsoft IntelliPoint\point32.exe
G:\Programme\ATI Technologies\ATI.ACE\cli.exe
G:\WINDOWS\system32\WINNT32.EXE
G:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
G:\Programme\AVPersonal\AVGNT.EXE
G:\Programme\ATI Technologies\ATI.ACE\CLI.exe
G:\Programme\Netropa\One-touch Multimedia Keyboard\KEYBDMGR.EXE
G:\PROGRA~1\Netropa\Onscre~1\OSD.exe
G:\Programme\AVPersonal\AVGUARD.EXE
G:\Programme\AVPersonal\AVWUPSRV.EXE
G:\WINDOWS\System32\cisvc.exe
G:\Programme\Analog Devices\SoundMAX\SMAgent.exe
G:\Programme\Netropa\One-touch Multimedia Keyboard\MMUSBKB2.EXE
G:\WINDOWS\System32\svchost.exe
G:\WINDOWS\system32\cidaemon.exe
G:\Programme\WinRAR\WinRAR.exe
G:\DOKUME~1\Daniel\LOKALE~1\Temp\Rar$EX00.766\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - G:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [Keyboard Manager] G:\Programme\Netropa\One-touch Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [IntelliPoint] "G:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [ATICCC] "G:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [AVGCtrl] G:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Winsock2 drivers] WINNT32.EXE
O4 - HKCU\..\RunOnce: [Winsock2 drivers] WINNT32.EXE
O4 - Global Startup: ATI CATALYST System Tray.lnk = G:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://G:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - G:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - G:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: G:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {4E330863-6A11-11D0-BFD8-006097237877} (InstallFromTheWeb ActiveX Control) - http://tw.msi.com.tw/autobios/client/iftwclix.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1101408932575
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - https://www.gamespyid.com/alaunch.cab
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - G:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - G:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - G:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - G:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: hpdj - Unknown - G:\DOKUME~1\Daniel\LOKALE~1\Temp\hpdj.exe (file missing)
O23 - Service: iPod Service - Apple Computer, Inc. - G:\Programme\iPod\bin\iPodService.exe
O23 - Service: SoundMAX Agent Service - Analog Devices, Inc. - G:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: TuneUp WinStyler Theme Service - TuneUp Software GmbH - G:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe

Hi, Daniel,
ich sehe nirgends Kazaa, obwohl Du Dir den da mehrfach aktiv auf dein System geholt hast.
Bei Backdoor-Trojanern empfehle ich grundsätzlich System neu aufsetzen, weil Du bei einem kompromittierten Rechner nichtg weißt, was der Troj bereits gemacht hat, bzw. wozu er von jemand anderem benutzt wurde.
Sorry, das war mein Rat.
cacatoa

Wenn es keine andere Möglichkeit gibt muss ich das wohl so hinnehmen!

Und das auf dem Firmenrechner!

Sorry Daniel,
gerade beim Firmenrechner, wo oftmals sensible DAten drauf sind, heißt es doppelt vorsichtig sein.
Beachte Lutz´ Tipps zur Datensicherung
cacatoa

Ist zwar ärgerlich, aber man sollte halt nicht mit Kazaa Arbeiten.
Bin ich selber schuld.

Aber was anderes ich benutze ja Antivir, und das hat wohl versagt oder?

Welches Vieren Programm nutzt du denn??

Also zu dem Thema gibt´s im Forum jede Menge Infos (Suchen-Funktion).
Antivir ist gut, aber wie alle anderen erkennt er auch nicht alles. Zum Trojanerschutz kannst Du dir ja mal die Testversion von Ewido mit runterladen. Ich hab die Vollversion und find sie gut. Aber der beste Schutz überhaupt ist brain 1.0 ;)
cacatoa

Hmm, Firmenrechner?!, ich peil das nicht.
LG, Charlie

Bin gerade dabei alles vorzubereiten für die Neuaufsetzung meines Systems.

Das mit Brain 1.0 werde ich mir zuherzen nehmen und mir zukünftig mal Ewido anschauen.

Danke noch mal cacatoa für deine schnelle Hilfe.

Gruß Daniel

Ich weiß ja, man sollte mit dem Firmenrechner nicht ins Internet gehen!

Hi, warte mal bis gleich.

Zitat:

Zitat von charlie1

Hi, warte mal bis gleich.

Ja mache ich!

Hi, du bist jetzt nicht im LAN?, wenn ja, dann den PC vom LAN trennen.
Und Cacatoa wird dir gleich antworten.
LG, Charlie

Doch bin im Lan wieso???

Warum soll ich trennen! Und wann wider anschalten!

:confused: :confused:

Hi, Daniel ich zitiere charlie, der im übrigen unter den von ihm genannten Voraussetzungen recht hat:

Zitat:

IRC abschalten, dann ist gleich zu gleich wirkungslos, mit HJT fixen, escan und Ewido drüber und fertig ist, da bleibt nichts übrig.

Fixe folgendes mit HJT im abgesicherten Modus bei deaktivierter Systemwiederherstellung:
G:\WINDOWS\system32\WINNT32.EXE
O4 - HKLM\..\Run: [Winsock2 drivers] WINNT32.EXE
O4 - HKCU\..\RunOnce: [Winsock2 drivers] WINNT32.EXE
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - https://www.gamespyid.com/alaunch.cab
O23 - Service: hpdj - Unknown - G:\DOKUME~1\Daniel\LOKALE~1\Temp\hpdj.exe (file missing)

Dann folgende Dateien manuell löschen:
G:\WINDOWS\system32\WINNT32.EXE
G:\DOKUME~1\Daniel\LOKALE~1\Temp\hpdj.exe
Dann neu booten.
Lade Dir eScan runter (beachte die anleitung) und lass es im abgesicherten Modus laufen. (Dauer ca. 1 Stunde) Berichte dann über das Ergebnis (Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.)
Dann schaun wir mal.
cacatoa

Hi D. bist du im LAN von deiner Firma, dann mache gar nischt, denn das bringt nur Ärger, wenn zu Haus, helfe ich dir weiter.
LG, Charlie

Mach, dass bitte was Cacatoa sagt, die/der kann das, aber nur wenn es wirklich dein LAN ist, falls es das Firmen-LAN ist, bitte Finger weg, und das für alle!!!
Dafür haben die Leute, die dafür bezahlt werden und es liegt nicht in unsere Kompitenz oder wie das auch immer geschrieben wird.
Liebe Grüße, Charlie

Hallo!

Keine Panik ich bin die Firma!

Habe mal ein bisschen gescannt und dabei kam das raus:

Wed Jan 19 17:47:36 2005 => Total Files Scanned: 127915
Wed Jan 19 17:47:36 2005 => Total Virus(es) Found: 516
Wed Jan 19 17:47:36 2005 => Total Disinfected Files: 0
Wed Jan 19 17:47:36 2005 => Total Files Renamed: 0
Wed Jan 19 17:47:36 2005 => Total Deleted Files: 0
Wed Jan 19 17:47:36 2005 => Total Errors: 9
Wed Jan 19 17:47:36 2005 => Time Elapsed: 02:23:53
Wed Jan 19 17:47:36 2005 => Virus Database Date: 2005/01/18
Wed Jan 19 17:47:36 2005 => Virus Database Count: 115866

Wed Jan 19 17:47:36 2005 => Scan Completed.

516 Viren :koch: :eek:

So und jetzt seit ihr dran was nun??

Hi, Daniel,
ich könnte Dir jetzt raten, das eScan Log rüberzuposten (Interessant wär´s schon), aber bist Du nach diesem Ergebnis nicht auch der Ansicht vom ollen cacatoa, daß Neu aufsetzen das beste wäre?
Ich wette, da ist mindestens ein backdoor dabei. Poste doch mal ein paar Namen aus dem eScan-Log (Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen)

Hallo,

ich Denke das werde ich auch machen.

Habe noch mal Ewido drüber laufen lassen und wieder 53 Sachen gefunden.
Viele hier von: Backdoor.SdBot.

Ich mache dir auf jeden fall den gefallen und ziehe mal ein paar Sachen raus,
aber hier öffentlich Posten werde ich die nicht. Wenn du verstehst...
(PM die nächsten Tage...)

Werde mir die Tage mal euer tolles Forum in ruhe anschauen und mir was aussuchen an Programmen. Kann die Sachen ja dann mal Posten.

Gruß Daniel

Natürlich, in solchem Falle „Frühjahrsputz“.
Spart Zeit und Nerven.
Liebe Grüße, Charlie