Trojaner-Board - Virus oder Trojaner der sich als winamp ausgibt?

Hallo,

Vor kurzem wurde ich während des arbeitens durch meine Firewall gewarnt, das WINAMP.EXE eine Verbindung ins Internet erwünscht.
Das seltsame daran: Ich habe das System erst vor einigen Tagen neu aufgesetzt und Winamp gar nicht installiert. :dummguck:

Gibt es vielleicht einen Virus oder ähnliches der sich als winamp ausgibt?

-------

Logfile of HijackThis v1.99.1
Scan saved at 22:40:15, on 17.12.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Logitech\G-series Software\LGDCore.exe
C:\Programme\Logitech\G-series Software\LCDMon.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.EXE
C:\Programme\Java\jre1.5.0_09\bin\jusched.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Logitech\G-series Software\Applets\LCDMedia.exe
C:\Programme\Logitech\G-series Software\Applets\LCDClock.exe
C:\Programme\Schmads Inc\G15_TeamSpeak\G15_TeamSpeak.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Opera\Opera.exe
H:\-= Software =-\highjackthis\HijackThis.exe

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Outpost Firewall] C:\Programme\Agnitum\Outpost Firewall\outpost.exe /waitservice
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [Launch LCDMon] "C:\Programme\Logitech\G-series Software\LCDMon.exe"
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Winamp Agent] C:\WINDOWS\System32\winamp.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Browser-Anpassung - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Programme\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{3C02205C-FECC-44E7-917A-5B3E911D0211}: NameServer = 217.237.151.225,168.95.192.1
O20 - AppInit_DLLs: C:\PROGRA~1\Agnitum\OUTPOS~1\wl_hook.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe

------
Log-Datei der Firewall (Ausschnitt)

22:24:28 winamp.exe AUS ABGELEHNT TCP 64.250.197.11 10324 Aktivität für diese Anwendung blockieren WINAMP.EXE
22:24:28 winamp.exe AUS ABGELEHNT TCP 220.75.54.63 10324 Aktivität für diese Anwendung blockieren WINAMP.EXE
22:24:28 winamp.exe AUS ABGELEHNT TCP 200.38.210.24 10324 Aktivität für diese Anwendung blockieren WINAMP.EXE
22:24:28 winamp.exe AUS ABGELEHNT TCP 82.129.141.105 10324 Aktivität für diese Anwendung blockieren WINAMP.EXE
22:24:28 winamp.exe AUS ABGELEHNT TCP 139.30.204.135 10324 Aktivität für diese Anwendung blockieren WINAMP.EXE
22:24:28 winamp.exe AUS ABGELEHNT TCP 82.129.141.92 10324 Aktivität für diese Anwendung blockieren WINAMP.EXE
22:23:33 svchost.exe EIN ABGELEHNT TCP 80.145.236.225 3107 Blockiere Remote Procedure Call (TCP)
22:22:53 unbekannt EIN ABGELEHNT UDP 64.200.140.230 31216 Paket für einen geschlossenen Port
22:22:47 svchost.exe EIN ABGELEHNT TCP 80.145.202.159 9438 Blockiere Remote Procedure Call (TCP)
22:22:40 NETBIOS EIN ABGELEHNT TCP 80.143.231.8 46445 NetBIOS-Datenverkehr blockieren
22:21:31 svchost.exe EIN ABGELEHNT TCP 80.145.57.63 3372 Blockiere Remote Procedure Call (TCP)
22:20:15 opera.exe AUS ABGELEHNT TCP 194.84.231.215 HTTP Paket für einen geschlossenen Port
22:18:49 svchost.exe EIN ABGELEHNT TCP 80.145.91.109 1846 Blockiere Remote Procedure Call (TCP)
22:18:45 svchost.exe EIN ABGELEHNT TCP 80.145.87.160 4015 Blockiere Remote Procedure Call (TCP)
22:17:53 system EIN ABGELEHNT TCP 80.143.231.8 31059 NetBIOS-Datenverkehr blockieren
22:16:54 svchost.exe EIN ABGELEHNT TCP 80.145.230.198 4518 Blockiere Remote Procedure Call (TCP)
22:16:39 unbekannt EIN ABGELEHNT UDP 204.16.209.30 56053 Paket für einen geschlossenen Port
22:16:29 unbekannt EIN ABGELEHNT UDP 204.16.210.50 47243 Paket für einen geschlossenen Port
22:16:29 unbekannt EIN ABGELEHNT UDP 204.16.210.50 47243 Paket für einen geschlossenen Port
22:16:16 svchost.exe EIN ABGELEHNT TCP 80.144.248.21 27310 Blockiere Remote Procedure Call (TCP)
22:16:09 unbekannt EIN ABGELEHNT UDP 204.16.209.30 55909 Paket für einen geschlossenen Port
22:16:09 unbekannt EIN ABGELEHNT UDP 204.16.209.30 55909 Paket für einen geschlossenen Port
22:15:51 system EIN ABGELEHNT TCP 80.144.248.21 23766 NetBIOS-Datenverkehr blockieren
22:15:44 svchost.exe EIN ABGELEHNT TCP 80.145.213.84 3221 Blockiere Remote Procedure Call (TCP)
22:14:13 opera.exe AUS ABGELEHNT TCP status.icq.com HTTP Paket für einen geschlossenen Port
22:12:52 NETBIOS EIN ABGELEHNT TCP 80.145.76.145 3549 NetBIOS-Datenverkehr blockieren
22:12:10 svchost.exe EIN ABGELEHNT TCP 80.145.252.62 50293 Blockiere Remote Procedure Call (TCP)
22:11:51 svchost.exe EIN ABGELEHNT TCP 80.145.213.84 4207 Blockiere Remote Procedure Call (TCP)
22:11:13 unbekannt EIN ABGELEHNT UDP 216.84.32.87 31216 Paket für einen geschlossenen Port
22:10:28 winamp.exe AUS ABGELEHNT TCP 139.30.204.135 10324 Aktivität für diese Anwendung blockieren WINAMP.EXE
22:10:28 winamp.exe AUS ABGELEHNT TCP 82.129.141.105 10324 Aktivität für diese Anwendung blockieren WINAMP.EXE
22:10:28 winamp.exe AUS ABGELEHNT TCP 82.129.141.92 10324 Aktivität für diese Anwendung blockieren WINAMP.EXE
22:10:28 winamp.exe AUS ABGELEHNT TCP 64.250.197.11 10324 Aktivität für diese Anwendung blockieren WINAMP.EXE
22:10:28 winamp.exe AUS ABGELEHNT TCP 220.75.54.63 10324 Aktivität für diese Anwendung blockieren WINAMP.EXE
22:10:28 winamp.exe AUS ABGELEHNT TCP 200.38.210.24 10324 Aktivität für diese Anwendung blockieren WINAMP.EXE
22:09:30 svchost.exe EIN ABGELEHNT TCP 80.145.252.62 51688 Blockiere Remote Procedure Call (TCP)
22:09:26 NETBIOS EIN ABGELEHNT TCP 80.145.202.159 11165 NetBIOS-Datenverkehr blockieren
22:09:19 svchost.exe EIN ABGELEHNT TCP 80.145.87.160 3832 Blockiere Remote Procedure Call (TCP)
22:09:19 unbekannt EIN ABGELEHNT UDP 74.244.85.84 50725 Paket für einen geschlossenen Port
22:08:08 svchost.exe EIN ABGELEHNT TCP 80.145.57.63 2894 Blockiere Remote Procedure Call (TCP)
22:04:53 svchost.exe EIN ABGELEHNT TCP 80.145.206.90 3468 Blockiere Remote Procedure Call (TCP)
22:04:19 unbekannt EIN ABGELEHNT UDP 221.208.208.101 58112 Paket für einen geschlossenen Port
22:04:19 unbekannt EIN ABGELEHNT UDP 221.208.208.101 58112 Paket für einen geschlossenen Port
22:04:19 unbekannt EIN ABGELEHNT UDP 221.208.208.101 57666 Paket für einen geschlossenen Port
22:04:19 unbekannt EIN ABGELEHNT UDP 221.208.208.101 57664 Paket für einen geschlossenen Port
22:04:07 unbekannt EIN ABGELEHNT UDP 221.208.208.104 39644 Paket für einen geschlossenen Port
22:04:07 unbekannt EIN ABGELEHNT UDP 221.208.208.104 39644 Paket für einen geschlossenen Port
22:03:25 svchost.exe EIN ABGELEHNT TCP 80.145.229.200 1089 Blockiere Remote Procedure Call (TCP)
22:02:44 svchost.exe EIN ABGELEHNT TCP 80.145.236.61 39051 Blockiere Remote Procedure Call (TCP)
22:01:22 unbekannt EIN ABGELEHNT UDP 204.16.209.30 51359 Paket für einen geschlossenen Port
22:00:04 svchost.exe EIN ABGELEHNT TCP 80.145.87.160 3722 Blockiere Remote Procedure Call (TCP)
22:00:02 NETBIOS EIN ABGELEHNT TCP 80.145.236.61 18322 NetBIOS-Datenverkehr blockieren
21:59:32 svchost.exe EIN ABGELEHNT TCP 80.145.227.52 2775 Blockiere Remote Procedure Call (TCP)
21:59:24 unbekannt EIN ABGELEHNT TCP 80.135.221.92 2578 Paket für einen geschlossenen Port
21:59:02 svchost.exe EIN ABGELEHNT TCP 80.145.220.176 2534 Blockiere Remote Procedure Call (TCP)
21:57:45 NETBIOS EIN ABGELEHNT TCP 80.145.236.61 18483 NetBIOS-Datenverkehr blockieren
21:57:28 winamp.exe AUS ABGELEHNT TCP 139.30.204.135 10324 Aktivität für diese Anwendung blockieren WINAMP.EXE
21:57:28 winamp.exe AUS ABGELEHNT TCP 82.129.141.105 10324 Aktivität für diese Anwendung blockieren WINAMP.EXE
21:57:28 winamp.exe AUS ABGELEHNT TCP 82.129.141.92 10324 Aktivität für diese Anwendung blockieren WINAMP.EXE
21:57:28 winamp.exe AUS ABGELEHNT TCP 64.250.197.11 10324 Aktivität für diese Anwendung blockieren WINAMP.EXE
21:57:28 winamp.exe AUS ABGELEHNT TCP 220.75.54.63 10324 Aktivität für diese Anwendung blockieren WINAMP.EXE
21:57:28 winamp.exe AUS ABGELEHNT TCP 200.38.210.24 10324 Aktivität für diese Anwendung blockieren WINAMP.EXE

-----
Eine Datei namens "WINAMP.EXE-03EFD19E.pf" befindet sich im Verzeichnis c:\Windows\prefetch
In C:\Windows\system32 befindet sich eine winamp.exe mit Datum 29.08.2002, Größe: 54.209 Bytes. Die Datei ist schreibgeschützt und versteckt.

Achja, falls es wichtig sein sollte. Als Webbrowser und Email-Client benutze ich Opera 9.01.8552. Den MSIE habe ich in der Firewall komplett geblockt. XP2 ist (noch) nicht installiert.

Red