Hallo,

Norton ANtivirus hat gerade bei mir gemeckert, dass C:\WINDOWS\System32\system32.exe ein "Trojan Horse" wäre. Ich bin immer davon ausgegangen, dass das zu Windows gehört und nicht gelöscht werden darf. Was soll ich nun tun?

Hallo daruler,

unter Windows gibt es das Verzeichnis "System32"... aber keine system32.exe. Das ist ein Virus, um genauer zu sein ein Wurm, der ziemlich gefährlich ist. Du findest hier einige Info dazu: W32/Mari , lies auch unter "Description".

Welches Betriebssystem hast Du denn? Win Me und XP: deaktiviere die Systemwiederherstellung C:\WINDOWS\System32\system32.exe in die Windows Suche übertragen -> löschen! Nach dem löschen die Systemwiederherstellung wieder aktivieren. Wenn Du ein anderes Betriebssystem hast, kannst Du die Datei einfach löschen.

Erstelle bitte ein Hijack This Logfile und poste es mittels copy&paste (kopieren STRG + C und einfügen STRG + V) : http://www.trojaner-board.de/51130-a...ijackthis.html

SD

Zitat:

Zitat von Shadowdance

Welches Betriebssystem hast Du denn? Win Me und XP: deaktiviere die Systemwiederherstellung C:\WINDOWS\System32\system32.exe in die Windows Suche übertragen -> löschen! Nach dem löschen die Systemwiederherstellung wieder aktivieren. Wenn Du ein anderes Betriebssystem hast, kannst Du die Datei einfach löschen.

Um die Systemwiederherstellung von der Malware zu befreien ist ein, bei deaktivierter Systemwiederherstellung, Neustart nötig.
Nachdem Neustart kann die Systemwiederherstellung, falls gewünscht, wieder aktiviert werden.

- björn

Hallo,

es gibt viel Malware die sich unter einen seriös klingenden Namen in den System32 Ordner ablegt. Meine Vermutung: Eine Bot Variante.

Als was wurde diese Datei identifiziert?

Hallo Cidre,

Du hast recht .. man sollte diesen Wurm zwar dringend und sofort löschen, aber das befallene Betriebssystem ist sehr wahrscheinlich kompromittiert. Ich habe da noch was dazu gefunden: Process File: system32.exe: "system32.exe is a process which is registered as the TROJ_SUA.A Trojan. This Trojan allows attackers to access your computer, stealing passwords and personal data. It is a registered security risk and should be removed immediately. Please see additional details regarding this process."

Schön, Dich hier an Board zu sehen @ Cidre .. --> Feier schön ;-)

SD

Hi @ SD,

Zitat:

Welches Betriebssystem hast Du denn?

Er/Sie hat Win XP, denn unter Win ME gibt es keinen system32 Ordner.

Zitat:

Zitat von Cidre

Er/Sie hat Win XP, denn unter Win ME gibt es keinen system32 Ordner.

thanks ... wieder was gelernt ;-)

SD

Zitat:

...Das ist ein Virus, um genauer zu sein ein Wurm, der ziemlich gefährlich ist. Du findest hier einige Info dazu: W32/Mari , lies auch unter "Description"...

Vorsicht!
Eine Google-Suche kann hilfreich sein, muss es aber nicht...
Nur weil es 'zufällig' eine Beschreibung im Web gibt, in der der 'passende' Prozessname auftaucht, muss es sich nicht automatisch um den in dieser 'Description' genannten Wurm/Virus/... handeln.

Zitat:

Als was wurde diese Datei identifiziert?

Imho hat NAV mittels Heuristik etwas gefunden, konnte es aber nicht genauer definieren und schreibt deswegen Trojan Horse.

Mein Vorschlag an daruler:

Überprüfe die Datei C:\WINDOWS\System32\system32.exe unter
http://www.kaspersky.com/de/scanforvirus.html und alternativ auch unter
http://virusscan.jotti.org/de

und teile uns das Scan-Ergebnis mit.

Bei einem 'positiven Befund' lösche die Datei manuell und/oder scanne Dein komplettes System mit NAV im abgesicherten Modus und folge den Anweisungen des Scanners. Je nachdem, wie Du die weitere Vorgehensweise bei Virenfunden in NAV eingestellt hast, wird NAV Dir vorschlagen, die Datei zu löschen oder in Quarantäne zu nehmen, wenn eine Desinfektion nicht möglich ist (wovon imho in diesem Fall auszugehen ist).

Ansonsten ein Frohes Fest!

Hallo,

danke erstmal für die zahlreichen Antworten.
Ich wollte heute wie vorgeschlagen die system32.exe auf den online-AntiVirSites checken, doch die datei war nicht mehr da!
NAV kann sie nicht gelöscht habe, da er irgendetwas von "gescheitert" geschrieben hat. Ausserdem heißt der Ordner, in der die Darei war, jetzt nicht System32, sondern system32.
Wirklich sehr eigenartig...

Hier ist mein HijackThis-Log:

Code: Alles auswählenAufklappen

ATTFilter

Logfile of HijackThis v1.99.0
Scan saved at 15:16:32, on 25.12.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
C:\Programme\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
C:\WINDOWS\System32\CTHELPER.EXE
C:\Programme\Winamp\Winampa.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\CloneCD\CloneCDTray.exe
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\WinTV\Ir.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\system32\cidaemon.exe
F:\[Saved Data]--[23.12.04]\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.yahoo.de/
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
O4 - HKLM\..\Run: [CTDVDDet] C:\Programme\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [AsioReg] REGSVR32.EXE /S CTASIO.DLL
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [system32] C:\WINDOWS\System32\system32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: AutoStart IR.lnk = C:\Programme\WinTV\Ir.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1103884917937
O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: EPSON Printer Status Agent2 - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
         

Ich habe auch versteckte Dateien anzeigen in Den Ordneroptionen eingestellt, aber irgendwie sehe ich nicht mehr die system32.exe...

Hi!

Ich hatte mir auch gerade dieses Pferdchen eingefangen, konnte es aber dank eurer Hilfe gleich wieder löschen - THX!

Ich wurde leider nur darauf aufmerksam, weil meine FW die system32.exe blocken wollte und weil msconfig nicht mehr ging!

Was mir etwas schleierhaft ist, warum findet mein Virescaner, einen seid 2004 exestierenden Trojaner nicht und warum auch nicht die Onlinedurchsuchung?

Ich benutze Avira AntiVir und zur Onlinedurchsuchung nutzte ich diese Adresse [http://www.virustotal.com/de/]

Früher nutze ich Norton, auf Grund des Resourcen-Verbrauchs und der Kosten schwenkte ich auf Avira. Ist man damit nur so zufrieden, weil man die meisten Angriff gar nicht erst bemerkt?!