jkiw.exe in Windows/system32

toller_hecht · 25.12.2004, 12:56

Hallo Trojaner-Jäger,

habe gestern das log-Programm unter hijackthis.de laufen lassen, weil sich der Taskmanager immer wieder geschlossen hat.
Nach "kill process" des Prozesses jkiw läuft wieder alles in ordnung und lässt sich mit dem Programm auch fixen. Leider taucht das gleiche auch unter den anderen Usern auf dem PC auf. Habe nun alle mit dem Programm behandelt.

Virenscanner Antivir und auch der Kaspersky finden nix.
In der windows/system32 befindet sich nach Ausbruch die Datei "jkiw.exe".

Wer weiß, um was es sich hierbei handelt? Was kann ich tun, damit das Programm nicht wieder auftritt?

Many thanx and a happy christmas!

Markus

Anbei der Logfile (jkiw sind gehighlitet):

Logfile of HijackThis v1.99.0
Scan saved at 12:03:05, on 25.12.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\PackethSvc.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpm.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\jkiw.exe
F:\Programme\Adobe\Distillr\AcroTray.exe
C:\Programme\FRITZ\IWatch.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Dokumente und Einstellungen\Markus\Eigene Dateien\Markus Downloads\Antivir\hijackthis_199\Prüfung.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.de/
O2 - BHO: Google Desktop Search Capture - {7c1ce531-09e9-4fc5-9803-1c2956615786} - C:\Programme\Google\Google Desktop Search\GoogleDesktopIE.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\windows\downloaded program files\GoogleToolbar_de_1.1.62-deleon.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVPCC] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe" /wait
O4 - HKLM\..\Run: [Daemons Updates Services] jkiw.exe
O4 - HKLM\..\RunServices: [RunAlert] C:\Programme\MSI\PC Alert III\AService.exe
O4 - HKLM\..\RunServices: [Daemons Updates Services] jkiw.exe
O4 - HKCU\..\Run: [NvCplScan] msc32.exe
O4 - HKCU\..\Run: [Daemons Updates Services] jkiw.exe
O4 - HKCU\..\RunServices: [Daemons Updates Services] jkiw.exe
O4 - Global Startup: Acrobat Assistant.lnk = F:\Programme\Adobe\Distillr\AcroTray.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ\IWatch.exe
O9 - Extra button: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - F:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - F:\Programme\ICQ\ICQ.exe
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\EROProj.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1103882922218
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} (Google Activate) - http://toolbar.google.com/data/de/de.../GoogleNav.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{38B3D93B-FCF4-42D1-90F2-444814356C49}: NameServer = 192.168.120.252,192.168.120.253
O23 - Service: AVP Control Centre Service - Kaspersky Labs. - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Bluetooth Service - Unknown - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: AVM FRITZ!web Routing Service - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: KAV Monitor Service - Kaspersky Labs. - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpm.exe
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Virtual NIC Service - America Online, Inc. - C:\WINDOWS\System32\PackethSvc.exe
O23 - Service: Sony SPTI Service - Sony Corporation - C:\PROGRA~1\GEMEIN~1\SONYSH~1\AVLib\Sptisrv.exe
O23 - Service: WAN Miniport (ATW) Service - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

Haui45 · 25.12.2004, 13:04

Dabei dürfte es sich mit ziemlicher Sicherheit um eine RBot-Variante handeln (-> http://www.sophos.de/virusinfo/analyses/w32rbotrj.html "Erweitert" beachten)
Falls das so ist, wovon ich ausgehe, kann ich dir nur raten dein Systen neu aufzusetzen (-> http://www.trojaner-board.de/showpos...28&postcount=2).
Das Kaspersky nichts findet glaube ich nicht!

chaosman · 25.12.2004, 13:05

@toller_hecht
dieser ist im system kuckst du hier
du findest es hier
O4 - HKCU\..\Run: [NvCplScan] msc32.exe
du hast ein jungfräuliches system, marke scheunentor
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
dieser backdoor reicht aus um dir dies zu empfehlen
sry
chaosman

jkiw.exe in Windows/system32

Log-Analyse und Auswertung: jkiw.exe in Windows/system32