Hallo,

seit gestern habe ich diese WINNT32.EXE in meinem Taskmanager und kann nichts damit anfangen.

Könntet ihr euch bitte meine Log Fiele mal ansehen!

Gruß Daniel



Logfile of HijackThis v1.99.0
Scan saved at 12:35:02, on 19.01.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
G:\WINDOWS\System32\smss.exe
G:\WINDOWS\system32\winlogon.exe
G:\WINDOWS\system32\services.exe
G:\WINDOWS\system32\lsass.exe
G:\WINDOWS\system32\Ati2evxx.exe
G:\WINDOWS\system32\svchost.exe
G:\WINDOWS\System32\svchost.exe
G:\WINDOWS\system32\spoolsv.exe
G:\WINDOWS\system32\Ati2evxx.exe
G:\WINDOWS\Explorer.EXE
G:\WINDOWS\system32\rundll32.exe
G:\Programme\Netropa\One-touch Multimedia Keyboard\MMKeybd.exe
G:\Programme\Microsoft IntelliPoint\point32.exe
G:\Programme\ATI Technologies\ATI.ACE\cli.exe
G:\WINDOWS\system32\WINNT32.EXE
G:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
G:\Programme\AVPersonal\AVGNT.EXE
G:\Programme\ATI Technologies\ATI.ACE\CLI.exe
G:\Programme\Netropa\One-touch Multimedia Keyboard\KEYBDMGR.EXE
G:\PROGRA~1\Netropa\Onscre~1\OSD.exe
G:\Programme\AVPersonal\AVGUARD.EXE
G:\Programme\AVPersonal\AVWUPSRV.EXE
G:\WINDOWS\System32\cisvc.exe
G:\Programme\Analog Devices\SoundMAX\SMAgent.exe
G:\Programme\Netropa\One-touch Multimedia Keyboard\MMUSBKB2.EXE
G:\WINDOWS\System32\svchost.exe
G:\WINDOWS\system32\cidaemon.exe
G:\Programme\WinRAR\WinRAR.exe
G:\DOKUME~1\Daniel\LOKALE~1\Temp\Rar$EX00.766\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - G:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [Keyboard Manager] G:\Programme\Netropa\One-touch Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [IntelliPoint] "G:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [ATICCC] "G:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [AVGCtrl] G:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Winsock2 drivers] WINNT32.EXE
O4 - HKCU\..\RunOnce: [Winsock2 drivers] WINNT32.EXE
O4 - Global Startup: ATI CATALYST System Tray.lnk = G:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://G:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - G:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - G:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: G:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {4E330863-6A11-11D0-BFD8-006097237877} (InstallFromTheWeb ActiveX Control) - http://tw.msi.com.tw/autobios/client/iftwclix.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1101408932575
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - https://www.gamespyid.com/alaunch.cab
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - G:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - G:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - G:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - G:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: hpdj - Unknown - G:\DOKUME~1\Daniel\LOKALE~1\Temp\hpdj.exe (file missing)
O23 - Service: iPod Service - Apple Computer, Inc. - G:\Programme\iPod\bin\iPodService.exe
O23 - Service: SoundMAX Agent Service - Analog Devices, Inc. - G:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: TuneUp WinStyler Theme Service - TuneUp Software GmbH - G:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe

Hi, Daniel,
ich sehe nirgends Kazaa, obwohl Du Dir den da mehrfach aktiv auf dein System geholt hast.
Bei Backdoor-Trojanern empfehle ich grundsätzlich System neu aufsetzen, weil Du bei einem kompromittierten Rechner nichtg weißt, was der Troj bereits gemacht hat, bzw. wozu er von jemand anderem benutzt wurde.
Sorry, das war mein Rat.
cacatoa

Wenn es keine andere Möglichkeit gibt muss ich das wohl so hinnehmen!

Und das auf dem Firmenrechner!

Sorry Daniel,
gerade beim Firmenrechner, wo oftmals sensible DAten drauf sind, heißt es doppelt vorsichtig sein.
Beachte Lutz´ Tipps zur Datensicherung
cacatoa

Ist zwar ärgerlich, aber man sollte halt nicht mit Kazaa Arbeiten.
Bin ich selber schuld.

Aber was anderes ich benutze ja Antivir, und das hat wohl versagt oder?

Welches Vieren Programm nutzt du denn??

Also zu dem Thema gibt´s im Forum jede Menge Infos (Suchen-Funktion).
Antivir ist gut, aber wie alle anderen erkennt er auch nicht alles. Zum Trojanerschutz kannst Du dir ja mal die Testversion von Ewido mit runterladen. Ich hab die Vollversion und find sie gut. Aber der beste Schutz überhaupt ist brain 1.0
cacatoa