Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Wlntfs.exe im logfile gefunden - Vorgehensweise?

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 08.05.2005, 18:59   #1
Sternenschwester
 
Wlntfs.exe im logfile gefunden - Vorgehensweise? - Standard

Wlntfs.exe im logfile gefunden - Vorgehensweise?



Hallo,

nachdem ich sehr posotive Erfahrungen mit diesem Board und einem Uni-Rechner gemacht hab, meld ich mich mal von zu Hause.

Nachdem mein AntiVir heute diesen hier, Worm/RBot.99840 , auf meinem Rechner gefunden hat, dachte ich es wär mal wieder eine gute Idee hijackthis über mein System laufen zu lassen.
Ich habe mein logfile online ausgewertet und diesen Eintrag, mit dem ich nichts anfangen kann, gleich dreimal gefunden (...Wlnfts.exe).
Ich habe daraufhin gegoogelt und als ersten hit einen link zu diesem vortrefflichen Forun gefunden, worin gesagt wurde, dass es sich bei der Datei um Malware handelt.

Genügt es, wenn ich die drei Einträge fixe, oder sind weitere Maßnahmen notwenig?
Und hängt die von AntiVir gefundene Datei damit zusammen?

Ich hänge der Vollständigkeit halber noch mein log-file an:

Ich hoffe auch diesmal auf erfolgreiche Zusammenarbeit...

Logfile of HijackThis v1.99.1
Scan saved at 19:42:25, on 08.05.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOINTGR.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\ICQPlus\vplus.exe
C:\Programme\palm\hotsync.exe
C:\Programme\Zone Labs\ZoneAlarm\zapro.exe
D:\Programme\Corel\Graphics9\Register\Remind32.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\WinEdt\WinEdt.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\ICQ\Icq.exe
C:\Programme\Winamp\winamp.exe
D:\Programme\Corel\Graphics9\Programs\coreldrw.exe
C:\Dokumente und Einstellungen\Sternenschwester\Desktop\hijackthis1982\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINDOWS\SOINTGR.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NTFS MICROSOFT SYSTEM] Wlntfs.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\RunServices: [NTFS MICROSOFT SYSTEM] Wlntfs.exe
O4 - HKCU\..\Run: [ICQ Plus] "C:\Programme\ICQPlus\vplus.exe"
O4 - HKCU\..\Run: [NTFS MICROSOFT SYSTEM] Wlntfs.exe
O4 - HKCU\..\RunOnce: [ICQ] C:\Programme\ICQ\Icq.exe -trayboot
O4 - Startup: Corel Registration.lnk = D:\Programme\Corel\Graphics9\Register\Remind32.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: HotSync Manager.lnk = C:\Programme\palm\hotsync.exe
O4 - Global Startup: ZoneAlarm Pro.lnk = C:\Programme\Zone Labs\ZoneAlarm\zapro.exe
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O15 - Trusted Zone: http://www.feder-und-schwert.com
O15 - Trusted IP range: http://192.168.254.254
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1109262586499
O17 - HKLM\System\CCS\Services\Tcpip\..\{DDB5F875-D25A-4F50-9549-42F17FCC6701}: NameServer = 192.168.0.1
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Alt 08.05.2005, 19:05   #2
Haui45
 
Wlntfs.exe im logfile gefunden - Vorgehensweise? - Standard

Wlntfs.exe im logfile gefunden - Vorgehensweise?



Hallo,

welche Datei wurde von AntiVir moniert?

Der Eintrag lässt auf eine Bot-Variante schließen. Überprüfe die Datei (C:\Windows\System32\Wlntfs.exe) zur Sicherheit online bei http://virusscan.jotti.org/de und poste das Ergebnis. Sollte sich mein Verdacht bestätigen (wovon ich ausgehe), bleibt dir als sichere Lösung nur das.
__________________


Alt 08.05.2005, 19:14   #3
Sternenschwester
 
Wlntfs.exe im logfile gefunden - Vorgehensweise? - Standard

Wlntfs.exe im logfile gefunden - Vorgehensweise?



Äh..., ja nun ist das nur so, dass ich die drei Einträge schon gefixt habe und entsprechend die Datei in dem Ordner nicht mehr vorhanden ist...

Und die Medung von AntiVir betraf genau die wlntfs .exe.

Da hätte ich auch selber drauf kommen können da mal nachzuschauen, statt zu fragen ob da ein Zusammenhang besteht

Ich hab seitdem allerding noch nicht neu gestartet, sollte ich das vielleicht un und mich dann nochmal mit einem frischen log-file zurückmelden?
__________________

Alt 08.05.2005, 19:17   #4
Haui45
 
Wlntfs.exe im logfile gefunden - Vorgehensweise? - Standard

Wlntfs.exe im logfile gefunden - Vorgehensweise?



Es steht praktisch zweifelsfrei fest, dass die Datei wirklich eine der zahllosen RBot-Varianten ist=> dein System muss als kompromittiert angesehen werden=> setz es neu auf und halte dich an die Anleitung aus meinem ersten Posting.

Alt 08.05.2005, 19:22   #5
Sternenschwester
 
Wlntfs.exe im logfile gefunden - Vorgehensweise? - Standard

Wlntfs.exe im logfile gefunden - Vorgehensweise?



Zweifelsfrei, oder praktisch zweifelsfrei? *hoff*
Ich schreib grad meine Diplomarbeit und hab eigentlich echt keine Zeit für sowas...*seufz*

Habe ich keine andere Chance?
Und wenns nur eine Vertagung des Neu-Aufsetztens ist... mit einem halbwegs sicheren Rechner?


Alt 08.05.2005, 19:25   #6
chaosman
 
Wlntfs.exe im logfile gefunden - Vorgehensweise? - Standard

Wlntfs.exe im logfile gefunden - Vorgehensweise?



@Sternenschwester
überprüfe dein system mit escan
http://www.trojaner-board.de/showthread.php?t=17492

chaosman
btw
system und IE sind völlig veraltetet, neuaufsetzen wäre das beste
bis zum Neuaufsetzen darfst nicht mehr ins Inet.
__________________
--> Wlntfs.exe im logfile gefunden - Vorgehensweise?

Alt 08.05.2005, 19:25   #7
Haui45
 
Wlntfs.exe im logfile gefunden - Vorgehensweise? - Standard

Wlntfs.exe im logfile gefunden - Vorgehensweise?



Alternativ:
Trenn' das System durch Ziehen des Netzwerkkabels vom Internet. Dann kannst du gefahrlos weiterarbeiten.

Alt 08.05.2005, 23:07   #8
Sternenschwester
 
Wlntfs.exe im logfile gefunden - Vorgehensweise? - Standard

Wlntfs.exe im logfile gefunden - Vorgehensweise?



So, escan ist fertig und Dank dem Tool von dir Haui, kann ich jetzt die wesentlichen Teile des scans posten

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sun May 08 21:01:21 2005 => System found infected with AdTools Spyware/Adware! Action taken: No Action Taken.
Sun May 08 21:01:21 2005 => File System Found infected by "AdTools Spyware/Adware" Virus. Action Taken: No Action Taken.
Sun May 08 21:06:28 2005 => File C:\DOKUME~1\STERNE~1\LOKALE~1\Temp\LCnew.exe infected by "not-a-virus:AdWare.WinAD.z" Virus. Action Taken: No Action Taken.
Sun May 08 21:06:28 2005 => File C:\DOKUME~1\STERNE~1\LOKALE~1\Temp\mattie54.exe infected by "Trojan-Dropper.Win32.Agent.hh" Virus. Action Taken: No Action Taken.
Sun May 08 21:24:19 2005 => File C:\Dokumente und Einstellungen\Sternenschwester\Lokale Einstellungen\Temp\LCnew.exe infected by "not-a-virus:AdWare.WinAD.z" Virus. Action Taken: No Action Taken.
Sun May 08 21:24:20 2005 => File C:\Dokumente und Einstellungen\Sternenschwester\Lokale Einstellungen\Temp\mattie54.exe infected by "Trojan-Dropper.Win32.Agent.hh" Virus. Action Taken: No Action Taken.
Sun May 08 21:36:24 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Sun May 08 22:59:28 2005 => Scanning File G:\MUSIK\MP3\Rock und Pop - alphabetisch\B\Bad Religion\Infected.mp3
Sun May 08 23:38:11 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sun May 08 23:38:06 2005 => File G:\Texte\Netz\start.htm tagged as not-a-virus:FalseAlarm.TrendMicro.Crasher. No Action Taken.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sun May 08 23:38:11 2005 => Total Virus(es) Found: 7
Sun May 08 23:38:11 2005 => Total Errors: 11
Sun May 08 23:38:11 2005 => Time Elapsed: 02:35:08
Sun May 08 23:38:11 2005 => Total Objects Scanned: 114007
Sun May 08 20:55:54 2005 => Virus Database Date: 2005/05/08
Sun May 08 20:59:00 2005 => Virus Database Date: 2005/05/08
Sun May 08 23:38:11 2005 => Virus Database Date: 2005/05/08
Sun May 08 23:39:33 2005 => Virus Database Date: 2005/05/08
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Geh ich recht in der Annahme, das die infected files in den temp- Ordnern einfach durch löschen behoben werden können?

Und was ist mit den anderen? Ist das so schlimm wie es klingt?

Ich habe beschlossen, mir zum Diplom dann einen neuen Rechner zu gönnen...
Hält der hier das mit dem System noch ein wenig durch?
Bitte gebt mir ein wenig Hoffnung

Geändert von Sternenschwester (09.05.2005 um 08:51 Uhr)

Alt 08.05.2005, 23:13   #9
Haui45
 
Wlntfs.exe im logfile gefunden - Vorgehensweise? - Standard

Wlntfs.exe im logfile gefunden - Vorgehensweise?



Ich steh' zu meiner Meinung. Sie hat sich keineswegs geändert.

Alt 09.05.2005, 09:43   #10
chaosman
 
Wlntfs.exe im logfile gefunden - Vorgehensweise? - Standard

Wlntfs.exe im logfile gefunden - Vorgehensweise?



@Sternenschwester
Geh ich recht in der Annahme, das die infected files in den temp- Ordnern einfach durch löschen behoben werden können?

Ja, kannst auch clearprog
benützen.

Schließe mich Haui45 an, wenn du weiterarbeiten willst,
Alternativ:
Trenn' das System durch Ziehen des Netzwerkkabels vom Internet. Dann kannst du gefahrlos weiterarbeiten.
ZitatHaui45


chaosman
__________________
Bonus vir semper tiro

Alt 09.05.2005, 11:51   #11
Sternenschwester
 
Wlntfs.exe im logfile gefunden - Vorgehensweise? - Standard

Wlntfs.exe im logfile gefunden - Vorgehensweise?



Ok, dann muss ich da wohl durch.
Kein Internet mehr bis zum Diplom und zum neuen Rechner

Danke euch beiden...

Antwort

Themen zu Wlntfs.exe im logfile gefunden - Vorgehensweise?
.com, adobe, adobe reader, antivir, antivir update, avg, bho, desktop, einstellungen, explorer, firefox, handel, hijack, hijackthis, hängt, internet, internet explorer, log-file, logfile, malware, maßnahme, monitor, mozilla, mozilla firefox, mozilla thunderbird, nvcpl.dll, nvidia, rundll, software, system, träge, windows, windows xp




Ähnliche Themen: Wlntfs.exe im logfile gefunden - Vorgehensweise?


  1. Verdacht auf Phishing Mails - Vorgehensweise
    Alles rund um Mac OSX & Linux - 30.03.2013 (7)
  2. GVU Trojaner - vorgehensweise nach Systemwiederherstellung in XP SP3
    Plagegeister aller Art und deren Bekämpfung - 02.02.2013 (17)
  3. Avira Antivir hat "Versteckte Objekte gefunden" Was tun? Vorgehensweise?
    Log-Analyse und Auswertung - 11.01.2013 (4)
  4. Falsche Vorgehensweise?
    Diskussionsforum - 12.08.2012 (2)
  5. BKA-Trojaner 1.03? Verwirrung bei Vorgehensweise
    Plagegeister aller Art und deren Bekämpfung - 19.07.2012 (11)
  6. Vorgehensweise nach Verschlüsselungstrojaner-Befall
    Plagegeister aller Art und deren Bekämpfung - 19.06.2012 (3)
  7. Verschlüsselungstrojaner - Fragen zur Vorgehensweise
    Plagegeister aller Art und deren Bekämpfung - 14.06.2012 (1)
  8. Sireefef.P, Sirefef.AA - Vorgehensweise
    Plagegeister aller Art und deren Bekämpfung - 05.03.2012 (1)
  9. BKA Trojaner Vorgehensweise
    Plagegeister aller Art und deren Bekämpfung - 26.07.2011 (9)
  10. BKA Trojaner - weitere Vorgehensweise nach txt
    Log-Analyse und Auswertung - 20.07.2011 (1)
  11. Trojaner gefunden (Trojan.BHO und TR/Dldr.Agent.cgzd) - weitere Vorgehensweise?
    Plagegeister aller Art und deren Bekämpfung - 13.05.2010 (9)
  12. Vorgehensweise sinnvoll?
    Plagegeister aller Art und deren Bekämpfung - 13.02.2009 (1)
  13. Welche Vorgehensweise?
    Alles rund um Windows - 28.10.2006 (4)
  14. Was ist die Wlntfs.exe. Was ist toys.de
    Log-Analyse und Auswertung - 26.04.2005 (2)

Zum Thema Wlntfs.exe im logfile gefunden - Vorgehensweise? - Hallo, nachdem ich sehr posotive Erfahrungen mit diesem Board und einem Uni-Rechner gemacht hab, meld ich mich mal von zu Hause. Nachdem mein AntiVir heute diesen hier, Worm/RBot.99840 , auf - Wlntfs.exe im logfile gefunden - Vorgehensweise?...
Archiv
Du betrachtest: Wlntfs.exe im logfile gefunden - Vorgehensweise? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.