|
Log-Analyse und Auswertung: Wlntfs.exe im logfile gefunden - Vorgehensweise?Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
08.05.2005, 18:59 | #1 |
| Wlntfs.exe im logfile gefunden - Vorgehensweise? Hallo, nachdem ich sehr posotive Erfahrungen mit diesem Board und einem Uni-Rechner gemacht hab, meld ich mich mal von zu Hause. Nachdem mein AntiVir heute diesen hier, Worm/RBot.99840 , auf meinem Rechner gefunden hat, dachte ich es wär mal wieder eine gute Idee hijackthis über mein System laufen zu lassen. Ich habe mein logfile online ausgewertet und diesen Eintrag, mit dem ich nichts anfangen kann, gleich dreimal gefunden (...Wlnfts.exe). Ich habe daraufhin gegoogelt und als ersten hit einen link zu diesem vortrefflichen Forun gefunden, worin gesagt wurde, dass es sich bei der Datei um Malware handelt. Genügt es, wenn ich die drei Einträge fixe, oder sind weitere Maßnahmen notwenig? Und hängt die von AntiVir gefundene Datei damit zusammen? Ich hänge der Vollständigkeit halber noch mein log-file an: Ich hoffe auch diesmal auf erfolgreiche Zusammenarbeit... Logfile of HijackThis v1.99.1 Scan saved at 19:42:25, on 08.05.2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\SOINTGR.EXE C:\WINDOWS\System32\RUNDLL32.EXE C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\ICQPlus\vplus.exe C:\Programme\palm\hotsync.exe C:\Programme\Zone Labs\ZoneAlarm\zapro.exe D:\Programme\Corel\Graphics9\Register\Remind32.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\System32\wuauclt.exe C:\Programme\WinEdt\WinEdt.exe C:\Programme\Mozilla Thunderbird\thunderbird.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\ICQ\Icq.exe C:\Programme\Winamp\winamp.exe D:\Programme\Corel\Graphics9\Programs\coreldrw.exe C:\Dokumente und Einstellungen\Sternenschwester\Desktop\hijackthis1982\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINDOWS\SOINTGR.EXE O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [NTFS MICROSOFT SYSTEM] Wlntfs.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\RunServices: [NTFS MICROSOFT SYSTEM] Wlntfs.exe O4 - HKCU\..\Run: [ICQ Plus] "C:\Programme\ICQPlus\vplus.exe" O4 - HKCU\..\Run: [NTFS MICROSOFT SYSTEM] Wlntfs.exe O4 - HKCU\..\RunOnce: [ICQ] C:\Programme\ICQ\Icq.exe -trayboot O4 - Startup: Corel Registration.lnk = D:\Programme\Corel\Graphics9\Register\Remind32.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: HotSync Manager.lnk = C:\Programme\palm\hotsync.exe O4 - Global Startup: ZoneAlarm Pro.lnk = C:\Programme\Zone Labs\ZoneAlarm\zapro.exe O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe O15 - Trusted Zone: http://www.feder-und-schwert.com O15 - Trusted IP range: http://192.168.254.254 O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1109262586499 O17 - HKLM\System\CCS\Services\Tcpip\..\{DDB5F875-D25A-4F50-9549-42F17FCC6701}: NameServer = 192.168.0.1 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe |
08.05.2005, 19:05 | #2 |
| Wlntfs.exe im logfile gefunden - Vorgehensweise? Hallo,
__________________welche Datei wurde von AntiVir moniert? Der Eintrag lässt auf eine Bot-Variante schließen. Überprüfe die Datei (C:\Windows\System32\Wlntfs.exe) zur Sicherheit online bei http://virusscan.jotti.org/de und poste das Ergebnis. Sollte sich mein Verdacht bestätigen (wovon ich ausgehe), bleibt dir als sichere Lösung nur das. |
08.05.2005, 19:14 | #3 |
| Wlntfs.exe im logfile gefunden - Vorgehensweise? Äh..., ja nun ist das nur so, dass ich die drei Einträge schon gefixt habe und entsprechend die Datei in dem Ordner nicht mehr vorhanden ist...
__________________Und die Medung von AntiVir betraf genau die wlntfs .exe. Da hätte ich auch selber drauf kommen können da mal nachzuschauen, statt zu fragen ob da ein Zusammenhang besteht Ich hab seitdem allerding noch nicht neu gestartet, sollte ich das vielleicht un und mich dann nochmal mit einem frischen log-file zurückmelden? |
08.05.2005, 19:17 | #4 |
| Wlntfs.exe im logfile gefunden - Vorgehensweise? Es steht praktisch zweifelsfrei fest, dass die Datei wirklich eine der zahllosen RBot-Varianten ist=> dein System muss als kompromittiert angesehen werden=> setz es neu auf und halte dich an die Anleitung aus meinem ersten Posting. |
08.05.2005, 19:22 | #5 |
| Wlntfs.exe im logfile gefunden - Vorgehensweise? Zweifelsfrei, oder praktisch zweifelsfrei? *hoff* Ich schreib grad meine Diplomarbeit und hab eigentlich echt keine Zeit für sowas...*seufz* Habe ich keine andere Chance? Und wenns nur eine Vertagung des Neu-Aufsetztens ist... mit einem halbwegs sicheren Rechner? |
08.05.2005, 19:25 | #6 |
| Wlntfs.exe im logfile gefunden - Vorgehensweise? @Sternenschwester überprüfe dein system mit escan http://www.trojaner-board.de/showthread.php?t=17492 chaosman btw system und IE sind völlig veraltetet, neuaufsetzen wäre das beste bis zum Neuaufsetzen darfst nicht mehr ins Inet.
__________________ --> Wlntfs.exe im logfile gefunden - Vorgehensweise? |
08.05.2005, 19:25 | #7 |
| Wlntfs.exe im logfile gefunden - Vorgehensweise? Alternativ: Trenn' das System durch Ziehen des Netzwerkkabels vom Internet. Dann kannst du gefahrlos weiterarbeiten. |
08.05.2005, 23:07 | #8 |
| Wlntfs.exe im logfile gefunden - Vorgehensweise? So, escan ist fertig und Dank dem Tool von dir Haui, kann ich jetzt die wesentlichen Teile des scans posten ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Funde für "infected" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Sun May 08 21:01:21 2005 => System found infected with AdTools Spyware/Adware! Action taken: No Action Taken. Sun May 08 21:01:21 2005 => File System Found infected by "AdTools Spyware/Adware" Virus. Action Taken: No Action Taken. Sun May 08 21:06:28 2005 => File C:\DOKUME~1\STERNE~1\LOKALE~1\Temp\LCnew.exe infected by "not-a-virus:AdWare.WinAD.z" Virus. Action Taken: No Action Taken. Sun May 08 21:06:28 2005 => File C:\DOKUME~1\STERNE~1\LOKALE~1\Temp\mattie54.exe infected by "Trojan-Dropper.Win32.Agent.hh" Virus. Action Taken: No Action Taken. Sun May 08 21:24:19 2005 => File C:\Dokumente und Einstellungen\Sternenschwester\Lokale Einstellungen\Temp\LCnew.exe infected by "not-a-virus:AdWare.WinAD.z" Virus. Action Taken: No Action Taken. Sun May 08 21:24:20 2005 => File C:\Dokumente und Einstellungen\Sternenschwester\Lokale Einstellungen\Temp\mattie54.exe infected by "Trojan-Dropper.Win32.Agent.hh" Virus. Action Taken: No Action Taken. Sun May 08 21:36:24 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.* Sun May 08 22:59:28 2005 => Scanning File G:\MUSIK\MP3\Rock und Pop - alphabetisch\B\Bad Religion\Infected.mp3 Sun May 08 23:38:11 2005 => Total Disinfected Files: 0 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Funde für "tagged" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Sun May 08 23:38:06 2005 => File G:\Texte\Netz\start.htm tagged as not-a-virus:FalseAlarm.TrendMicro.Crasher. No Action Taken. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Sun May 08 23:38:11 2005 => Total Virus(es) Found: 7 Sun May 08 23:38:11 2005 => Total Errors: 11 Sun May 08 23:38:11 2005 => Time Elapsed: 02:35:08 Sun May 08 23:38:11 2005 => Total Objects Scanned: 114007 Sun May 08 20:55:54 2005 => Virus Database Date: 2005/05/08 Sun May 08 20:59:00 2005 => Virus Database Date: 2005/05/08 Sun May 08 23:38:11 2005 => Virus Database Date: 2005/05/08 Sun May 08 23:39:33 2005 => Virus Database Date: 2005/05/08 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Geh ich recht in der Annahme, das die infected files in den temp- Ordnern einfach durch löschen behoben werden können? Und was ist mit den anderen? Ist das so schlimm wie es klingt? Ich habe beschlossen, mir zum Diplom dann einen neuen Rechner zu gönnen... Hält der hier das mit dem System noch ein wenig durch? Bitte gebt mir ein wenig Hoffnung Geändert von Sternenschwester (09.05.2005 um 08:51 Uhr) |
08.05.2005, 23:13 | #9 |
| Wlntfs.exe im logfile gefunden - Vorgehensweise? Ich steh' zu meiner Meinung. Sie hat sich keineswegs geändert. |
09.05.2005, 09:43 | #10 |
| Wlntfs.exe im logfile gefunden - Vorgehensweise? @Sternenschwester Geh ich recht in der Annahme, das die infected files in den temp- Ordnern einfach durch löschen behoben werden können? Ja, kannst auch clearprog benützen. Schließe mich Haui45 an, wenn du weiterarbeiten willst, Alternativ: Trenn' das System durch Ziehen des Netzwerkkabels vom Internet. Dann kannst du gefahrlos weiterarbeiten. ZitatHaui45 chaosman
__________________ Bonus vir semper tiro |
09.05.2005, 11:51 | #11 |
| Wlntfs.exe im logfile gefunden - Vorgehensweise? Ok, dann muss ich da wohl durch. Kein Internet mehr bis zum Diplom und zum neuen Rechner Danke euch beiden... |
Themen zu Wlntfs.exe im logfile gefunden - Vorgehensweise? |
.com, adobe, adobe reader, antivir, antivir update, avg, bho, desktop, einstellungen, explorer, firefox, handel, hijack, hijackthis, hängt, internet, internet explorer, log-file, logfile, malware, maßnahme, monitor, mozilla, mozilla firefox, mozilla thunderbird, nvcpl.dll, nvidia, rundll, software, system, träge, windows, windows xp |