Trojaner-Board - Mal meine Logfile! WINNT32.EXE

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Mal meine Logfile! WINNT32.EXE (https://www.trojaner-board.de/12407-mal-logfile-winnt32-exe.html)

Mal meine Logfile! WINNT32.EXE

Hallo,

seit gestern habe ich diese WINNT32.EXE in meinem Taskmanager und kann nichts damit anfangen.

Könntet ihr euch bitte meine Log Fiele mal ansehen!

Gruß Daniel

Logfile of HijackThis v1.99.0
Scan saved at 12:35:02, on 19.01.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
G:\WINDOWS\System32\smss.exe
G:\WINDOWS\system32\winlogon.exe
G:\WINDOWS\system32\services.exe
G:\WINDOWS\system32\lsass.exe
G:\WINDOWS\system32\Ati2evxx.exe
G:\WINDOWS\system32\svchost.exe
G:\WINDOWS\System32\svchost.exe
G:\WINDOWS\system32\spoolsv.exe
G:\WINDOWS\system32\Ati2evxx.exe
G:\WINDOWS\Explorer.EXE
G:\WINDOWS\system32\rundll32.exe
G:\Programme\Netropa\One-touch Multimedia Keyboard\MMKeybd.exe
G:\Programme\Microsoft IntelliPoint\point32.exe
G:\Programme\ATI Technologies\ATI.ACE\cli.exe
G:\WINDOWS\system32\WINNT32.EXE
G:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
G:\Programme\AVPersonal\AVGNT.EXE
G:\Programme\ATI Technologies\ATI.ACE\CLI.exe
G:\Programme\Netropa\One-touch Multimedia Keyboard\KEYBDMGR.EXE
G:\PROGRA~1\Netropa\Onscre~1\OSD.exe
G:\Programme\AVPersonal\AVGUARD.EXE
G:\Programme\AVPersonal\AVWUPSRV.EXE
G:\WINDOWS\System32\cisvc.exe
G:\Programme\Analog Devices\SoundMAX\SMAgent.exe
G:\Programme\Netropa\One-touch Multimedia Keyboard\MMUSBKB2.EXE
G:\WINDOWS\System32\svchost.exe
G:\WINDOWS\system32\cidaemon.exe
G:\Programme\WinRAR\WinRAR.exe
G:\DOKUME~1\Daniel\LOKALE~1\Temp\Rar$EX00.766\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - G:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [Keyboard Manager] G:\Programme\Netropa\One-touch Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [IntelliPoint] "G:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [ATICCC] "G:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [AVGCtrl] G:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Winsock2 drivers] WINNT32.EXE
O4 - HKCU\..\RunOnce: [Winsock2 drivers] WINNT32.EXE
O4 - Global Startup: ATI CATALYST System Tray.lnk = G:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://G:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - G:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - G:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: G:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {4E330863-6A11-11D0-BFD8-006097237877} (InstallFromTheWeb ActiveX Control) - http://tw.msi.com.tw/autobios/client/iftwclix.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1101408932575
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - https://www.gamespyid.com/alaunch.cab
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - G:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - G:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - G:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - G:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: hpdj - Unknown - G:\DOKUME~1\Daniel\LOKALE~1\Temp\hpdj.exe (file missing)
O23 - Service: iPod Service - Apple Computer, Inc. - G:\Programme\iPod\bin\iPodService.exe
O23 - Service: SoundMAX Agent Service - Analog Devices, Inc. - G:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: TuneUp WinStyler Theme Service - TuneUp Software GmbH - G:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe

Hi, Daniel,
ich sehe nirgends Kazaa, obwohl Du Dir den da mehrfach aktiv auf dein System geholt hast.
Bei Backdoor-Trojanern empfehle ich grundsätzlich System neu aufsetzen, weil Du bei einem kompromittierten Rechner nichtg weißt, was der Troj bereits gemacht hat, bzw. wozu er von jemand anderem benutzt wurde.
Sorry, das war mein Rat.
cacatoa

Wenn es keine andere Möglichkeit gibt muss ich das wohl so hinnehmen!

Und das auf dem Firmenrechner!

Sorry Daniel,
gerade beim Firmenrechner, wo oftmals sensible DAten drauf sind, heißt es doppelt vorsichtig sein.
Beachte Lutz´ Tipps zur Datensicherung
cacatoa

Ist zwar ärgerlich, aber man sollte halt nicht mit Kazaa Arbeiten.
Bin ich selber schuld.

Aber was anderes ich benutze ja Antivir, und das hat wohl versagt oder?

Welches Vieren Programm nutzt du denn??

Also zu dem Thema gibt´s im Forum jede Menge Infos (Suchen-Funktion).
Antivir ist gut, aber wie alle anderen erkennt er auch nicht alles. Zum Trojanerschutz kannst Du dir ja mal die Testversion von Ewido mit runterladen. Ich hab die Vollversion und find sie gut. Aber der beste Schutz überhaupt ist brain 1.0 ;)
cacatoa

Hmm, Firmenrechner?!, ich peil das nicht.
LG, Charlie

Bin gerade dabei alles vorzubereiten für die Neuaufsetzung meines Systems.

Das mit Brain 1.0 werde ich mir zuherzen nehmen und mir zukünftig mal Ewido anschauen.

Danke noch mal cacatoa für deine schnelle Hilfe.

Gruß Daniel

Ich weiß ja, man sollte mit dem Firmenrechner nicht ins Internet gehen!

Hi, warte mal bis gleich.

Zitat:

Zitat von charlie1

Hi, warte mal bis gleich.

Ja mache ich!

Hi, du bist jetzt nicht im LAN?, wenn ja, dann den PC vom LAN trennen.
Und Cacatoa wird dir gleich antworten.
LG, Charlie

Doch bin im Lan wieso???

Warum soll ich trennen! Und wann wider anschalten!

:confused: :confused:

Hi, Daniel ich zitiere charlie, der im übrigen unter den von ihm genannten Voraussetzungen recht hat:

Zitat:

IRC abschalten, dann ist gleich zu gleich wirkungslos, mit HJT fixen, escan und Ewido drüber und fertig ist, da bleibt nichts übrig.

Fixe folgendes mit HJT im abgesicherten Modus bei deaktivierter Systemwiederherstellung:
G:\WINDOWS\system32\WINNT32.EXE
O4 - HKLM\..\Run: [Winsock2 drivers] WINNT32.EXE
O4 - HKCU\..\RunOnce: [Winsock2 drivers] WINNT32.EXE
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - https://www.gamespyid.com/alaunch.cab
O23 - Service: hpdj - Unknown - G:\DOKUME~1\Daniel\LOKALE~1\Temp\hpdj.exe (file missing)

Dann folgende Dateien manuell löschen:
G:\WINDOWS\system32\WINNT32.EXE
G:\DOKUME~1\Daniel\LOKALE~1\Temp\hpdj.exe
Dann neu booten.
Lade Dir eScan runter (beachte die anleitung) und lass es im abgesicherten Modus laufen. (Dauer ca. 1 Stunde) Berichte dann über das Ergebnis (Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.)
Dann schaun wir mal.
cacatoa

Hi D. bist du im LAN von deiner Firma, dann mache gar nischt, denn das bringt nur Ärger, wenn zu Haus, helfe ich dir weiter.
LG, Charlie