Trojaner-Board - Wlntfs.exe im logfile gefunden

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Wlntfs.exe im logfile gefunden - Vorgehensweise? (https://www.trojaner-board.de/17590-wlntfs-exe-logfile-gefunden-vorgehensweise.html)

Wlntfs.exe im logfile gefunden - Vorgehensweise?

Hallo,

nachdem ich sehr posotive Erfahrungen mit diesem Board und einem Uni-Rechner gemacht hab, meld ich mich mal von zu Hause.

Nachdem mein AntiVir heute diesen hier, Worm/RBot.99840 , auf meinem Rechner gefunden hat, dachte ich es wär mal wieder eine gute Idee hijackthis über mein System laufen zu lassen.
Ich habe mein logfile online ausgewertet und diesen Eintrag, mit dem ich nichts anfangen kann, gleich dreimal gefunden (...Wlnfts.exe).
Ich habe daraufhin gegoogelt und als ersten hit einen link zu diesem vortrefflichen Forun gefunden, worin gesagt wurde, dass es sich bei der Datei um Malware handelt.

Genügt es, wenn ich die drei Einträge fixe, oder sind weitere Maßnahmen notwenig?
Und hängt die von AntiVir gefundene Datei damit zusammen?

Ich hänge der Vollständigkeit halber noch mein log-file an:

Ich hoffe auch diesmal auf erfolgreiche Zusammenarbeit...

Logfile of HijackThis v1.99.1
Scan saved at 19:42:25, on 08.05.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOINTGR.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\ICQPlus\vplus.exe
C:\Programme\palm\hotsync.exe
C:\Programme\Zone Labs\ZoneAlarm\zapro.exe
D:\Programme\Corel\Graphics9\Register\Remind32.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\WinEdt\WinEdt.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\ICQ\Icq.exe
C:\Programme\Winamp\winamp.exe
D:\Programme\Corel\Graphics9\Programs\coreldrw.exe
C:\Dokumente und Einstellungen\Sternenschwester\Desktop\hijackthis1982\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINDOWS\SOINTGR.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NTFS MICROSOFT SYSTEM] Wlntfs.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\RunServices: [NTFS MICROSOFT SYSTEM] Wlntfs.exe
O4 - HKCU\..\Run: [ICQ Plus] "C:\Programme\ICQPlus\vplus.exe"
O4 - HKCU\..\Run: [NTFS MICROSOFT SYSTEM] Wlntfs.exe
O4 - HKCU\..\RunOnce: [ICQ] C:\Programme\ICQ\Icq.exe -trayboot
O4 - Startup: Corel Registration.lnk = D:\Programme\Corel\Graphics9\Register\Remind32.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: HotSync Manager.lnk = C:\Programme\palm\hotsync.exe
O4 - Global Startup: ZoneAlarm Pro.lnk = C:\Programme\Zone Labs\ZoneAlarm\zapro.exe
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O15 - Trusted Zone: http://www.feder-und-schwert.com
O15 - Trusted IP range: http://192.168.254.254
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1109262586499
O17 - HKLM\System\CCS\Services\Tcpip\..\{DDB5F875-D25A-4F50-9549-42F17FCC6701}: NameServer = 192.168.0.1
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Hallo,

welche Datei wurde von AntiVir moniert?

Der Eintrag lässt auf eine Bot-Variante schließen. Überprüfe die Datei (C:\Windows\System32\Wlntfs.exe) zur Sicherheit online bei http://virusscan.jotti.org/de und poste das Ergebnis. Sollte sich mein Verdacht bestätigen (wovon ich ausgehe), bleibt dir als sichere Lösung nur das.

Äh..., ja nun ist das nur so, dass ich die drei Einträge schon gefixt habe und entsprechend die Datei in dem Ordner nicht mehr vorhanden ist...

Und die Medung von AntiVir betraf genau die wlntfs .exe.

Da hätte ich auch selber drauf kommen können da mal nachzuschauen, statt zu fragen ob da ein Zusammenhang besteht :o

Ich hab seitdem allerding noch nicht neu gestartet, sollte ich das vielleicht un und mich dann nochmal mit einem frischen log-file zurückmelden?

Es steht praktisch zweifelsfrei fest, dass die Datei wirklich eine der zahllosen RBot-Varianten ist=> dein System muss als kompromittiert angesehen werden=> setz es neu auf und halte dich an die Anleitung aus meinem ersten Posting.

Zweifelsfrei, oder praktisch zweifelsfrei? *hoff*
Ich schreib grad meine Diplomarbeit und hab eigentlich echt keine Zeit für sowas...*seufz*

Habe ich keine andere Chance?
Und wenns nur eine Vertagung des Neu-Aufsetztens ist... mit einem halbwegs sicheren Rechner?

@Sternenschwester
überprüfe dein system mit escan
http://www.trojaner-board.de/showthread.php?t=17492

chaosman
btw
system und IE sind völlig veraltetet, neuaufsetzen wäre das beste
bis zum neuaufsetzen darfst nicht mehr ins Inet.

Alternativ:
Trenn' das System durch Ziehen des Netzwerkkabels vom Internet. Dann kannst du gefahrlos weiterarbeiten.

So, escan ist fertig und Dank dem Tool von dir Haui, kann ich jetzt die wesentlichen Teile des scans posten

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sun May 08 21:01:21 2005 => System found infected with AdTools Spyware/Adware! Action taken: No Action Taken.
Sun May 08 21:01:21 2005 => File System Found infected by "AdTools Spyware/Adware" Virus. Action Taken: No Action Taken.
Sun May 08 21:06:28 2005 => File C:\DOKUME~1\STERNE~1\LOKALE~1\Temp\LCnew.exe infected by "not-a-virus:AdWare.WinAD.z" Virus. Action Taken: No Action Taken.
Sun May 08 21:06:28 2005 => File C:\DOKUME~1\STERNE~1\LOKALE~1\Temp\mattie54.exe infected by "Trojan-Dropper.Win32.Agent.hh" Virus. Action Taken: No Action Taken.
Sun May 08 21:24:19 2005 => File C:\Dokumente und Einstellungen\Sternenschwester\Lokale Einstellungen\Temp\LCnew.exe infected by "not-a-virus:AdWare.WinAD.z" Virus. Action Taken: No Action Taken.
Sun May 08 21:24:20 2005 => File C:\Dokumente und Einstellungen\Sternenschwester\Lokale Einstellungen\Temp\mattie54.exe infected by "Trojan-Dropper.Win32.Agent.hh" Virus. Action Taken: No Action Taken.
Sun May 08 21:36:24 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Sun May 08 22:59:28 2005 => Scanning File G:\MUSIK\MP3\Rock und Pop - alphabetisch\B\Bad Religion\Infected.mp3
Sun May 08 23:38:11 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sun May 08 23:38:06 2005 => File G:\Texte\Netz\start.htm tagged as not-a-virus:FalseAlarm.TrendMicro.Crasher. No Action Taken.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sun May 08 23:38:11 2005 => Total Virus(es) Found: 7
Sun May 08 23:38:11 2005 => Total Errors: 11
Sun May 08 23:38:11 2005 => Time Elapsed: 02:35:08
Sun May 08 23:38:11 2005 => Total Objects Scanned: 114007
Sun May 08 20:55:54 2005 => Virus Database Date: 2005/05/08
Sun May 08 20:59:00 2005 => Virus Database Date: 2005/05/08
Sun May 08 23:38:11 2005 => Virus Database Date: 2005/05/08
Sun May 08 23:39:33 2005 => Virus Database Date: 2005/05/08
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Geh ich recht in der Annahme, das die infected files in den temp- Ordnern einfach durch löschen behoben werden können?

Und was ist mit den anderen? Ist das so schlimm wie es klingt?

Ich habe beschlossen, mir zum Diplom dann einen neuen Rechner zu gönnen...
Hält der hier das mit dem System noch ein wenig durch?
Bitte gebt mir ein wenig Hoffnung :dummguck:

Ich steh' zu meiner Meinung. Sie hat sich keineswegs geändert. ;)

@Sternenschwester
Geh ich recht in der Annahme, das die infected files in den temp- Ordnern einfach durch löschen behoben werden können?

Ja, kannst auch clearprog
benützen.

Schließe mich Haui45 an, wenn du weiterarbeiten willst,
Alternativ:
Trenn' das System durch Ziehen des Netzwerkkabels vom Internet. Dann kannst du gefahrlos weiterarbeiten.
ZitatHaui45

chaosman

Ok, dann muss ich da wohl durch.
Kein Internet mehr bis zum Diplom und zum neuen Rechner ;)

Danke euch beiden...