Clean oder Infiziert?
 

Hi,
habe das Problem das mein System seit gestern ein wenig lahmt, also was ping und performance anbetrifft.
Hab vorgestern den IIS von microsoft zusätzlich installed aufeinmal war die winupdate.exe und eine wmiprvse.exe im taskmanager(Obwohl auto win updates deaktiviert sind). Hab gelesen es gibt malware Trojaner mit den beiden laufenden Prozessen .
Hab jetzt erstmal win updates und den Windows-Verwaltungsinstrumentation(wmiprvse bestandteil) deaktiviert. Wäre trotzdem dankbar wenn einer über mein Log schauen könnte.
P,s.: escan findet auch nix erwähnenswertes!


Logfile of HijackThis v1.99.1
Scan saved at 17:18:56, on 25.11.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\NoNameScript\mirc.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\mmc.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\NiGGaZ\LOKALE~1\Temp\Rar$EX00.954\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bild.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [MailScan Dispatcher] "C:\Programme\eScan\LAUNCH.EXE"
O4 - HKLM\..\Run: [eScan Updater] C:\PROGRA~1\eScan\TRAYICOS.EXE /App
O4 - HKLM\..\Run: [eScan Monitor] C:\PROGRA~1\eScan\AVPMWrap.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O10 - Broken Internet access because of LSP provider 'mwtsp.dll' missing
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsof...?1127961289233
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsof...?1127961281563
O16 - DPF: {86A88967-7A20-11D2-8EDA-00600818EDB1} (ParallelGraphics Cortona Control) - http://www.parallelgraphics.com/bin/cortvrml.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/Ms...Downloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F81C8AFE-52F4-475F-BF19-2EF309771129}: NameServer = 195.50.140.252 195.50.140.114
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: eScan Server-Updater (eScan-trayicos) - MicroWorld Technologies Inc. - C:\PROGRA~1\eScan\TRAYSSER.EXE
O23 - Service: eScan Monitor Service (KAVMonitorService) - Kaspersky Labs. - C:\PROGRA~1\eScan\avpm.exe
O23 - Service: RadClock - Unknown owner - C:\WINDOWS\system32\RadClock.exe
O23 - Service: Sygate Personal Firewall Platinum (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe


Win updates habe ich gemacht bis zum SP2 dann abgebrochen hatte schlechte erfahrungen mit SP2 .


Vielen Dank schonmal

Und jetzt hast du schlechte Erfahrungen ohne SP2! Die angesprochenen Dateien sind Backdoor-Trojaner, daraus folgt zwingend der Rat zum Neuaufsetzen inkl. SP2 (oder sämtlicher in SP2 enthaltener Hotfixes!) gem. der Anleitung in meiner Sig. Warum das so ist steht ebenfalls in der Anleitung. Nein, es gibt keine Alternative.

Warum du dir einen Webserver installierst, wenn du schon mit der Administration eines Client-PCs überfordert bist, das will übrigens nicht in meinen Kopf.

Gruß :daumenhoc
Yopie

Hmm,
die angesprochen Dateien sind ebenso Windows-Bestandteile und müssen deshalb ja nicht zwingend zu dem Backdoor Trojaner gehören.
Aus diesem Grund hatte ich ja auch da sLog geposted weil mir nix aufgefallen ist daran.

P.S.:Zur Frage 2:
Wenn man für die Uni mit Asp.net unter dem IIS Server entwickeln muss dann macht man den sich halt drauf ne?!

Im Falle der winupdate.exe lässt sich deine Aussage durch kurzes Googeln eindrucksvoll widerlegen.

Klar. Nur sollte man gerade dann, wenn man Web- oder Mailserver installiert, auch dafür sorgen, dass sie in einer sicheren Umgebung betrieben werden. Bei dir ist das nicht der Fall., und dementsprechend hoch ist das Missbrauchspotential (Stichwort Kipo, Warez, etc).

Gruß :daumenhoc
Yopie