hallo bitte um auswertung meiner hijack logfile
 

hallo könnte mir wer bitte helfen diese logflie auszuwerten ?

ich denke die datei winlogon.exe ist mit irgentwas verseucht aber weis nicht wie man die los werden kann, da sie auch von windows gebraucht wird.

Logfile of HijackThis v1.99.1
Scan saved at 13:23:56, on 24.07.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\PROGRA~1\NORTON~3\NORTON~1\GHOSTS~2.EXE
E:\Delphi7\interbase\bin\ibguard.exe
C:\Programme\Sunbelt Software\Personal Firewall 4\kpf4ss.exe
E:\3dsmax8\mentalray\satellite\raysat_3dsmax8server.exe
C:\Programme\Eset\nod32krn.exe
C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\Programme\Sunbelt Software\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\PGPsdkServ.exe
C:\PROGRA~1\NORTON~3\SPEEDD~1\nopdb.exe
C:\WINDOWS\System32\svchost.exe
E:\Delphi7\interbase\bin\ibserver.exe
C:\Programme\Sunbelt Software\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\2kadiras.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Lexmark 2200 Series\lxbvbmgr.exe
C:\Programme\logitech\iTouch\iTouch.exe
C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
C:\Programme\Razer\razertra.exe
C:\Programme\Lexmark 2200 Series\lxbvbmon.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programme\Eset\nod32kui.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [2kadiras] 2kadiras.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Lexmark 2200 Series] "C:\Programme\Lexmark 2200 Series\lxbvbmgr.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [razertra] C:\Programme\Razer\razertra.exe
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - E:\Games\partypoker\PartyPoker.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - E:\Games\partypoker\PartyPoker.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_1_0_0_44.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4AA4805C-C574-4F07-870B-0A69AF1C1AB2}: NameServer = **ip;P**,192.168.122.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{9FBD6B93-00C6-4143-9C9B-579C94C1E5FB}: NameServer = 217.237.150.33 217.237.150.188
O20 - Winlogon Notify: windtj32 - C:\WINDOWS\SYSTEM32\windtj32.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: GhostStartService - Symantec Corporation - C:\PROGRA~1\NORTON~3\NORTON~1\GHOSTS~2.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InterBase Guardian (InterBaseGuardian) - Borland Software Corporation - E:\Delphi7\interbase\bin\ibguard.exe
O23 - Service: InterBase Server (InterBaseServer) - Borland Software Corporation - E:\Delphi7\interbase\bin\ibserver.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Programme\Sunbelt Software\Personal Firewall 4\kpf4ss.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: RaySat_3dsmax8 Server (mi-raysat_3dsmax8) - Unknown owner - E:\3dsmax8\mentalray\satellite\raysat_3dsmax8server.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programme\Eset\nod32krn.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
O23 - Service: NTLOAD - Unknown owner - c:\windows\system32\dllcache\win32\winlogon.exe
O23 - Service: NTSVCMGR - Unknown owner - c:\windows\system32\dllcache\win32\winlogon.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PGPsdkService (PGPsdkServ) - PGP Corporation - C:\WINDOWS\System32\PGPsdkServ.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~3\SPEEDD~1\nopdb.exe

Mahlzeit,

Also erstmal:

Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)


Manchmal frage ich mich wirklich, wie man mit so einem Ungepatchten System Arbeiten kann! SP2 ist seit fast zwei Jahren da und die weieren 70 Updates sind an Deinem Rechner ungesehen vorbei gelaufen?!
Es würde durchaus weniger Schadsoftware geben, wenn jeder sein System aktuell hält!
Was hindert euch daran?

Mal bitte folgende Datei bei Jotti und Virustotal auswerten lassen! Link in meiner SIG! Poste bitte das komplette Ergebnis!

C:\WINDOWS\SYSTEM32\windtj32.dll


Ist Dir das bekannt?

E:\3dsmax8\mentalray\satellite\raysat_3dsmax8serve r.exe

Finde darüber net wirklich was. Notfalls bitte auch mal Online auswerten lassen!

Zu winlogon.exe.
Es könnte sich durchaus auch um Schadsoftware handeln. Also auch mal Online auswerten lassen. Auch hier, das Ergebnis Posten!

Mache weiterhin mal einen eScan. Alles wichtige dazu findest du in dieser Anleitung . Bitte genau Lesen und das Ergebnis Posten!


Gruß Mellosun

EDIT: Sollte dies wirklich zu Deinem Lexmark Drucker gehören?
C:\Programme\Lexmark 2200 Series\lxbvbmon.exe
Bitte auch mal Prüfen lassen!

also: bei jotti folgendes ergebnis:
Datei: windtj32.dll

Status:
INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme:
PE_PATCH.PECOMPACT, PECBUNDLE, PECOMPACT

AntiVir
Trojan/PCK.Klone.G.20 gefunden
ArcaVir
Trojan.Packed.Klone.G gefunden
Avast
Win32:Klone-N gefunden
AVG Antivirus
Generic.YIG gefunden
BitDefender
Trojan.Klone.D gefunden
ClamAV
Keine Viren gefunden
Dr.Web
Trojan.Mezzia gefunden
F-Prot Antivirus
W32/Trojan.IID gefunden
Fortinet
W32/Klone.G gefunden
Kaspersky Anti-Virus
Packed.Win32.Klone.g gefunden
NOD32
Keine Viren gefunden
Norman Virus Control
Keine Viren gefunden
UNA
Keine Viren gefunden
VirusBuster
Keine Viren gefunden
VBA32
Trojan.Mezzia gefunden

bei virus total
AntiVir 6.35.0.24 07.24.2006 TR/PCK.Klone.G.20
Authentium 4.93.8 07.21.2006 W32/Trojan.IID
Avast 4.7.844.0 07.23.2006 Win32:Klone-N
AVG 386 07.24.2006 Generic.YIG
BitDefender 7.2 07.22.2006 Trojan.Klone.D
CAT-QuickHeal 8.00 07.22.2006 no virus found
ClamAV devel-20060426 07.21.2006 no virus found
DrWeb 4.33 07.24.2006 Trojan.Mezzia
eTrust-InoculateIT 23.72.76 07.23.2006 no virus found
eTrust-Vet 12.6.2306 07.24.2006 no virus found
Ewido 4.0 07.24.2006 no virus found
Fortinet 2.77.0.0 07.23.2006 W32/Klone.G
F-Prot 3.16f 07.21.2006 security risk named W32/Trojan.IID
F-Prot4 4.2.1.29 07.21.2006 no virus found
Ikarus 0.2.65.0 07.24.2006 no virus found
Kaspersky 4.0.2.24 07.24.2006 Packed.Win32.Klone.g
McAfee 4812 07.21.2006 no virus found
Microsoft 1.1508 07.24.2006 no virus found
NOD32v2 1.1676 07.24.2006 no virus found
Norman 5.90.23 07.24.2006 no virus found
Panda 9.0.0.4 07.23.2006 Suspicious file
Sophos 4.07.0 07.24.2006 Troj/Agent-CIK
Symantec 8.0 07.24.2006 no virus found
TheHacker 5.9.8.180 07.24.2006 no virus found
UNA 1.83 07.21.2006 no virus found
VBA32 3.11.0 07.24.2006 Trojan.Mezzia
VirusBuster 4.3.7:9 07.23.2006 no virus found
-------------------------------
bei der winlogon.exe
bei jotti status ok
bei virustotal ok
aber ich bekomme von meiner firewall die meldung
Eindringungsversuch Blockiert
Technische Details für den Eindringversuch:

Injektoranwendung: \??\C:\WINDOWS\system32\winlogon.exe
Beschreibung: winlogon
Dateiversion:
Produktname:
Produktversion:
Erstellt: N/A
Geändert: N/A
Zugegriffen: N/A

Zielanwendung: C:\Programme\Mozilla Firefox\firefox.exe
Beschreibung: Firefox
Dateiversion: 1.8.0.4: 2006050817
Produktname: Firefox
Produktversion: 1.5.0.4
Erstellt: 2006/7/22, 17:30:35
Geändert: 2006/7/22, 17:30:35
Zugegriffen: 2006/7/24, 10:35:35

Adresse der Injektion: 0x7FFA0065

___
die anderen dateien sind ok

Prüfe das System mit F-Secure Blacklight und poste danach das Logfile.

Prüfe Dein System mit Ewido http://www.ewido.net/de/ Lasse alles löschen, was vorgeschlagen wird. Poste das Ergebnis.

Danach spiele SP2 auf und update das Betriebssystem.

Wenn Du mit allem fertig bist, erstelle ein Log-File mit HJT und poste es.

ok mach ich aber das updaten könnte ein problem werden da ich das schon einmal versucht hab und überhaupt nicht ging
da hb ich einfach alle einzelne updatens gezogen und eingespielt

kann man auch ein nicht so ganz orginales win xp updaten auf sp 2 ? (nur mein cd key benutzen warscheinlich mehrere leute ^^

also dieses blacklight findet nichts
ewido anti-spyware findet nur paar tracking.cookies

Bist heut schon der zweite oder dritte.
Klar gibts ne möglichkeit:

In Laden gehen und ne Original XP Lizens Erwerben.
Wieso habt Ihr alle keine Orioginal Windows auf dem Rechner? XP ist doch net Teuer....und man hat keine Probleme........:kloppen:

kein bock den orginal crap zu kaufen 50 eu oder so für windows ? hallo ?
auserdem gehts auch klasse so hatte noch nie richtige probleme mit meinem windows

wie werd ich die windtj32.dll nu los
brauch man die für windows ?

Für ein "gecracktes" System, wirst du hier keinen Support bekommen!

Außerdem höre ich da eine Gewisse Ignoranz aus deinem Beitrag heraus.. :pfui:

aber nur solange kein neuer Wurm "auf den Markt" kommt...und irgendwie hast du ja doch Probleme bekommen! :blabla:


Nicht wirklich, oder hast du dir die Auswertung von "virustotal" nicht angesehen?
Es handelt sich dabei um einen Schädling, und nicht um eine Windows interne Datei :headbang: