Trojaner-Board
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   NAV 2005 melde "Trojan Horse" bei system32.exe (https://www.trojaner-board.de/11188-nav-2005-melde-trojan-horse-system32-exe.html)

daruler 25.12.2004 00:55
NAV 2005 melde "Trojan Horse" bei system32.exe
 
Hallo,

Norton ANtivirus hat gerade bei mir gemeckert, dass C:\WINDOWS\System32\system32.exe ein "Trojan Horse" wäre. Ich bin immer davon ausgegangen, dass das zu Windows gehört und nicht gelöscht werden darf. Was soll ich nun tun?

Shadowdance 25.12.2004 01:13
Hallo daruler,

unter Windows gibt es das Verzeichnis "System32"... aber keine system32.exe. Das ist ein Virus, um genauer zu sein ein Wurm, der ziemlich gefährlich ist. Du findest hier einige Info dazu: W32/Mari , lies auch unter "Description".

Welches Betriebssystem hast Du denn? Win Me und XP: deaktiviere die Systemwiederherstellung C:\WINDOWS\System32\system32.exe in die Windows Suche übertragen -> löschen! Nach dem löschen die Systemwiederherstellung wieder aktivieren. Wenn Du ein anderes Betriebssystem hast, kannst Du die Datei einfach löschen.

Erstelle bitte ein Hijack This Logfile und poste es mittels copy&paste (kopieren STRG + C und einfügen STRG + V) : http://www.trojaner-board.de/51130-a...ijackthis.html

SD

Cidre 25.12.2004 01:13
Hallo,

es gibt viel Malware die sich unter einen seriös klingenden Namen in den System32 Ordner ablegt. Meine Vermutung: Eine Bot Variante.

Als was wurde diese Datei identifiziert?

Shadowdance 25.12.2004 01:21
Hallo Cidre,

Du hast recht .. man sollte diesen Wurm zwar dringend und sofort löschen, aber das befallene Betriebssystem ist sehr wahrscheinlich kompromittiert. Ich habe da noch was dazu gefunden: Process File: system32.exe: "system32.exe is a process which is registered as the TROJ_SUA.A Trojan. This Trojan allows attackers to access your computer, stealing passwords and personal data. It is a registered security risk and should be removed immediately. Please see additional details regarding this process."

Schön, Dich hier an Board zu sehen @ Cidre .. http://www.trojaner-board.de/images/smilies/party.gif --> Feier schön ;-)

SD

Cidre 25.12.2004 01:22
Hi @ SD,

Zitat:
Welches Betriebssystem hast Du denn?
Er/Sie hat Win XP, denn unter Win ME gibt es keinen system32 Ordner. ;)

Shadowdance 25.12.2004 01:24
Zitat:
Zitat von Cidre
Er/Sie hat Win XP, denn unter Win ME gibt es keinen system32 Ordner. ;)
thanks ... wieder was gelernt ;-)

SD

Lutz 25.12.2004 10:24
Zitat:
...Das ist ein Virus, um genauer zu sein ein Wurm, der ziemlich gefährlich ist. Du findest hier einige Info dazu: W32/Mari , lies auch unter "Description"...
Vorsicht!
Eine Google-Suche kann hilfreich sein, muss es aber nicht...
Nur weil es 'zufällig' eine Beschreibung im Web gibt, in der der 'passende' Prozessname auftaucht, muss es sich nicht automatisch um den in dieser 'Description' genannten Wurm/Virus/... handeln.

Zitat:
Als was wurde diese Datei identifiziert?
Imho hat NAV mittels Heuristik etwas gefunden, konnte es aber nicht genauer definieren und schreibt deswegen Trojan Horse.

Mein Vorschlag an daruler:

Überprüfe die Datei C:\WINDOWS\System32\system32.exe unter
http://www.kaspersky.com/de/scanforvirus.html und alternativ auch unter
http://virusscan.jotti.org/de

und teile uns das Scan-Ergebnis mit.

Bei einem 'positiven Befund' lösche die Datei manuell und/oder scanne Dein komplettes System mit NAV im abgesicherten Modus und folge den Anweisungen des Scanners. Je nachdem, wie Du die weitere Vorgehensweise bei Virenfunden in NAV eingestellt hast, wird NAV Dir vorschlagen, die Datei zu löschen oder in Quarantäne zu nehmen, wenn eine Desinfektion nicht möglich ist (wovon imho in diesem Fall auszugehen ist).

Ansonsten ein Frohes Fest! :heilig:

daruler 25.12.2004 15:19
Hallo,

danke erstmal für die zahlreichen Antworten.
Ich wollte heute wie vorgeschlagen die system32.exe auf den online-AntiVirSites checken, doch die datei war nicht mehr da!
NAV kann sie nicht gelöscht habe, da er irgendetwas von "gescheitert" geschrieben hat. Ausserdem heißt der Ordner, in der die Darei war, jetzt nicht System32, sondern system32.
Wirklich sehr eigenartig...

Hier ist mein HijackThis-Log:

Code:
Logfile of HijackThis v1.99.0
Scan saved at 15:16:32, on 25.12.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
C:\Programme\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
C:\WINDOWS\System32\CTHELPER.EXE
C:\Programme\Winamp\Winampa.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\CloneCD\CloneCDTray.exe
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\WinTV\Ir.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\system32\cidaemon.exe
F:\[Saved Data]--[23.12.04]\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.yahoo.de/
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
O4 - HKLM\..\Run: [CTDVDDet] C:\Programme\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [AsioReg] REGSVR32.EXE /S CTASIO.DLL
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [system32] C:\WINDOWS\System32\system32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: AutoStart IR.lnk = C:\Programme\WinTV\Ir.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1103884917937
O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: EPSON Printer Status Agent2 - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
Ich habe auch versteckte Dateien anzeigen in Den Ordneroptionen eingestellt, aber irgendwie sehe ich nicht mehr die system32.exe...

HerrKautz 25.12.2004 15:29
Hallo,

du hast einen Trojaner der Bot Familie auf deinem Rechner:

http://www.sophos.de/virusinfo/analy...2forbotaa.html

Mein Tipp daher:

http://www.trojaner-board.de/showpos...28&postcount=2

Gruss und Frohe Weihnachten!

daruler 25.12.2004 15:52
Also escan + HijackThis + NAV2005 melden mir jetzt nichts Verdächtiges mehr. Die system32.exe kann ich auch nicht mehr finden...besteht immer noch ein Risiko, dass mein PC infiziert ist.
Ist halt sehr komisch, dass die system32.exe plötzlich verschwunden ist.
Das Einzige wie ich mir das erklären könnte, wäre die Funktion bei escan (ich meine, es wäre dort), dass es beim Neustart einige infizierte Dateien entfernt bzw. umbennent.

HerrKautz 25.12.2004 16:00
Da ist dieser Eintrag,der mich etwas stutzig macht in dem Log:

O4 - HKLM\..\Run: [system32] C:\WINDOWS\System32\system32.exe

Wenn escan nichts mehr findet im abgesicherten Modus,scheint es i.O zu sein!

Gruss

Shadowdance 25.12.2004 18:43
googlen ist eine Möglichkeit, etwas zu finden. Es gibt mehr Möglichkeiten, gezielt zu suchen, beispielsweise www.processlibrary.com - wie aus meinem Posting an Cidre hervorging.

@ daruler,

Dein Logfile von heute nachmittag 15:19 zeigt die betreffende Datei als weiterhin vorhanden auf. Poste doch bitte mal das Ergebnis des eScan wie folgt: "Öffne die mwav.log -> Bearbeiten -> Suchen -> virus eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre)

und folge Lutz Empfehlung, die Datei C:\WINDOWS\System32\system32.exe online zu überprüfen. Die Links dazu findest Du in Lutz' Posting.

SD

Lucky 25.12.2004 19:02
Zitat:
Zitat von Shadowdance
Welches Betriebssystem hast Du denn? Win Me und XP: deaktiviere die Systemwiederherstellung C:\WINDOWS\System32\system32.exe in die Windows Suche übertragen -> löschen! Nach dem löschen die Systemwiederherstellung wieder aktivieren. Wenn Du ein anderes Betriebssystem hast, kannst Du die Datei einfach löschen.
Um die Systemwiederherstellung von der Malware zu befreien ist ein, bei deaktivierter Systemwiederherstellung, Neustart nötig.
Nachdem Neustart kann die Systemwiederherstellung, falls gewünscht, wieder aktiviert werden.

- björn

Lutz 25.12.2004 19:40
Zitat:
Zitat von Shadowdance
googlen ist eine Möglichkeit, etwas zu finden. Es gibt mehr Möglichkeiten, gezielt zu suchen, beispielsweise www.processlibrary.com - wie aus meinem Posting an Cidre hervorging.
Korrekt! Insofern war meine Aussage nicht richtig, bzw. unschlüssig. Aber dennoch 'beharre' ich darauf, dass Namen nur Schall und Rauch sind, insbesondere, wenn es um Malware geht... ;)

Zitat:
Zitat von Shadowdance
Dein Logfile von heute nachmittag 15:19 zeigt die betreffende Datei als weiterhin vorhanden auf.
Vielleicht habe ich jetzt 'Weihnachtstomaten' auf den Augen, aber ich sehe nur den Aufruf in der Zeile
O4 - HKLM\..\Run: [system32] C:\WINDOWS\System32\system32.exe,
jedoch keinen Hinweis darauf, dass die Datei noch vorhanden ist.

@daruler
'Irgendwo' schreibt doch NAV eine Log-Datei. Schau doch bitte mal dort nach, was mit der Datei gemacht wurde.

Shadowdance 25.12.2004 21:23
@ Lucky, danke für den Hinweis .. ich hatte das als bekannt vorausgesetzt.

@ Lutz " Vielleicht habe ich jetzt 'Weihnachtstomaten' auf den Augen, aber ich sehe nur den Aufruf in der Zeile
O4 - HKLM\..\Run: [system32] C:\WINDOWS\System32\system32.exe,
jedoch keinen Hinweis darauf, dass die Datei noch vorhanden ist."

Bedingt ein Aufruf nicht das Vorhandensein der Einträge auf einem Rechner? Woher nimmt das Programm Hijack This die Information über ein System, wenn nicht vom System selbst?

Es ist übrigens überflüssig, zwei Online-Scans machen zu lassen, wie ich vor kurzem selbst erfahren habe, da ich ebenfalls "Jotti" und "Kaspersky" als online-Überprüfung angeboten hatte. "Jotti" enthält u.a. den Scan bei Kaspersky.

Shadowdance


Alle Zeitangaben in WEZ +1. Es ist jetzt 01:43 Uhr.
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131