Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Sys32.pif als laufender Prozess!! Virus/Trojaner?? (https://www.trojaner-board.de/21960-sys32-pif-laufender-prozess-virus-trojaner.html)

Sedi 18.09.2005 21:08
Sys32.pif als laufender Prozess!! Virus/Trojaner??
 
Hallo zusammen

Ich hab seit heute eine datei als laufenden Prozess (sys32.pif)
Diese ist manchmal einmal, manchmal zweimal vorhanden...

Aufmerksam wurde ich weil in abstaenden von ca. 10-15 sekunden aufn desktop immer sich der Mauszeiger zur sanduhr verwandelt!

Nun hab ich bissl nachgeforscht und bin nen wurm names benjamin gestossen, der wohl von kazaa eingeschleppt wird!

Nun ich hab weder kazaa noch irgend ein anders dieser art programme.
Und irgendwie ist auch immer da von sys32.exe die rede und nicht von sys32.pif

Waere echt toll wenn mir wer helfen koennte falls es sich um ein virus oder trojaner handelt.

Gruss Sedi und danke fuer eure hilfe

Rene-gad 18.09.2005 21:13
@Sedi
Zitat:
Ich hab seit heute eine datei als laufenden Prozess (sys32.pif)
Diese ist manchmal einmal, manchmal zweimal vorhanden...
Das ist kein gutes Zeichen. Bitte lesen: http://www.trojaner-board.com/announcement.php?f=20

Sedi 18.09.2005 21:17
@Rene-gad

Hi, was willst Du mir damit sagen??

Cidre 18.09.2005 21:21
Er wollte dir damit schonend beibringen, daß du folgende Programme ausführen und uns mit weiteren Informationen versorgen solltest.

Sedi 18.09.2005 21:29
@ Cidre

Ah sagt das doch gleich verstaendlich :)


Hier die Log file

Logfile of HijackThis v1.99.1
Scan saved at 22:22:09, on 18.09.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\System32\Ati2evxx.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Norton Internet Security\ISSVC.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\CTsvcCDA.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\PROGRA~1\QSCAG~1\QSCENT~1\app\pppoeservice.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\MsPMSPSv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\WINNT\SOUNDMAN.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
C:\WINNT\system32\CTHELPER.EXE
C:\Program Files\ASUS\Probe\AsusProb.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\system32\sys32.pif
C:\PROGRA~1\QSCAG~1\QSCENT~1\app\EnterNet.exe
C:\WINNT\system32\sys32.pif
C:\Dokumente und Einstellungen\Sascha\Desktop\Neu1\HijackThis.exe
--------------------------------------------------------------------
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [ATIPTA] atiptaxx.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINNT\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [CTStartup] C:\Programme\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Windows System Security] sys32.pif
O4 - HKLM\..\RunServices: [Windows System Security] sys32.pif
O4 - HKCU\..\Run: [Windows System Security] sys32.pif
O4 - HKCU\..\RunServices: [Windows System Security] sys32.pif


^^ Hoffe damit kann man was anfangen

---------
Gruss Sedi

dartus 18.09.2005 22:59
Hallo Sedi,

IMHO sieht es in Deinem System nicht gut aus.

Scanne bitte folgende Datei :

C:\WINNT\system32\sys32.pif

hier online:

http://virusscan.jotti.org/de

Poste bitte das Ergebnis.

dartus

Sedi 19.09.2005 00:01
Ich sage es nur ungern aber die Datei sys32.pif existiert auf dem ganzen rechner nicht.

Nur als laufender prozess....

Kann ich herrausfinden womit diese sys32.pif datei verknüpft ist ????

dartus 19.09.2005 00:35
Hallo,

wenn Du folgende Einstellung vornimmst, wirst Du die Datei auch finden:

Öffne den Explorer-->Extras-->Ordneroptionen-->Ansicht-->Systendateien ausblenden "häckchen weg“ und "Alle Dateien und Ordner Anzeigen" anklicken

dartus

Sedi 19.09.2005 07:15
Hallo Dartus

Danke fuer die Info und hier das ernüchternde ergebnis:

AntiVir Keine Viren gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Win32.HLLW.MyBot gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Backdoor.Win32.IRCBot.gt gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden
UNA Keine Viren gefunden
VBA32 Keine Viren gefunden


Hab mal bei symantec nach nem Remove Tool geschaut aber nix gefunden... bin auch nun zu muede um mich mit diesem Prob auseinander zu setzten.

Vllt kann mir ja wer nen link schicken fuer nen progi um die scheisse zu entfernen :)

Danke an alle fuer den schnellen Rat

Gruss und gute nacht Sedi

stupormundi 19.09.2005 07:31
Hallo, sedi!

Zitat:
Vllt kann mir ja wer nen link schicken fuer nen progi um die scheisse zu entfernen
- der einzige link, welcher bei der Verseuchung mir derartigen Backdoors sinnvoll ist, ist Cidres Anleitung zum neu Aufsetzen: http://www.trojaner-board.de/showthread.php?t=12154
Hier ist auch angeführt bzw. verlinkt, warum es eben keinen link zur Entfernung sondern nur zum Neu-Aufsetzen gibt!
Um Deiner Frage, ob es nicht doch ausreicht, den Schädling mal so zu entfernen - nein! Lies´ nach, dann wirst Du es einsehen!
Und ja - es erfordert Zeit, das System ganz neu aufzusetzen, aber die Zeit, welche Du jetzt auf der Suche nach Alternativen, welche am Ende doch nichts bringen, vergeudest, könntest Du bereits mit dem Formatieren Deiner Festplatte und der Neuinstallation Deines Betriebssystems (v.a. SP2 plus aktuelle Sicherheitspatches) besser nutzen!
Viel Glück, stupormundi

stupormundi 19.09.2005 09:05
@ sedi!
Ich muss mich selber korrigieren-wurde dankenswerter Weise von Rene-Gad *thx* darauf hingewiesen
Zitat:
...Deines Betriebssystems (v.a. SP2 plus aktuelle Sicherheitspatches)...
: Das ergäbe bei Deinem BS
Zitat:
Platform: Windows 2000 SP4
natürlich keinen Sinn!
Trotzdem: Bei der Aktualität immer am Ball bleiben
Bis denn, stupormundi


Alle Zeitangaben in WEZ +1. Es ist jetzt 11:29 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131