|
Log-Analyse und Auswertung: Mit einem Trojan Downloader fing alles an...Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
26.11.2004, 13:27 | #1 |
| Mit einem Trojan Downloader fing alles an... Hallo! Nach vielem selbstständigen aber auch relativ planlosen Herumdoktern, komme ich jetzt mal mit meinen Problemen zu Euch und hoffe, dass wer Zeit und Lust hat, mit seinem/ ihrem Wissen weiterzuhelfen. Zuerst habe ich mir (wohl) beim Filesharing unter Windows XP einen <b>Trojan Downloader Java Open Connection f</b> (soll das Gleiche wie Exploit_ByteVerify sein) eingefangen. Das meldete mir zuverlässig AntiVir, ich habe es in Quarantäne geschickt. Danach folgten innerhalb kurzer Zeit - Korgo.U - Rbot.Hy (= Backdoor Rbot.gen) - Rbot.Pl - Korgo.Q - Trojan Downloader Wren.F Ich habe selber so gut es ging versucht, mich nach Registrierungseinträgen und Removal tools zu erkundigen und habe damit auch schon einige Seltsamkeiten beheben können. Ein Freund riet mir zu XP Service Pack 2, habe ich dann installiert, woraufhin mein DSL nicht mehr funktionierte (trotz mehrerer Stunden Support vom Provider...). - Also kein Service Pack 2 mehr, aber alle neuesten Hotfixes. Zum Thema Firewall (derzeit bei mir probeweise Norton) will ich hier nicht ausschweifen, muss ich mich mal woanders schlau machen, wie das optimal für filesharing (schareaza/emule) und browsen per mozilla eingestellt werden sollte. f-prot, ad-aware, Antivir, hijackthis (alles neueste Versionen) verhalten sich alle unauffällig und melden mir keine Verseuchung. Aber mit so etwas wie der log bin ich eh leider zu blöd umzugehen, es sei denn da steht böservirus.exe oder so drin.... :-) Ich habe jetzt mal im abgesicherten Modus HijackThis laufen lassen. Dies ist das Ergebnis: Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\VIRENBEKÄMPFUNG\hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer,SearchAssistant = http://www.google.de R1 - HKCU\Software\Microsoft\Internet Explorer,CustomizeSearch = http://www.google.de R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.google.de R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.de R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.lehrerbibliothek.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.de R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.google.de R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.de O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll (file missing) O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - (no file) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [SmcService] REM C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [S3TRAY2] S3tray2.exe O4 - HKLM\..\Run: [S3hotkey] S3hotkey.exe O4 - HKLM\..\Run: [QuickTime Task] REM "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [OmniPage] C:\Programme\Caere\OmniPagePro90\opware32.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers O4 - HKLM\..\Run: [ElbyCheckElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe" O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\RunServices: [DJSNetCN] C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe O4 - HKLM\..\RunOnce: [T-DSL SpeedMgr] grpconv /o O4 - HKCU\..\Run: [Shareaza] "C:\Programme\Shareaza\Shareaza.exe" -tray O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe O4 - HKCU\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe O4 - HKCU\..\RunOnce: [SRUUninstall] "C:\WINDOWS\System32\msiexec.exe" /L*v C:\DOKUME~1\Michael\LOKALE~1\Temp\SND532unin.txt /x {6AF90EF6-F7F9-466C-99F4-1774826FBB40} /qn REBOOT=ReallySuppress O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000 O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O16 - DPF: Yahoo! Chat - http://cs5.chat.sc5.yahoo.com/c381/chat.cab O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com...45/yacscom.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1101330682345 O16 - DPF: {CAFEEFAC-0014-0000-0001-ABCDEFFEDCBA} (Java Runtime Environment 1.4.0_01) - O16 - DPF: {CAFEEFAC-0014-0001-0004-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_04) - Vielleicht entdeckt ja jemand gleich die malware oder auch die nichtsnutzigen Anwendungen. Ich glaube derzeit einfach noch nicht, dass ich bisher allein mit den 6 verschiedenen Bösewichten klar gekommen sein sollte. Ich denke mal, da versteckt sich noch allerhand...? Für Hilfe jetzt schon ein herzliches DANKESCHÖN! Michael |
26.11.2004, 13:48 | #2 |
| Mit einem Trojan Downloader fing alles an... @Wunderwerktechnik
__________________mehrere antivirenprogramme gleichzeitig laufen zu lassen nach dem motto"viel hilft viel" funktioniert leider nicht. das gibt viele fehlalarme und sie behindern sich gegenseitig allein schon wegen die 2 hier Rbot.Hy (= Backdoor Rbot.gen) http://www.sophos.de/virusinfo/analyses/w32rbothy.html Rbot.Pl http://www.sophos.de/virusinfo/analyses/w32rbotpl.html kann man dich nur das empfehlen dein system dürfte mehr als kompromittiert sein http://www.mathematik.uni-marburg.de...ompromise.html chaosman
__________________ |
26.11.2004, 20:22 | #3 |
| Mit einem Trojan Downloader fing alles an... @Chaosman
__________________Danke für die prompte Antwort und die links. Mmh, das ist natürlich irgendwie worst case für mich. Ich bereite mich jetzt mental und technisch darauf vor und versuche mal alles mögliche auf cds zu brennen (hoffentlich brenne ich mir da keine Viren-CDs...). Insofern ist es keine gute Nachricht. Schönes Wochenende! |
26.11.2004, 20:29 | #4 |
| Mit einem Trojan Downloader fing alles an... Hi, alles, was Du brennen willst, mußt du vorher scannen, sonst wars wieder nix! cacatoa
__________________ Der Mensch sollte eine Hundeseele haben |
27.11.2004, 12:00 | #5 |
| Mit einem Trojan Downloader fing alles an... Danke für den Tipp. Doch wenn unterschiedliche Virenscanner jetzt schon auf meinem PC nichts mehr finden können, können sie ja auch nicht sehen, ob die Daten, die ich von Festplatte auf CD brenne, verseucht sind, oder? Haben eigentlich irgendwelche bestimmten Dateien aus dem Hijackthis.log Euren Verdacht erweckt, oder resultiert die Empfehlung, das Windows XP neu auzusetzen aus meiner Beschreibung mit den verschiedenen Trojanern, die ich hatte? Schönes Wochenende, Wunderwerktechnik P.S.: Was ist das eigentlich für ein Smiley hier, den kann ich irgendwie nicht richtig einordnen: |
27.11.2004, 12:22 | #6 | |||
Administrator, a.D. | Mit einem Trojan Downloader fing alles an...Zitat:
Zitat:
Zitat:
Les dir dazu folgende Links mal durch: http://faq.underflow.de/#SECTION000110000000000000000 http://www.mathematik.uni-marburg.de...ompromise.html
__________________ --> Mit einem Trojan Downloader fing alles an... |
27.11.2004, 18:20 | #7 |
| Mit einem Trojan Downloader fing alles an... Ob die erwähnte Malware jemals aktiv war und unter welcher Pfadangabe die gesteckt hat, weiss ich peinlicherweise gar nicht mehr genau. Ich kenn mich halt auch leider nicht aus. Die Meldungen kamen halt alle von Antivir, ich habe die Files dann vorsichtshalber nur in Quarantäne geschickt, bei weiteren Scans sind sie dann wiederentdeckt worden (diesmal im Quarantäneverzeichnis), so dass ich die infizierten files dann relativ genervt ganz gelöscht habe. Das Protokoll habe ich auch nicht mehr (kann man AntiVir so einstellen, dass es die Protokolle länger aufbewahrt oder muss man die jeweils manuell speichern?). Da waren schon einige im C:/Windows/System- und System32-Ordner... Die links zu den un-/seriösen Filesharing-Quellen lese ich mir gleich mal durch. Danke. Ich glaube, dass hing irgendwie mit Java zusammen, da ich gerade den mit Java arbeitenden Azureus client in Betrieb genommen hatte und die meine Sicherheit nicht ausreichend gewährleistet war. Jetzt habe ich zusätzlich zu den ganzen Patches und Antivir eine Norton-Firewall, die mein Surfen blockiert: "Verbindungsaufbau verweigert" kommt dann immer, obwohl ich die PFW auf Mozilla "alle Verbindungen zulassen" gestellt habe... Das heisst, der schlichte und unbedarfte User kann sowieso offenbar nicht ausreichend für seine Sicherheit ohne Hilfe (wie die Eure) nicht aufkommen. Schade.... Aber wie gesagt: Ich will hier nicht auch noch mit dem Firewall-Thema nerven. |
27.11.2004, 18:24 | #8 |
| Mit einem Trojan Downloader fing alles an... Na, dann schick doch mal ein neues Logfile zum abchecken.
__________________ Der Mensch sollte eine Hundeseele haben |
27.11.2004, 22:22 | #9 |
| Mit einem Trojan Downloader fing alles an... Naja, dann woll'n wir mal. Das ich den log immer im abgesicherten Modus erstelle ist korrekt oder unnötig? Logfile of HijackThis v1.98.2 Scan saved at 22:12:13, on 27.11.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\VIRENBEKÄMPFUNG\hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer,SearchAssistant = http://www.google.de R1 - HKCU\Software\Microsoft\Internet Explorer,CustomizeSearch = http://www.google.de R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.google.de R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.de R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.lehrerbibliothek.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.de R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.google.de R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.de O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll (file missing) O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - (no file) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [SmcService] REM C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [S3TRAY2] S3tray2.exe O4 - HKLM\..\Run: [S3hotkey] S3hotkey.exe O4 - HKLM\..\Run: [QuickTime Task] REM "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [OmniPage] C:\Programme\Caere\OmniPagePro90\opware32.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers O4 - HKLM\..\Run: [ElbyCheckElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe" O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\RunServices: [DJSNetCN] C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe O4 - HKCU\..\Run: [Shareaza] "C:\Programme\Shareaza\Shareaza.exe" -tray O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000 O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O16 - DPF: Yahoo! Chat - http://cs5.chat.sc5.yahoo.com/c381/chat.cab O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com...45/yacscom.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1101330682345 O16 - DPF: {CAFEEFAC-0014-0000-0001-ABCDEFFEDCBA} (Java Runtime Environment 1.4.0_01) - O16 - DPF: {CAFEEFAC-0014-0001-0004-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_04) - |
27.11.2004, 22:31 | #10 |
| Mit einem Trojan Downloader fing alles an... hi ein hijackthis-logfile im abgesicherten modus bringt eigentlich nichts
__________________ lg HijackThis, Security-Tool |
27.11.2004, 23:38 | #11 |
| Mit einem Trojan Downloader fing alles an... Dann hier halt mal nicht abgesichert: Logfile of HijackThis v1.98.2 Scan saved at 23:31:01, on 27.11.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Sygate\SPF\smc.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\System32\S3tray2.exe C:\WINDOWS\System32\S3hotkey.exe C:\Programme\Caere\OmniPagePro90\opware32.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\system32\ntvdm.exe C:\Programme\T-DSL SpeedManager\SpeedMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe C:\WINDOWS\system32\slserv.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\WINDOWS\System32\svchost.exe C:\Programme\T-DSL SpeedManager\tsmsvc.exe C:\Programme\mozilla.org\Mozilla\mozilla.exe C:\Programme\VIRENBEKÄMPFUNG\hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer,SearchAssistant = http://www.google.de R1 - HKCU\Software\Microsoft\Internet Explorer,CustomizeSearch = http://www.google.de R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.google.de R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.de R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.lehrerbibliothek.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.de R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.google.de R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.de O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll (file missing) O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - (no file) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [SmcService] REM C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [S3TRAY2] S3tray2.exe O4 - HKLM\..\Run: [S3hotkey] S3hotkey.exe O4 - HKLM\..\Run: [QuickTime Task] REM "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [OmniPage] C:\Programme\Caere\OmniPagePro90\opware32.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers O4 - HKLM\..\Run: [ElbyCheckElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe" O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\RunServices: [DJSNetCN] C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe O4 - HKCU\..\Run: [Shareaza] "C:\Programme\Shareaza\Shareaza.exe" -tray O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000 O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O16 - DPF: Yahoo! Chat - http://cs5.chat.sc5.yahoo.com/c381/chat.cab O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com...45/yacscom.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1101330682345 O16 - DPF: {CAFEEFAC-0014-0000-0001-ABCDEFFEDCBA} (Java Runtime Environment 1.4.0_01) - O16 - DPF: {CAFEEFAC-0014-0001-0004-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_04) - O17 - HKLM\System\CCS\Services\Tcpip\..\{5A9C4F7F-1F03-4938-A5EF-709455A697C8}: NameServer = 217.237.151.97 217.237.150.33 Gut, dann hoffe ich mal, dass das so ok ist (und dass mit solchen log's nicht auch die Bösewichte etwas anfangen können...?! Hab ich noch gar nicht dran gedacht.... Ist echt ätzend, wenn man von dem Ganzen kaum Ahnung hat *Seufz*) |
28.11.2004, 00:22 | #12 |
| Mit einem Trojan Downloader fing alles an... hi hier ist schon ein wenig mehr zu sehen das logfile asugewertet eigentlich schon recht schön, aber S3tray2.exe --> suchen und mit dem jotti onlinescan überprüfen, bitte ergebnis hier posten
__________________ lg HijackThis, Security-Tool |
28.11.2004, 14:01 | #13 |
| Mit einem Trojan Downloader fing alles an... Toll, Danke für die Auswertung! Unnötige Einträge wurden jetzt gelöscht, unbekannte überprüft (O4 - HKLM\..\Run: [S3TRAY2] S3tray2.exe ist O.K.). Wie hoch ist eigentlich die Wahrscheinlichkeit, dass infizierte files von highjackthis nicht erkannt werden? Gering oder "kommt drauf an"? Kann man denn auch den system- und system32-Ordner auf diese Weise erfassen? Tschüs! |
28.11.2004, 15:10 | #14 |
| Mit einem Trojan Downloader fing alles an... Na, schau Dir doch Dein eigenes Logfile mal an: Du siehst doch die Teilchen aus dem System32 Ordner? Außerdem erfaßt HJT vieles, aber eben nicht alles. Man muß auch außer der automatischen Auswertung die Äuglein offen halten; man übersieht gerne mal was. Außerdem scannt HJT nicht die files, sondern laufende Prozesse und Progs. Anhand derer kann man rausfinden, ob etwas nicht in Ordnung ist (aber auch nicht immer ) Grüße cacatoa
__________________ Der Mensch sollte eine Hundeseele haben |
29.11.2004, 11:20 | #15 |
| Mit einem Trojan Downloader fing alles an... Ja, so habe ich mir das in etwa auch gedacht. Mmmh, sollte ich jetzt mein System als immer noch so korrumpiert betrachten, dass ich es besser jetzt als später neu installiere? Hijackthis und diverse AV-Scannings sind ja in Ordnung... Gute Woche! |
Themen zu Mit einem Trojan Downloader fing alles an... |
abgesicherten modus, ad-aware, adobe, antivir, avgnt.exe, backdoor, bho, browse, downloader, dsl, excel, file missing, firewall, hijack, hijackthis, hilfe, internet, internet explorer, malware, monitor, mozilla, msiexec.exe, quara, software, symantec, system, temp, trojan, trojan downloader, träge, unter, unter windows xp, versteckt sich, windows, windows xp |