|
Plagegeister aller Art und deren Bekämpfung: Auch gern ne AnalyseWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
03.03.2004, 01:07 | #1 |
| Auch gern ne Analyse Hallo ihr, da ich wohl schon seit längerem nen Trojaner oder sowas auffem Rechner habe hab ich heut ein Prog gefunden dass diese wohl entfernen kann soll wie auch immer wäre also nett wenn mir einer von euch ne Analyse zu meinen Hijack Log files machen würde Vielen dank schon mal und ne gute N8 Liebe Grüße Karina Logfile of HijackThis v1.97.7 Scan saved at 01:00:24, on 03.03.2004 Platform: Windows 2000 SP3 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe D:\Programme\antivir\AVGUARD.EXE D:\Programme\antivir\AVWUPSRV.EXE C:\WINNT\SYSTEM32\DNTUS26.EXE C:\WINNT\System32\svchost.exe C:\WINNT\system32\hidserv.exe C:\WINNT\System32\cba\pds.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINNT\System32\mfm\msrll.exe C:\WINNT\System32\nvsvc32.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\System32\systems.exe C:\WINNT\system32\stisvc.exe C:\WINNT\ServicePackFiles\i386\lang\dwn\csrss.exe C:\WINNT\tcpsysdll.dll c:\winnt\security\logs\temp\winssl.EXE C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\Explorer.EXE c:\winnt\security\logs\temp\Win32SP.exe D:\Programme\Logitech\iTouch\iTouch.exe D:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE C:\WINNT\ServicePackFiles\i386\sys\dwn\csrss.exe D:\Programme\antivir\AVGNT.EXE C:\PROGRA~1\NAV\vptray.exe C:\Dokumente und Einstellungen\Priotik1\Desktop\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...ie&ar=iesearch R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir...r=6&ar=msnhome R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir...ie&ar=iesearch R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://ie.search.msn.com/{SUB_RFC176...t/srchasst.htm R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://ie.search.msn.com/{SUB_RFC176...t/srchcust.htm R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...ie&ar=iesearch R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir...r=6&ar=msnhome R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir...ie&ar=iesearch O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file) O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [zBrowser Launcher] D:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [EM_EXEC] D:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE O4 - HKLM\..\Run: [Msgn] C:\WINNT\SYSTEM32\tstorm.exe O4 - HKLM\..\Run: [wins] C:\WINNT\System32\net\Explore.exe O4 - HKLM\..\Run: [rtmf] C:\WINNT\SYSTEM32\vevq.exe O4 - HKLM\..\Run: [MSCrypto] C:\WINNT\System32\Microsoft\Crypto\RSA\S-1-5-18\MS\"h.exe csrss.exe" O4 - HKLM\..\Run: [SpoolMngr] C:\WINNT\System32\Microsoft\Crypto\RSA\S-1-5-18\MS\h.exe C:\WINNT\System32\Microsoft\Crypto\RSA\S-1-5-18\MS\csrss.exe O4 - HKLM\..\Run: [SPFiles] C:\WINNT\ServicePackFiles\i386\lang\dwn\"h.exe csrss.exe" O4 - HKLM\..\Run: [i386] C:\WINNT\ServicePackFiles\i386\lang\dwn\h.exe C:\WINNT\ServicePackFiles\i386\lang\dwn\csrss.exe O4 - HKLM\..\Run: [commondll] "c:\program files\common files\dllcache\h.exe c:\program files\common files\dllcache\dll.bat" O4 - HKLM\..\Run: [i386sys] C:\WINNT\ServicePackFiles\i386\sys\dwn\h.exe C:\WINNT\ServicePackFiles\i386\sys\dwn\csrss.exe O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb07.exe O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\antivir\AVGNT.EXE /min O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\NAV\vptray.exe O4 - HKLM\..\RunServices: [MSCrypto] C:\WINNT\System32\Microsoft\Crypto\RSA\S-1-5-18\MS\"h.exe csrss.exe" O4 - HKLM\..\RunServices: [SPFiles] C:\WINNT\ServicePackFiles\i386\lang\dwn\"h.exe csrss.exe" O4 - HKLM\..\RunServices: [commondll] "c:\program files\common files\dllcache\h.exe c:\program files\common files\dllcache\dll.bat" O4 - HKLM\..\RunServices: [i386] C:\WINNT\ServicePackFiles\i386\sys\dwn\"h.exe csrss.exe" O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: ICQ Pro (HKLM) O9 - Extra 'Tools' menuitem: ICQ (HKLM) O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...irector/sw.cab O16 - DPF: {D27CDB6E-AE6D-0000-0000-000000000000} - http://download.macromedia.com/pub/s...sh/swflash.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/hpdj/de/check/qdiagh.cab?315 O17 - HKLM\System\CCS\Services\Tcpip\..\{3A0A7685-B751-408C-815F-FEB115924F9B}: NameServer = 217.5.113.240 194.25.2.129 O17 - HKLM\System\CS1\Services\Tcpip\..\{3A0A7685-B751-408C-815F-FEB115924F9B}: NameServer = 217.5.113.240 194.25.2.129 DANKE!!! |
03.03.2004, 01:23 | #2 |
| Auch gern ne Analyse Hallo Karina!
__________________Das sieht alles in allem leider nicht gut aus - auf den ersten Blick erkenne ich einige Einträge, die auf Trojaner / Backdoors hindeuten. Mehr im Einzelnen dazu gleich. |
03.03.2004, 01:34 | #3 |
| Auch gern ne Analyse hmm also ich würde sagen, das is schlecht bin dir aber schon mal super dankbar, dass du dir das hier durchsiehst wenn ich das könnte würd ich das ja auch alles selber machen hab nur leider so wie es aussieht gar keinen Plan davon sorry. Aber wie gesagt schon mal vielen lieben dank. [img]graemlins/bussi.gif[/img]
__________________ |
03.03.2004, 03:30 | #4 |
| Auch gern ne Analyse Hi, was sagt denn ein guter Trojanerscanner dazu ? (Findet aktuelles AVPE da wirklich gar nichts ??) Onlinescanner von Trendmicro, RAV ? Oder gleich Kaspersky installieren (ohne Monitor/ControlCenter), updaten und alles scannen lassen was ist das ? O4 - HKLM\..\Run: [Msgn] C:\WINNT\SYSTEM32\tstorm.exe O4 - HKLM\..\Run: [rtmf] C:\WINNT\SYSTEM32\vevq.exe mit Onlinescanner von www.kaspersky.com prüfen! Sehr verdächtig: GMT.exe Gator spyware variant. O4 - HKLM\..\Run: [wins] C:\WINNT\System32\net\Explore.exe http://www.trendmicro.com/search/goo...?q=Explore.exe C:\WINNT\System32\systems.exe Systems.exe Keyboard Spectator - monitoring software that creates records of everything people do on a computer, ie, spying or monitoring depending upon how you call it Ich würde sagen, da brauchst du gar nicht weiter machen.. -> Datensicherung, Format C: & Win neu aufspielen, ServicePack4 aufspielen und ALLE Windowsupdates danach!! System/Browsr absichern & unnötige Diesnte deaktivieren ALLE am System benutzten/eingegeben Passwörter/PINs etc.. ändern [ 03. März 2004, 03:47: Beitrag editiert von: Who Cares ] |
03.03.2004, 04:16 | #5 |
| Auch gern ne Analyse @all: Sorry, ich hatte Kontakt zu Priotik über ICQ aufgenommen, weil die Einträge auf eine erhebliche Kompromittierung hindeuteten und einige Nachfragen auf diesem Wege schneller geklärt werden konnten als über das Forum. Vor dem (zu empfehlenden) Neuaufsetzen des Systems ist jedoch imho eine Sicherung einiger Dateien zwecks Beweissicherung dringend erforderlich (u.a. wegen der "Infektion" mit Backdoor.Agobot, Backdoor.Jtram, Dameware und einem FTP-Server (FTP.Serv-U.40))! |
Themen zu Auch gern ne Analyse |
antivir, askbar, bho, desktop, dllcache, drivers, einstellungen, entfernen, explorer, google, hijack, hijackthis, home, icq, internet, internet explorer, log, log files, microsoft, object, programme, rundll, s-1-5-18, security, shockwave, software, system, tcpip, temp, trojaner, windows |