Hallo ihr,

da ich wohl schon seit längerem nen Trojaner oder sowas auffem Rechner habe hab ich heut ein Prog gefunden dass diese wohl entfernen kann soll wie auch immer wäre also nett wenn mir einer von euch ne Analyse zu meinen Hijack Log files machen würde

Vielen dank schon mal

und ne gute N8

Liebe Grüße
Karina

Logfile of HijackThis v1.97.7
Scan saved at 01:00:24, on 03.03.2004
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
D:\Programme\antivir\AVGUARD.EXE
D:\Programme\antivir\AVWUPSRV.EXE
C:\WINNT\SYSTEM32\DNTUS26.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\hidserv.exe
C:\WINNT\System32\cba\pds.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINNT\System32\mfm\msrll.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\systems.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\ServicePackFiles\i386\lang\dwn\csrss.exe
C:\WINNT\tcpsysdll.dll
c:\winnt\security\logs\temp\winssl.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
c:\winnt\security\logs\temp\Win32SP.exe
D:\Programme\Logitech\iTouch\iTouch.exe
D:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\WINNT\ServicePackFiles\i386\sys\dwn\csrss.exe
D:\Programme\antivir\AVGNT.EXE
C:\PROGRA~1\NAV\vptray.exe
C:\Dokumente und Einstellungen\Priotik1\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir...r=6&ar=msnhome
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://ie.search.msn.com/{SUB_RFC176...t/srchasst.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://ie.search.msn.com/{SUB_RFC176...t/srchcust.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir...r=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [zBrowser Launcher] D:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [EM_EXEC] D:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [Msgn] C:\WINNT\SYSTEM32\tstorm.exe
O4 - HKLM\..\Run: [wins] C:\WINNT\System32\net\Explore.exe
O4 - HKLM\..\Run: [rtmf] C:\WINNT\SYSTEM32\vevq.exe
O4 - HKLM\..\Run: [MSCrypto] C:\WINNT\System32\Microsoft\Crypto\RSA\S-1-5-18\MS\"h.exe csrss.exe"
O4 - HKLM\..\Run: [SpoolMngr] C:\WINNT\System32\Microsoft\Crypto\RSA\S-1-5-18\MS\h.exe C:\WINNT\System32\Microsoft\Crypto\RSA\S-1-5-18\MS\csrss.exe
O4 - HKLM\..\Run: [SPFiles] C:\WINNT\ServicePackFiles\i386\lang\dwn\"h.exe csrss.exe"
O4 - HKLM\..\Run: [i386] C:\WINNT\ServicePackFiles\i386\lang\dwn\h.exe C:\WINNT\ServicePackFiles\i386\lang\dwn\csrss.exe
O4 - HKLM\..\Run: [commondll] "c:\program files\common files\dllcache\h.exe c:\program files\common files\dllcache\dll.bat"
O4 - HKLM\..\Run: [i386sys] C:\WINNT\ServicePackFiles\i386\sys\dwn\h.exe C:\WINNT\ServicePackFiles\i386\sys\dwn\csrss.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\antivir\AVGNT.EXE /min
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\NAV\vptray.exe
O4 - HKLM\..\RunServices: [MSCrypto] C:\WINNT\System32\Microsoft\Crypto\RSA\S-1-5-18\MS\"h.exe csrss.exe"
O4 - HKLM\..\RunServices: [SPFiles] C:\WINNT\ServicePackFiles\i386\lang\dwn\"h.exe csrss.exe"
O4 - HKLM\..\RunServices: [commondll] "c:\program files\common files\dllcache\h.exe c:\program files\common files\dllcache\dll.bat"
O4 - HKLM\..\RunServices: [i386] C:\WINNT\ServicePackFiles\i386\sys\dwn\"h.exe csrss.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll
O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...irector/sw.cab
O16 - DPF: {D27CDB6E-AE6D-0000-0000-000000000000} - http://download.macromedia.com/pub/s...sh/swflash.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/hpdj/de/check/qdiagh.cab?315
O17 - HKLM\System\CCS\Services\Tcpip\..\{3A0A7685-B751-408C-815F-FEB115924F9B}: NameServer = 217.5.113.240 194.25.2.129
O17 - HKLM\System\CS1\Services\Tcpip\..\{3A0A7685-B751-408C-815F-FEB115924F9B}: NameServer = 217.5.113.240 194.25.2.129


DANKE!!!

Hallo Karina!

Das sieht alles in allem leider nicht gut aus - auf den ersten Blick erkenne ich einige Einträge, die auf Trojaner / Backdoors hindeuten. Mehr im Einzelnen dazu gleich.

hmm also ich würde sagen, das is schlecht bin dir aber schon mal super dankbar, dass du dir das hier durchsiehst wenn ich das könnte würd ich das ja auch alles selber machen hab nur leider so wie es aussieht gar keinen Plan davon sorry. Aber wie gesagt schon mal vielen lieben dank. [img]graemlins/bussi.gif[/img]

Hi,

was sagt denn ein guter Trojanerscanner dazu ?
(Findet aktuelles AVPE da wirklich gar nichts ??)
Onlinescanner von Trendmicro, RAV ?
Oder gleich Kaspersky installieren (ohne Monitor/ControlCenter), updaten und alles scannen lassen

was ist das ?
O4 - HKLM\..\Run: [Msgn] C:\WINNT\SYSTEM32\tstorm.exe
O4 - HKLM\..\Run: [rtmf] C:\WINNT\SYSTEM32\vevq.exe
mit Onlinescanner von www.kaspersky.com prüfen!


Sehr verdächtig:
GMT.exe Gator spyware variant.
O4 - HKLM\..\Run: [wins] C:\WINNT\System32\net\Explore.exe
http://www.trendmicro.com/search/goo...?q=Explore.exe


C:\WINNT\System32\systems.exe
Systems.exe
Keyboard Spectator - monitoring software that creates records of everything people do on a computer, ie, spying or monitoring depending upon how you call it


Ich würde sagen, da brauchst du gar nicht weiter machen..

-> Datensicherung, Format C: & Win neu aufspielen,
ServicePack4 aufspielen und ALLE Windowsupdates danach!!
System/Browsr absichern & unnötige Diesnte deaktivieren

ALLE am System benutzten/eingegeben Passwörter/PINs etc.. ändern

[ 03. März 2004, 03:47: Beitrag editiert von: Who Cares ]

@all: Sorry, ich hatte Kontakt zu Priotik über ICQ aufgenommen, weil die Einträge auf eine erhebliche Kompromittierung hindeuteten und einige Nachfragen auf diesem Wege schneller geklärt werden konnten als über das Forum.

Vor dem (zu empfehlenden) Neuaufsetzen des Systems ist jedoch imho eine Sicherung einiger Dateien zwecks Beweissicherung dringend erforderlich (u.a. wegen der "Infektion" mit Backdoor.Agobot, Backdoor.Jtram, Dameware und einem FTP-Server (FTP.Serv-U.40))!