Hallo, kann mir jemand sagen welche Einträge auf trojaner und co hinweisen oder sicher sind und wenn ja was diese machen?

Logfile of HijackThis v1.99.0
Scan saved at 19:13:34, on 01/25/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
D:\T-ONLINE\BSW4\ToADiMon.exe
D:\PROGRA~1\NORTON~1\navapw32.exe
D:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
D:\PROGRA~1\NORTON~1\navw32.exe
C:\WINDOWS\system32\ntvdm.exe
D:\T-ONLINE\BSW4\ToDuCAlC.EXE
c:\progra~1\intern~1\iexplore.exe
D:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Lokale Einstellungen\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
O2 - BHO: My Search BHO - {014DA6C1-189F-421a-88CD-07CFE51CFF10} - C:\Programme\MySearch\bar\1.bin\S4BAR.DLL (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Programme\Norton AntiVirus\NavShExt.dll
O2 - BHO: C:\WINDOWS\lbbho.dll - {D3679787-A6D9-4C20-AF16-3659EB0FC8B9} - C:\WINDOWS\lbbho.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: My Search Bar - {014DA6C9-189F-421a-88CD-07CFE51CFF10} - C:\Programme\MySearch\bar\1.bin\S4BAR.DLL (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Popup Blocker System32 Monitoring] PopUpBlockerd.exe
O4 - HKLM\..\Run: [RSPC Driver] vyeu.exe
O4 - HKLM\..\Run: [lssas Monitoring Startup] lssas.exe
O4 - HKLM\..\Run: [ToADiMon.exe] D:\T-ONLINE\BSW4\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [NAV Agent] D:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\RunServices: [Popup Blocker System32 Monitoring] PopUpBlockerd.exe
O4 - HKLM\..\RunServices: [RSPC Driver] vyeu.exe
O4 - HKLM\..\RunServices: [lssas Monitoring Startup] lssas.exe
O4 - HKCU\..\Run: [Popup Blocker System32 Monitoring] PopUpBlockerd.exe
O4 - HKCU\..\Run: [lssas Monitoring Startup] lssas.exe
O4 - HKCU\..\Run: [RSPC Driver] vyeu.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\Programme\ICQ\ICQ.exe
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{26394F12-067B-4834-B5E0-D40AF22E1998}: NameServer = 217.237.150.141 217.237.150.97
O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - D:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

du hast den AGOBOT.RL drauf -> neuinstallation
beachte auch diese Anleitung

danke und sonst nichts, was macht der agobot und woran genau hast du das gesehen?

Hab das gefunden, Issas hatte ich schon beim Neuaufsetzen drauf, Norton hat das gemeldet, ich denke issas gehört zu windows?

Process File: lsass or lsass.exe
Process Name: Local Security Authority Service

Description:
lsass.exe is a system process of the Microsoft Windows security mechanisms. It specifically deals with local security and login policies. Note: lsass.exe also relates to the Windang.worm, irc.ratsou.b, Webus.B, MyDoom.L, Randex.AR, Nimos.worm which spread via floppy disk drives, mass-mailing and peer-to-peer sharing. Please review file path for clarification of this


Process File: lssas or lssas.exe
Process Name: W32.AGOBOT.RL

Description:
lssas.exe is a process which is registered as the W32.AGOBOT.RL Trojan. This Trojan allows attackers to access your computer, stealing passwords and personal data. It is a registered security risk and should be removed immediately. Please see additional details regarding this process

Hi nfan,

an dieser Datei erkennt man dies: lssas.exe.
Das Microsoft-Programm heisst: lsass.exe.
Schau Dir die Eigenschaften der Dateien mal an.

dartus

-> http://www.trojaner-board.de/showthr...829#post110829

Warum eröffnest du einen neuen Thread?

Hat dir meine Antwort nicht gefallen?
Willst du lieber so etwas hören:
"Ist nicht so schlimm, scanne mal mit AntiVir und alles ist wieder gut"

Oder bevorzugst du kompetente Hilfe?
Dann mach das, was ich dir schon gestern geschrieben habe.

deine Antwort hab ich vorher nicht gelesen und den alten Thread liest doch keiner ganz durch. ich weiss doch nicht wie erfahren du bist, vielleicht sehen andere ja was, was du noch nicht kanntest.
Und Issas hatte ich beim Neuaufsetzen sofort drauf, wenn ich wieder Neuaufsetzen würde, würde mir das ja nichts bringen weil ich nicht weiss wo er herkommt, im Internet war ich bis dahin nicht.

Ich glaube du hast den alten Thread nicht ganz gelesen.
Nochmal zu Mitschreiben:
C:\WINDOWS\system32\Lsass.exe ist ein Systemprozess. Man beachte den Ordner und das "L" am Anfang. Falls der Prozess in einem anderen Ordner läuft -> Malware

C:\dir\isass -> Malware.

Wenn du mal die Beschreibungen zu den Trojanern gelesen hättest, wäre es dir, auch völlig ohne Erfahrung, möglich gewesen meine Antwort zu überprüfen.

btw: Willst vielleicht noch ein paar Threads eröffnen, z.B. unter "Antiviren-, Firewall- und andere Schutzprogramme" und dort dein Problem schildern?


btw: Warum bittest du an einem Board um die Überprüfung deines Logfiles, wenn du der Person, die sich deiner annimmt, nicht glaubst?

ja sorry, ich hätte nachgucken können... wer weiss wie lange das gedauert hätte, so übersichtlich wie die sind.
Wegen Issas hab ich nen patch installiert und stinger scannen lassen.
Popupblockerd hatte norton auch gemeldet, die zwei würde ich beim Neuaufsetzen wieder drauf haben, ich hatte aber nur meine Dateien kopiert und bekannte Programme installiert.
über vyeu findet google nichts, hatte ich meine ich aber auch beim Neuaufsetzen drauf. Bringt es was wenn ich die 6 (sind alle doppelt) aus dem Autostart rausnehme?

1.) Das ist meine letzte Antwort.
2.) Setz dein System neu auf! Warum? -> Thread(s) lesen, Links lesen, Forensuche verwenden!
3.) Mach doch was du willst, aber sei den anderen Internetusern gegenüber so fair und trenne dein System vom Netz. Durch Virenschleudern wie deine, verbreitet sich Malware rasend schnell....
4.) Windows kein bisschen gepatcht=> Infektion! Was tun? Links lesen und Ratschläge umsetzen.

Zitat:

ich hätte nachgucken können...

Ja, hättest du!

Zitat:

wer weiss wie lange das gedauert hätte

Genau, du hast ein Problem, warum solltest du dich also damit auseinandersetzen....


PS: Reinigung unmöglich!

@nfan

nun, wenn du dieser hier, im system hast
da kann man dir nur format c empfehlen.

Haui45 und Chris14 haben recht.
Wegen Issas hab ich nen patch installiert und stinger scannen lassen.
Popupblockerd hatte norton auch gemeldet, die zwei würde ich beim Neuaufsetzen wieder drauf haben, ich hatte aber nur meine Dateien kopiert und bekannte Programme installiert.
über vyeu findet google nichts, hatte ich meine ich aber auch beim Neuaufsetzen drauf. Bringt es was wenn ich die 6 (sind alle doppelt) aus dem Autostart rausnehme?

nützt alles nicht, setze neu auf wie hier beschrieben wird

lese bitte diesen link mal genau durch

deine Antwort hab ich vorher nicht gelesen und den alten Thread liest doch keiner ganz durch. ich weiss doch nicht wie erfahren du bist, vielleicht sehen andere ja was, was du noch nicht kanntest.

wenn ich diese sätze lese verstehe ich nicht ganz warum du hier um hilfe fragst.

chaosman

ok, danke trotzdem auch wenn ich eure Reaktionen nicht ganz verstehe.
Werd dann demnächst nochmal neu aufsetzen und vor allen anderen Programmen das SP2 installieren. Hoffe, dass ich dadurch die drei abwehren kann.

@nfan

dein system ist völlig veraltet, du hast C:\WINDOWS\system32\Lsass.exe
im system, es sind mehrere anzeigen von malware im system, dann hast du von 2 user den gleichen rat bekommen.
"deine Antwort hab ich vorher nicht gelesen und den alten Thread liest doch keiner ganz durch. ich weiss doch nicht wie erfahren du bist, vielleicht sehen andere ja was, was du noch nicht kanntest."

was verstehst du nicht?


chaosman

No prob

Das wegen dem 2ten Thread meine ich nur, nicht eure Ratschläge.