trojaner spreda???

engl · 22.03.2005, 17:13

heute wurde ich beim serven gewarnt, in etwa so:

trojaner " W32.HLLP.SPREDA.B.spy v2.016 " versucht, Ihre Passwörter auszuspionieren. Von IP 244 253 163 44 aus, in Nigeria, über Port 443

hijachthis file :
Logfile of HijackThis v1.99.0
Scan saved at 16:54:50, on 22.03.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe
C:\Programme\Lexmark X1100 Series\lxbkbmon.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
D:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
D:\Programme\AVPersonal\AVGUARD.EXE
D:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\oodag.exe
C:\WINDOWS\system32\devldr32.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\Programme\Yahoo!\Messenger\ymsgr_tray.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\WinRAR\WinRAR.exe
D:\temp\Rar$EX00.718\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] "D:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Programme\Yahoo!\Messenger\ypager.exe -quiet
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\frontpage\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1019293468724
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - D:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - D:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: LexBce Server - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\System32\oodag.exe

jetzt lass ich grad noch escan drüberlaufen, reicht das oder brauchts das noch im abgesicherten Modus? Wie soll ich weiter verfahren? Nachdem ich nicht weiß, woher die Warnung kam, hab ich den Verdacht, daß sie selbst eine Finte war. Es kam auch die Frage, ob ich mehr über den Trojaner wissen wolle, hab ich mit ja angeklickt und bin auf einer Seite gelandet, die ein Antivirenprogramm anbieten mit kurzer Erklärung, weis aber nicht mehr, was f eine Seite.

Danke Gruß Christof

edit: bei mir läuft immer Antivir mit!

michio · 22.03.2005, 17:29

Hallo!
Scan das ganze System im abges. Modus mit escan, nachher wirst du Klarheit haben. Kann mir gut vorstellen dass es eine Finte war, hat ja nicht Antivir gemeldet, oder? Die wollten doch nur dass du dir dieses AV-Prog saugst=)

engl · 22.03.2005, 19:45

tx,
hab mit escan normal gescannt, war nix, jetzt nochmal mit abgesichert.
C

michio · 22.03.2005, 21:53

wenn escan nichts findet ist gut, aber mach bitte dennoch n HJT-Logfile mit der neusten HijackThis Version!
(v1.99.1)

engl · 23.03.2005, 21:22

dieses Logfile bei HijackThis ausgewertet ergibt bei "O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k" etwas, was mir nicht ganz klar ist, schaut doch mal bitte, ich weiss nicht, was das ist. Wenn ich auf Resultate gehe, kommen so viele Ergebnisse mit "böse" . ???

Danke Christof

Logfile of HijackThis v1.99.1
Scan saved at 21:16:00, on 23.03.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
D:\Programme\AVPersonal\AVGUARD.EXE
D:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\oodag.exe
C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe
C:\Programme\Lexmark X1100 Series\lxbkbmon.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
D:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\WINDOWS\system32\devldr32.exe
C:\Programme\Yahoo!\Messenger\ymsgr_tray.exe
C:\Programme\GMX Programme\GMX Internet Manager\GMX_Internet_Manager.exe
D:\Programme\AVPersonal\INETUPD.EXE
C:\Programme\Opera\Opera.exe
C:\Programme\Outlook Express\msimn.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\WinRAR\WinRAR.exe
D:\temp\Rar$EX00.930\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] "D:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Programme\Yahoo!\Messenger\ypager.exe -quiet
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\frontpage\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1019293468724
O17 - HKLM\System\CCS\Services\Tcpip\..\{811C9671-E969-49AC-82C4-5E73D5DE0D6E}: NameServer = 217.237.151.97 217.237.150.33
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\System32\oodag.exe

chaosman · 24.03.2005, 21:14

@engl
guckst du hier
http://www.kephyr.com/filedb/index.p...rnelFaultCheck
ansonsten sehe ich nichts besonderes im logfile
chaosman

engl · 25.03.2005, 20:50

Danke!
hier steht dann :

Windows Error Reporting Dump Reporting Tool. Found on Windows XP/2003. It shows as a startup item whose execution line usually reads as "KernelFaultCheck" %systemroot%\system32\dumprep 0 –k. DUMPREP creates memory dump reports that you can send to Microsoft if you answer "Yes" when prompted to send such reports. In our experience this entry only shows up for the first time after your PC has experienced a Windows XP "dump" crash, or an Office XP or Internet Explorer 6 crash where you were prompted about sending the crash results to Microsoft.

Recommendation :
It is our experience that having Error Reporting set to ON only causes more crashes. The mind boggles at this : in both Netscape and Internet Explorer our experience shows that if you turn error reporting ON, you will crash often in either browser, if not sometimes always !! You’ve guessed it, avoid Error Reporting like the plague. In both Windows XP and Windows 2003 turn it OFF by opening the SYSTEM icon in the Control Panel, choosing the ADVANCED tab, and then clicking on Error Reporting.

Die letzten 3 Zeilen:
-the SYSTEM icon in the Control Panel
-choosing the ADVANCED tab
-Error Reporting.

Kann mir bitte jemand ausdeutschen, welche Icons das bei XP in der deutschen Version sind?

edit : systemeigenschaften,starten und wiederherstellen,systemfehler,aber was dann einstellen? bei mir sind dann alle 3 angeklickt,?richtiger weg oder eher nicht?

22.03.2005, 17:29	#2
michio	trojaner spreda??? Hallo! Scan das ganze System im abges. Modus mit escan, nachher wirst du Klarheit haben. Kann mir gut vorstellen dass es eine Finte war, hat ja nicht Antivir gemeldet, oder? Die wollten doch nur dass du dir dieses AV-Prog saugst=) __________________

22.03.2005, 19:45	#3
engl	trojaner spreda??? tx, hab mit escan normal gescannt, war nix, jetzt nochmal mit abgesichert. C __________________

22.03.2005, 21:53	#4
michio	trojaner spreda??? wenn escan nichts findet ist gut, aber mach bitte dennoch n HJT-Logfile mit der neusten HijackThis Version! (v1.99.1)

24.03.2005, 21:14	#6
chaosman	trojaner spreda??? @engl guckst du hier http://www.kephyr.com/filedb/index.p...rnelFaultCheck ansonsten sehe ich nichts besonderes im logfile chaosman __________________ --> trojaner spreda???

trojaner spreda???

Log-Analyse und Auswertung: trojaner spreda???

trojaner spreda???

trojaner spreda???

trojaner spreda???

trojaner spreda???

trojaner spreda???

trojaner spreda???

trojaner spreda???