antivir gehackt??

maethes · 27.09.2005, 09:47

moin zusammen,

hab da seit einer woche ein kleines prob. mit meinem antivir.

jetzt findet tauscan seit neustem einigen mist auf meinem rechner, den ich auch nicht weg bekomme.

für vorschläge wäre ich echt dankbar.

gefunden wurden u.a. tequila bandita 1.3b2.a, back orifice 2000 plugin blowfish a und b und arsd.
alles hängt in den antivir dateien und wird zwar gefunden, ist aber nicht löschbar.

was kann ich tun?

gruß
maethes

stupormundi · 27.09.2005, 09:53

Servus, maethes!
Poste doch mal ein HJT-Logfile nach Cidres Anleitung http://www.trojaner-board.de/showthread.php?t=17493 hier!
Dann sehen wir weiter!
Bis dann, stupormundi

maethes · 27.09.2005, 10:07

oki, mach ich gerne.

also:

Logfile of HijackThis v1.99.1
Scan saved at 11:03:38, on 27.09.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Winamp\winampa.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Agnitum\Tauscan 1.7\Taumon.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\The Cleaner\tca.exe
C:\Programme\The Cleaner\tcm.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\NotePad.exe
C:\Programme\Windows NT\Zubehör\wordpad.exe
C:\DOKUME~1\MTHES~1\LOKALE~1\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.internetcologne.de
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)
O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe
O4 - HKLM\..\Run: [Windows Update System Shell] svhostcs32.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [Tau Monitor] C:\Programme\Agnitum\Tauscan 1.7\Taumon.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\RunServices: [Windows Update System Shell] svhostcs32.exe
O4 - HKCU\..\Run: [Windows Update System Shell] svhostcs32.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - h**p://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/2,0,0,4587/mcfscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{84461835-A02B-477A-B9EC-F6EC42997325}: NameServer = 81.173.194.68 194.8.194.60
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

[edit]
links entfernt
[/edit]

stupormundi · 27.09.2005, 10:11

Servus, maethes!

Zitat:

O4 - HKLM\..\RunServices: [Windows Update System Shell] svhostcs32.exe
O4 - HKCU\..\Run: [Windows Update System Shell] svhostcs32.exe

ist der hier http://www.sophos.com/virusinfo/anal...32rbotaaz.html
Ein Backdoor-Trojaner!
Da hilft Dir sinnvollerweise nur noch neu Aufsetzen nach Cidres Anleitung http://www.trojaner-board.de/showthread.php?t=12154
Warum ein bloßes Entfernen der Schaddateien nicht ausreicht, ist hier ebenfalls ausführlich beschrieben/verlinkt!
Viel Glück dabei, stupormundi

maethes · 27.09.2005, 10:19

ich sach mal danke und mach mich an die arbeit...

cu
maethes

maethes · 27.09.2005, 18:38

ich hab da ein neues log, allerdings hab ich nun eine fehlermeldung von hjt bekommen, die ich nicht deuten konnte und die nicht in cidres anleitung vermerkt stand.

hier mein log nach neuaufbau...

Logfile of HijackThis v1.99.1
Scan saved at 19:34:10, on 27.09.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\Explorer.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Netscape\Netscape\Netscp.exe
C:\WINDOWS\System32\wpabaln.exe
C:\Dokumente und Einstellungen\nur netz\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\nur netz\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.internetcologne.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.internetcologne.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.internetcologne.de
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://www.internetcologne.de/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1127839512736
O17 - HKLM\System\CCS\Services\Tcpip\..\{35F6C7BD-BACB-42C6-B421-6DAC6D6B4B43}: NameServer = 81.173.194.68 194.8.194.60
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

ich hoffe nunmehr clean zu sein, sonst muss ich doch die festplatte erneuern.
so long
maethes

[edit]
links entfernt
[/edit]

antivir gehackt??

Log-Analyse und Auswertung: antivir gehackt??

antivir gehackt??

antivir gehackt??

antivir gehackt??

antivir gehackt??

antivir gehackt??

antivir gehackt??

Ähnliche Themen: antivir gehackt??

27.09.2005, 09:53	#2
stupormundi	antivir gehackt?? Servus, maethes! Poste doch mal ein HJT-Logfile nach Cidres Anleitung http://www.trojaner-board.de/showthread.php?t=17493 hier! Dann sehen wir weiter! Bis dann, stupormundi __________________

27.09.2005, 10:19	#5
maethes	antivir gehackt?? ich sach mal danke und mach mich an die arbeit... cu maethes