| |
| |||||||
Log-Analyse und Auswertung: Rechner voll mit Trojanern und Viren???Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
10.10.2005, 15:00
| #1 |
| |  Rechner voll mit Trojanern und Viren??? Habe ein Problem mit nem Rechner! Internet Explorer startet nicht mehr normal, will immer nen Problembericht senden und neu starten. Hatte vorhin auch noch das Problem, dass der Rechner einfach runtergefahren wurde mit dem hinweis system32 services mit status 128 beendet System wird heruntergefahren!!! Kann mir vielleicht irgendjemand helfen Bitte! Ich vermute ja das sich hier auf dem Rechner einiges tummelt. Hier mal ein HJT Logfile das ich grad erstellt hab Logfile of HijackThis v1.99.1 Scan saved at 16:02:39, on 10.10.2005 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINNT\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\rcapi.exe C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe C:\WINNT\system32\regsvc.exe C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\ZoneLabs\vsmon.exe C:\WINNT\Explorer.EXE C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\igfxtray.exe C:\WINNT\system32\hkcmd.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb09.exe C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe C:\Programme\HP\hpcoretech\hpcmpmgr.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe C:\WINNT\system32\qwdqSDw.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\WINNT\etb\pokapoka75.exe C:\WINNT\system32\internat.exe C:\WINNT\system32\qwdqSDw.exe C:\WINNT\system32\clipservr.exe C:\Programme\HP\hpcoretech\comp\hptskmgr.exe C:\WINNT\system32\msw32.pif C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = h**p://w*w.xosearchox.com/sp2.php R1 - HKCU\Software\Microsof t\Internet Explorer\Main,Search Bar = http://w*w.xosearchox.com/sp2.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://w*w.xosearchox.com/sp2.php R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://w*w.xosearchox.com/sp2.php R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=ftp-proxy.btx.dtag.de:80;http=w*w-proxy.btx.dtag.de:80 O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx O4 - HKLM\..\Run: [IgfxTray] C:\WINNT\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\system32\hkcmd.exe O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\\NeroCheck.exe O4 - HKLM\..\Run: [Microsoft Windows WKS Service] gt.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb09.exe O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe" O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe" O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe O4 - HKLM\..\Run: [msnplus] C:\WINNT\SYSTEM32\dfghddp.exe O4 - HKLM\..\Run: [Regional Value] isng.exe O4 - HKLM\..\Run: [mIRC Exchanger] C:\WINNT\system32\qwdqSDw.exe O4 - HKLM\..\Run: [asfqft] C:\Dokumente und Einstellungen\Administrator\WDDWsad.exe O4 - HKLM\..\Run: [fqfeqajw] C:\WINNT\SYSTEM32\gandol.exe O4 - HKLM\..\Run: [epovohot] atiqik.exe O4 - HKLM\..\Run: [Windows Serices Host] WindowsFirewall32.exe O4 - HKLM\..\Run: [hASHSx] C:\WINNT\SYSTEM32\idesej.exe O4 - HKLM\..\Run: [tepim] C:\WINNT\SYSTEM32\etotixapy.exe O4 - HKLM\..\Run: [vsdvsdfq] fascvqe.exe O4 - HKLM\..\Run: [Yywipo] jywipo.exe O4 - HKLM\..\Run: [FAasdq] C:\WINNT\SYSTEM32\ewikopihe.exe O4 - HKLM\..\Run: [bxvbsv] C:\WINNT\SYSTEM32\yybyces.exe O4 - HKLM\..\Run: [Ewikopih] ayakyy.exe O4 - HKLM\..\Run: [bavifafi] kodymamum.exe O4 - HKLM\..\Run: [dqwdasdqw] C:\WINNT\SYSTEM32\csadqw.exe O4 - HKLM\..\Run: [Windows Spoolsrv Service] spoolmsv.exe O4 - HKLM\..\Run: [Sxcasdwqas] C:\WINNT\SYSTEM32\rizamu.exe O4 - HKLM\..\Run: [CalcScience] cscientist.exe O4 - HKLM\..\Run: [Win Security] msw32.pif O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe O4 - HKLM\..\Run: [System service75] C:\WINNT\etb\pokapoka75.exe O4 - HKLM\..\RunServices: [Microsoft Windows WKS Service] gt.exe O4 - HKLM\..\RunServices: [Regional Value] isng.exe O4 - HKLM\..\RunServices: [mIRC Exchanger] C:\WINNT\system32\qwdqSDw.exe O4 - HKLM\..\RunServices: [epovohot] atiqik.exe O4 - HKLM\..\RunServices: [vsdvsdfq] fascvqe.exe O4 - HKLM\..\RunServices: [Yywipo] jywipo.exe O4 - HKLM\..\RunServices: [Ewikopih] ayakyy.exe O4 - HKLM\..\RunServices: [bavifafi] kodymamum.exe O4 - HKLM\..\RunServices: [Windows Spoolsrv Service] spoolmsv.exe O4 - HKLM\..\RunServices: [ClipSrv] clipservr.exe O4 - HKLM\..\RunServices: [CalcScience] cscientist.exe O4 - HKLM\..\RunServices: [Win Security] msw32.pif O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - HKCU\..\Run: [Regional Value] isng.exe O4 - HKCU\..\Run: [mIRC Exchanger] C:\WINNT\system32\qwdqSDw.exe O4 - HKCU\..\Run: [epovohot] atiqik.exe O4 - HKCU\..\Run: [Windows Serices Host] WindowsFirewall32.exe O4 - HKCU\..\Run: [vsdvsdfq] fascvqe.exe O4 - HKCU\..\Run: [Yywipo] jywipo.exe O4 - HKCU\..\Run: [Ewikopih] ayakyy.exe O4 - HKCU\..\Run: [bavifafi] kodymamum.exe O4 - HKCU\..\Run: [ClipSrv] clipservr.exe O4 - HKCU\..\Run: [CalcScience] cscientist.exe O4 - HKCU\..\Run: [Win Security] msw32.pif O4 - HKCU\..\RunServices: [Win Security] msw32.pif O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: Symantec Fax Starter Edition-Anschluss.lnk = C:\Programme\Microsoft Office\Office\1031\OLFSNT40.EXE O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O17 - HKLM\System\CCS\Services\Tcpip\..\{8BB116B9-5CCA-4D0A-9F11-CC05A09CF8AC}: NameServer = 217.237.149.161 217.237.151.225 O20 - Winlogon Notify: igfxcui - C:\WINNT\SYSTEM32\igfxsrvc.dll O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: LANCAPI Control (LcsCapiCtl) - LANCOM Systems GmbH - C:\WINNT\System32\rcapi.exe O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: Microsoft SSL (ssl) - Unknown owner - C:\WINNT\system32\ssl.exe (file missing) O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe O23 - Service: Windows UPnP Service (wupnp) - Unknown owner - C:\WINNT\system32\wupnp.exe (file missing) Danke schon ma im vorraus für die Hilfe |
|
10.10.2005, 15:12
| #2 | |||
   | Rechner voll mit Trojanern und Viren??? Servus, Hasemann!
__________________Tja, Du scheinst ja wirklich eine ganze Bande zu Dir eingeladen zu haben Beginnen wir ganz unten: Zitat:
Zitat:
Zitat:
Da gäbe es noch viel mehr zu beanstanden, aber das reicht bereits um Dir zu raten, Dein System neu aufzusetzen nach Cidres Anleitung http://www.trojaner-board.de/showthread.php?t=12154 Um Deiner Frage, ob es nicht doch eine andere Möglichkeit gäbe - NEIN-zumindest keine sinnvolle. Die von mir zitierten Schädlinge haben Dein System bloßgestellt, Du weißt nicht mehr, ob Du Herr am eigenen PC bist (ja ich weiß, das klingt sehr dramatisch), aber ließ´in der verlinkten Anleitung dazu alles über Kompromittierung und die Backdoor-Trojaner nach! Alles Gute, stupormundi |
|
10.10.2005, 15:14
| #3 | |
| | Rechner voll mit Trojanern und Viren???Zitat:
Alleine dieser Eintrag : O4 - HKLM\..\RunServices: [Windows Spoolsrv Service] spoolmsv.exe (es handelt sich um diesen: http://www.sophos.com/virusinfo/anal...32sdbotzs.html). Reicht aus, um dein system als kompromittiert anzusehen. Dir kann zu nichts anderem geraten werden, als dein System neu aufzusetzen und vor der ersten Internetverbindung vernünftig abzusichern. Hier eine Anleitung: http://www.trojaner-board.de/showthread.php?t=12154
__________________ |
|
10.10.2005, 15:15
| #4 |
 | Rechner voll mit Trojanern und Viren??? Hallo Hasemann, Dein System ist rettungslos verseucht!! Min. 5 Trojaner mit Backdoorfunktionalität. Bereits bei einem Trojaner mit Backdoorfunktionalität wird Dir hier dringend eine Neuinstallation empfohlen, um wieder ein vertrauenswürdiges System herzustellen. http://de.wikipedia.org/wiki/Backdoor http://de.wikipedia.org/wiki/Botnet http://www.mathematik.uni-marburg.de...c-removal.html http://www.mathematik.uni-marburg.de...ompromise.html Empfohlene Anleitung zur Neuinstallation: http://www.trojaner-board.de/showthread.php?t=12154 Thema Datensicherung : http://www.trojaner-board.de/showpos...8&postcount=11 dartus
__________________ Kein Support per PN |
|
10.10.2005, 15:21
| #5 |
| | Rechner voll mit Trojanern und Viren??? Aller guten Dinge sind ja bekanntlich 3. 
__________________  Only cronos endures |
|
| Themen zu Rechner voll mit Trojanern und Viren??? |
| administrator, antivirus, askbar, desktop, drivers, einstellungen, explorer, ftp, helfen, hijack, hijackthis, internet, internet explorer, internet security, logfile, monitor, problem, problembericht senden, programme, security, senden, settings manager, software, symantec, system, trojaner, viren, viren?, windows |
Linear-Darstellung
