Was bedeutet der Eintrag unter "O 20" ?

wolfi · 21.04.2006, 17:24

Guten Tag,

hier mein Log !

Was für eine Bedeutung hat der Eintrag unter "O 20" und "O 2"

Seit dem Besuch der Seite "globalsecurity.com" ist bei mir der Eintrag vorhanden.

Vielen Dank für einen Rat.

Wolf

Logfile of HijackThis v1.99.1
Scan saved at 18:18:56, on 21.04.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\cisvc.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\Explorer.EXE
C:\WINNT\SYSTEM32\3cmlink.exe
C:\WINNT\SYSTEM32\3cshtdwn.exe
C:\WINNT\SYSTEM32\3cmlink.exe
C:\WINNT\system32\rundll32.exe
C:\Dokumente und Einstellungen\Schink1\Eigene Dateien\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = -
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {E8DEC8EA-8D80-4ec6-AF6B-190A765F1D2F} - C:\WINNT\system32\ddccd.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [3c1807pd] C:\WINNT\SYSTEM32\3cmlink.exe RunServices \Device\3cpipe-3c1807pd
O4 - HKCU\..\Run: [Registry Optimierer] C:\Programme\Registry Optimierer\RegOptimierer.exe /d
O20 - Winlogon Notify: ddccd - C:\WINNT\SYSTEM32\ddccd.dll
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe

wolfi · 21.04.2006, 22:36

Nach einigem Suchen habe ich die Lösung gefunden.

Hier die Dokumentation dazu :

[04/21/2006, 23:27:47] - VirtumundoBeGone v1.5 ( "C:\Dokumente und Einstellungen\Schink1\Desktop\VirtumundoBeGone.exe" )
[04/21/2006, 23:28:05] - Detected System Information:
[04/21/2006, 23:28:05] - Windows Version: 5.0.2195, Service Pack 4
[04/21/2006, 23:28:05] - Current Username: Wolfgang (Admin)
[04/21/2006, 23:28:05] - Windows is in SAFE mode with Networking.
[04/21/2006, 23:28:05] - Searching for Browser Helper Objects:
[04/21/2006, 23:28:05] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (AcroIEHlprObj Class)
[04/21/2006, 23:28:05] - BHO 2: {E8DEC8EA-8D80-4ec6-AF6B-190A765F1D2F} ()
[04/21/2006, 23:28:05] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/21/2006, 23:28:05] - Checking for HKLM\...\Winlogon\Notify\ddccd
[04/21/2006, 23:28:05] - Found: HKLM\...\Winlogon\Notify\ddccd - This is probably Virtumundo.
[04/21/2006, 23:28:05] - Assigning {E8DEC8EA-8D80-4ec6-AF6B-190A765F1D2F} MSEvents Object
[04/21/2006, 23:28:05] - BHO list has been changed! Starting over...
[04/21/2006, 23:28:05] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (AcroIEHlprObj Class)
[04/21/2006, 23:28:05] - BHO 2: {E8DEC8EA-8D80-4ec6-AF6B-190A765F1D2F} (MSEvents Object)
[04/21/2006, 23:28:05] - ALERT: Found MSEvents Object!
[04/21/2006, 23:28:05] - Finished Searching Browser Helper Objects
[04/21/2006, 23:28:05] - *** Detected MSEvents Object
[04/21/2006, 23:28:05] - Trying to remove MSEvents Object...
[04/21/2006, 23:28:06] - Terminating Process: IEXPLORE.EXE
[04/21/2006, 23:28:06] - Terminating Process: RUNDLL32.EXE
[04/21/2006, 23:28:06] - Disabling Automatic Shell Restart
[04/21/2006, 23:28:06] - Terminating Process: EXPLORER.EXE
[04/21/2006, 23:28:06] - Suspending the NT Session Manager System Service
[04/21/2006, 23:28:06] - Terminating Windows NT Logon/Logoff Manager
[04/21/2006, 23:28:06] - Re-enabling Automatic Shell Restart
[04/21/2006, 23:28:06] - File to disable: C:\WINNT\system32\ddccd.dll
[04/21/2006, 23:28:06] - Renaming C:\WINNT\system32\ddccd.dll -> C:\WINNT\system32\ddccd.dll.vir
[04/21/2006, 23:28:06] - File successfully renamed!
[04/21/2006, 23:28:06] - Removing HKLM\...\Browser Helper Objects\{E8DEC8EA-8D80-4ec6-AF6B-190A765F1D2F}
[04/21/2006, 23:28:06] - Removing HKCR\CLSID\{E8DEC8EA-8D80-4ec6-AF6B-190A765F1D2F}
[04/21/2006, 23:28:06] - Adding Kill Bit for ActiveX for GUID: {E8DEC8EA-8D80-4ec6-AF6B-190A765F1D2F}
[04/21/2006, 23:28:06] - Deleting ATLEvents/MSEvents Registry entries
[04/21/2006, 23:28:06] - Removing HKLM\...\Winlogon\Notify\ddccd
[04/21/2006, 23:28:06] - Searching for Browser Helper Objects:
[04/21/2006, 23:28:06] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (AcroIEHlprObj Class)
[04/21/2006, 23:28:06] - Finished Searching Browser Helper Objects
[04/21/2006, 23:28:06] - Finishing up...
[04/21/2006, 23:28:06] - A restart is needed.
[04/21/2006, 23:28:25] - Attempting to Restart via STOP error (Blue Screen!)

Kann ich davon ausgehen, daß der Rechner nun "sauber" ist ?

Viele Grüsse
Wolf

rotaran · 21.04.2006, 22:57

Sauber ? Gute Frage... laut dem Log File hats Du ein Backdoor Trojaner auf deinem System. Allerdings kenn ich das Programm nicht was Du da zum reinigen verwendest hast...

Poste doch mal ein neues Log File.

Bin kein Profi...

Also lieber warten was die andern "Chraks" dazu sagen.

wolfi · 21.04.2006, 23:20

Hier ist das hjt-log nach dem hoffentlich erfolgreichen "Bereinigen" :

Logfile of HijackThis v1.99.1
Scan saved at 00:16:17, on 22.04.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\cisvc.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\Explorer.EXE
C:\WINNT\SYSTEM32\3cmlink.exe
C:\WINNT\SYSTEM32\3cshtdwn.exe
C:\WINNT\SYSTEM32\3cmlink.exe
C:\WINNT\system32\rundll32.exe
C:\WINNT\system32\cidaemon.exe
C:\Dokumente und Einstellungen\Schink1\Eigene Dateien\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = -
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [3c1807pd] C:\WINNT\SYSTEM32\3cmlink.exe RunServices \Device\3cpipe-3c1807pd
O4 - HKCU\..\Run: [Registry Optimierer] C:\Programme\Registry Optimierer\RegOptimierer.exe /d
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe

Möglicherweise ist ja noch was versteckt an Malware

Shes nubs · 21.04.2006, 23:39

Hi wolfi,

lade dir auf jeden Fall AV PE herunter. Deinem Log zufolge hast du kein Antivirenprogramm...na dann wird's 'mal Zeit!! Da solltest du dann sehen, ob sich noch Malware auf einem PC versteckt. Oder lade dir Ad-Aware Se Personal herunter <----- ein ziemlich gutes Prog.

Ich bin eigentlich gegen das Downloaden von vielen Programmen, aber ein AV-Scanner ist unerlässlich.

An deinem neuen! Log konnte ich auf jeden Fall nichts merkwürdiges feststellen.
Ich denke, da hast du dir selbst geholfen....gute Arbeit.

dartus · 22.04.2006, 00:08

@rotaran,

wo siehst Du da einen Backdoor?
Wenn Du Dir nicht sicher bist, lass es mit Deinen Kommentaren!

@wolfi,

hast Du bereits mit HijackThis Einträge gefixt?
Mit Ausnahme dieser Einträge, die gefixt werden können, sieht Dein Logfile sauber aus:
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = about:blank
re\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = -

dartus

rotaran · 22.04.2006, 00:38

@ dartus

Oki doki ........

wolfi · 22.04.2006, 16:08

Guten Tag,

ich bitte um einen Rat:

Der bei mir vorgefundene Trojaner wurde von "Dr.Web" beim Jottis Malwarescan als "Trojan.Virtumond" gefunden.

Was hätte er auf meinem Rechner "gemacht", wenn er nicht gelöscht worden wäre ?

Gibt es zu ihm weitere Infos ?

Viele Grüsse
Wolf

Wildone · 22.04.2006, 16:53

Hallo,
soweit mir bekannt ist spielt vundo.b (alias Virtumond) lediglich Popups ein. Du hast ihn ja schon mit der richtigen Methode entfernt, das sollte es dann eigentlich auch schon gewesen sein.

Grüße Wildone

cosinus · 22.04.2006, 17:19

@wolfi:

Zitat:

O20 - Winlogon Notify: ddccd - C:\WINNT\SYSTEM32\ddccd.dll

Ist die Datei ddccd.dll noch vorhanden?

Wildone · 22.04.2006, 17:27

Hallo,
*hüstel*

Zitat:

[04/21/2006, 23:28:06] - File to disable: C:\WINNT\system32\ddccd.dll
[04/21/2006, 23:28:06] - Renaming C:\WINNT\system32\ddccd.dll -> C:\WINNT\system32\ddccd.dll.vir
[04/21/2006, 23:28:06] - File successfully renamed!

Grüße Wildone

wolfi · 22.04.2006, 17:44

Sie ist nicht mehr da.

Aber noch eine Frage: Der Trojaner hat nach den Angaben von
Symantec u.a. Dateien gelöscht und Dateien verändert sowie die
Systemleistung herabgesetzt.

Vermutlich ist dieser "Schaden" auch nach dem Entfernen des Trojaner noch
da.

Ich habe den Eindruck, daß der Rechner hier ein wenig "lahmer" geworden ist.

Wie kann ich denn das wieder verändern ?

Gibts dazu Erfahrungen ?

Viele Grüsse
Wolf

Wildone · 22.04.2006, 17:50

Hallo,

Zitat:

Aber noch eine Frage: Der Trojaner hat nach den Angaben von
Symantec

Link?
Meiner Erfahrung nach ist mit der Entfernung der betreffenden Datei und der Registryeinträge die Sache gegessen. Habe auch noch nichts von einer Verlangsamung des Systems danach gehört.

Grüße Wildone

wolfi · 22.04.2006, 21:02

Hier ist der Hinweis von Symantec (siehe unter "Schaden"):

http:http://www.symantec.com/region/de/te...n.vundo.b.html

Wildone · 22.04.2006, 22:33

Hallo,
du weißt aber schon das n/a wahrscheinlich not available heißen soll, also es liegen keine Informationen vor das er soetwas macht. Also das einzige was über den Schaden gesagt wird ist:

Zitat:

Funktion: Zeigt Popup-Werbung auf dem angegriffenen Computer an.

Und das ist auch das einzige was mir als "Schaden" bekannt ist.

Grüße Wildone

Was bedeutet der Eintrag unter "O 20" ?

Log-Analyse und Auswertung: Was bedeutet der Eintrag unter "O 20" ?