Trojaner weg oder nicht?

DaBoy · 11.08.2004, 09:13

Hallo leute,

ich habe auf meinem Fileserver viele Trojaner gefunden.Ich habe Ad Aware benutzt, Spyboot S&D, dann Antivir laufen lassen. Jetzt habe ich 3 Probleme mit HijackThis gefixed! Dürften die Trojaner fort sein? Antivir meldet mir immer trojaner, allerdings sind das noch die Dateien, die er unbenannt hatte, weil er nen Trojaner in Ihnen erkannt hatte.Folgende Trojanes hat Antivir gefunden

ldr.Alchemic, Small.GL.1, Dldr.IstBa.II.12,WWBars.5, Krepper 1 ,2 und 3 sowie c. Das sind alles Namen von Antivir! BS ist Windows Advanced Server 2000.

Danke für Tipps

DaBoy

Mein Log:

Logfile of HijackThis v1.98.2
Scan saved at 10:10:00, on 11.08.2004
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\System32\termsrv.exe
C:\Programme\WatchGuard\Mobile User VPN\IreIKE.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVNetNT\avguard.exe
C:\WINNT\system32\crypserv.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\Programme\WatchGuard\Mobile User VPN\IPSecMon.exe
D:\Programme\Jana2\janad.exe
C:\WINNT\System32\KHKSManS.exe
C:\WINNT\System32\llssrv.exe
C:\Programme\Gemeinsame Dateien\Sage KHK Shared\Registry.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Programme\RealVNC\WinVNC\WinVNC.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\Dfssvc.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\rdpclip.exe
C:\WINNT\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Sage KHK Shared\MAILSPOOL.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\PROGRA~1\EDTLEA~1\LEARNL~1\bin\LLPush.exe
C:\WINNT\System32\DesktopManager\DesktopManagerTray.exe
C:\WINNT\System32\internat.exe
D:\TRANSFER\MSSQL7\Binn\sqlmangr.exe
C:\Programme\WatchGuard\Mobile User VPN\SafeCfg.exe
C:\WINNT\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Sage KHK Shared\MAILSPOOL.EXE
C:\Programme\QuickTime\qttask.exe
C:\winnt\system32\videodriver.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\PROGRA~1\EDTLEA~1\LEARNL~1\bin\LLPush.exe
C:\WINNT\System32\DesktopManager\DesktopManagerTray.exe
C:\WINNT\System32\internat.exe
D:\DATEN\MARCEL\_Burn\DNS-Client\DeeEnEs.exe
C:\Programme\Ahead\Nero BackItUp\NBJ.exe
D:\TRANSFER\MSSQL7\Binn\sqlmangr.exe
C:\Programme\WatchGuard\Mobile User VPN\SafeCfg.exe
C:\Programme\Ahead\Nero BackItUp\BackItUp.exe
C:\Programme\AVNetNT\AVNetNT.exe
C:\Dokumente und Einstellungen\Test\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sagekhk.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von Sage KHK Software
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 10.0.0.240:8080
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: jimmyhelp.CBrowserHelper - {BA08782B-5AAB-4FC8-B291-8309DDE5092D} - C:\WINNT\xzgacxcs.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [TIFF-Druckertreiber] C:\Programme\Gemeinsame Dateien\Sage KHK Shared\MAILSPOOL.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SfWinStartInfo] d:\sfirm\sfWinStartupInfo.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [zcvlazxom] C:\WINNT\System32\asszorax.exe
O4 - HKLM\..\Run: [WinVNC] "C:\Programme\RealVNC\WinVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [LLPush] C:\PROGRA~1\EDTLEA~1\LEARNL~1\bin\LLPush.exe
O4 - HKLM\..\Run: [DesktopManager] C:\WINNT\System32\DesktopManager\DesktopManagerTray.exe
O4 - HKLM\..\Run: [THGuard] C:\Programme\TrojanHunter 3.9\THGuard.exe
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [DeeEnEs] D:\DATEN\MARCEL\_Burn\DNS-Client\DeeEnEs.exe
O4 - HKCU\..\Run: [WrCtrl] "C:\Programme\WinRoute Pro\wrctrl.exe"
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - Global Startup: Dienst-Manager.lnk = MSSQL7\Binn\sqlmangr.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Mobile User VPN.lnk = C:\Programme\WatchGuard\Mobile User VPN\SafeCfg.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra button: Preispiraten 2.1.1 - {86DE8B3B-1EB7-4386-84BD-EBE94348A913} - C:\Programme\Preispiraten\Preispiraten2\preispiraten2ie.exe
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.sagekhk.de
O16 - DPF: symsupportutil - https://www-secure.symantec.com/regi...upportutil.CAB
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {48F22476-0F08-43D8-BAA3-83AD77BD2582} (LLInstall Class) - http://213.68.111.129/campus/download/LL7Inst.dll
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti...l_v1-0-3-9.cab
O16 - DPF: {928626A3-6B98-11CF-90B4-00AA00A4011F} (SurroundVideoCtrl Object) - http://www.fiat.de/obs/include/codebase/MSSurVid.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {E0CE16CB-741C-4B24-8D04-A817856E07F4} - http://cabs.roings.com/cabs/clickyes.cab
O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - https://www-secure.symantec.com/regi...ActiveData.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7CE308EA-77BF-4C6F-958F-B6AC981B9694}: NameServer = 10.0.0.254
O17 - HKLM\System\CCS\Services\Tcpip\..\{FD0DB7E5-F3E8-428D-8911-5B8C2A4A99E6}: NameServer = 10.0.0.254,10.0.0.242

Trojaner weg oder nicht?

Log-Analyse und Auswertung: Trojaner weg oder nicht?

Trojaner weg oder nicht?

Ähnliche Themen: Trojaner weg oder nicht?