Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Alles rund um Windows (https://www.trojaner-board.de/alles-rund-um-windows/)
-   -   SP2 Installation! (https://www.trojaner-board.de/45130-sp2-installation.html)

idontknow 27.10.2007 14:33
SP2 Installation!
 
hallo,

i habe ein problem mit der installation von win xp service pack 2

also ich habe das sp2 von chip.de geladen...während der installation erschient folgende fehlermeldung:
"Service Pack 2 Setup-Fehler
Die Datei c:\windows\system32\ftp.exe ist geöffnet oder wird von einer anderen Anwendung verwendet."

leider hab i keine ahnung was die ftp.exe ist! und hab sie auch net bewusst geöffnet! :headbang:

BITTE HELFT MIR!!! :heilig:

idontknow 27.10.2007 15:54
hmmm i hab jetz die datei FTP.exe von w*w.virustotal.com überprüfen lassen...und da is ein VIRUS drinnen und zwar ein GENERIC_C.KR....kann mit BITTE jmd sagen wie i den weg bekomm?!?!:heilig:

DANKE im vorraus!

KarlKarl 27.10.2007 16:52
Hi,

ftp.exe ist normalerweise nicht geöffnet, in system32 ist es aber eine Windowsdatei. Auf einem System ohne SP2 ist das ein verdammt schlechtes Zeichen, wenn die benutzt wird. Brenn dir das SP2 schon mal auf eine CD.

Das Scanergebnis von Virustotal hätte ich gerne vollständig, und zwar mit den ergänzenden Angaben wie MD5 und SHA1. Damit lässt sich vermutlich prüfen, ob es ein Fehlalarm ist.

Fertige ein Hijackthis Log deines Systems an. Dazu diese Datei runterladen und in einen eigenen Ordner entpacken, nicht aus dem Zip-Ordner starten. Jetzt benenne die Datei Hijackthis.exe um in HJT.exe. Dieser Schritt ist erforderlich geworden, da es Malware gibt, die das Programm ansonsten erkennt und sich vor ihm versteckt. Alle anderen Programme schließen, nun HJT.exe starten, auf "Scan" klicken und das Log hier posten.

Gruß, Karl

nochdigger 27.10.2007 17:07
Moin

Zitat:
Fertige ein Hijackthis Log deines Systems an.
Kann man hier begutachten;)
http://www.trojaner-board.de/45105-hilfe-mein-pc-verseucht.html
aufschlussreich ist evtl. auch das Silentrunners Log

MFG

idontknow 27.10.2007 17:21
hi karl,

schon mal danke für diene antwort :)

Zitat:
Brenn dir das SP2 schon mal auf eine CD.
das is jetz blöd, weil mein brenner "tot" ist...

Datei ftp.exe empfangen 2007.10.27 17:59:02 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 1/32 (3.13%)

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.10.27.0 2007.10.26 -
AntiVir 7.6.0.30 2007.10.26 -
Authentium 4.93.8 2007.10.26 -
Avast 4.7.1074.0 2007.10.27 -
AVG 7.5.0.503 2007.10.27 Generic_c.KR
BitDefender 7.2 2007.10.27 -
CAT-QuickHeal 9.00 2007.10.26 -
ClamAV 0.91.2 2007.10.27 -
DrWeb 4.44.0.09170 2007.10.27 -
eSafe 7.0.15.0 2007.10.22 -
eTrust-Vet 31.2.5244 2007.10.26 -
Ewido 4.0 2007.10.27 -
FileAdvisor 1 2007.10.27 -
Fortinet 3.11.0.0 2007.10.19 -
F-Prot 4.3.2.48 2007.10.26 -
F-Secure 6.70.13030.0 2007.10.26 -
Ikarus T3.1.1.12 2007.10.27 -
Kaspersky 7.0.0.125 2007.10.27 -
McAfee 5150 2007.10.26 -
Microsoft 1.2908 2007.10.27 -
NOD32v2 2620 2007.10.27 -
Norman 5.80.02 2007.10.26 -
Panda 9.0.0.4 2007.10.27 -
Prevx1 V2 2007.10.27 -
Rising 19.46.51.00 2007.10.27 -
Sophos 4.23.0 2007.10.27 -
Sunbelt 2.2.907.0 2007.10.27 -
Symantec 10 2007.10.27 -
TheHacker 6.2.9.110 2007.10.27 -
VBA32 3.12.2.4 2007.10.26 -
VirusBuster 4.3.26:9 2007.10.27 -
Webwasher-Gateway 6.6.1 2007.10.27 -
weitere Informationen
File size: 43008 bytes
MD5: e00d91325ec75ffcd285b1a5b35e70ca
SHA1: 86dd7b785f5f47f10da8097361d0fa33ac7d64b5


und hier der/die/das HJT-log

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:19:12, on 27.10.2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\WINDOWS\VTTray.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\NETGEAR GA311 Adapter\GA311.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Fabian\Eigene Dateien\Viren_zeug\HJT.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www6.inode.at/config/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Inode
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
F2 - REG:system.ini: Shell=Explorer.exe %WINDIR%\VTTray.exe
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: (no name) - {522D49BE-37CE-427F-9098-36D0FF4330B2} - C:\WINDOWS\System32\ddayw.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {89AD4D75-2429-462e-BD4E-443F233F6033} - (no file)
O2 - BHO: (no name) - {A95B2816-1D7E-4561-A202-68C0DE02353A} - (no file)
O2 - BHO: (no name) - {D4509800-703E-49A8-9924-60E8E3045C61} - (no file)
O3 - Toolbar: (no name) - {11A69AE4-FBED-4832-A2BF-45AF82825583} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [64dbe52c] rundll32.exe "C:\WINDOWS\System32\ngmtirfs.dll",b
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: GA311 Smart Wizard Utility.lnk = C:\Programme\NETGEAR GA311 Adapter\GA311.exe
O4 - Global Startup: HP Photosmart Premier – Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{D30CE409-611B-4C91-B0F4-2BBFECD81B0D}: NameServer = 195.34.133.21 195.34.133.22
O20 - AppInit_DLLs: C:\WINDOWS\System32\__c00C1CC4.dat
O20 - Winlogon Notify: pavzbwvh - C:\WINDOWS\
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: HP Port Resolver - Hewlett-Packard Company - C:\WINDOWS\System32\spool\drivers\w32x86\3\HPBPRO.EXE
O23 - Service: HP Status Server - Hewlett-Packard Company - C:\WINDOWS\System32\spool\drivers\w32x86\3\HPBOID.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: s3contrl (32-bit) - Unknown owner - C:\WINDOWS\VTTray.exe

--
End of file - 6225 bytes


hab auch noch ein problem mit der VTTRAY.EXE..wenn i den pc starte zeigt spybot an das die datei die registry verändert...

idontknow 27.10.2007 17:34
Zitat:
Zitat von nochdigger (Beitrag 301868)
Moin


Kann man hier begutachten;)
http://www.trojaner-board.de/45105-hilfe-mein-pc-verseucht.html
aufschlussreich ist evtl. auch das Silentrunners Log

MFG
silentrunner:

"Silent Runners.vbs", revision 52, http://www.silentrunners.org/
Operating System: Windows XP
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\System32\ctfmon.exe" [MS]
"MsnMsgr" = ""C:\Programme\MSN Messenger\MsnMsgr.Exe" /background" [MS]
"SpybotSD TeaTimer" = "C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" ["Safer Networking Limited"]
"ICQ" = ""C:\Programme\ICQ6\ICQ.exe" silent" ["ICQ, Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup" [MS]
"nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]
"NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit" [MS]
"avast!" = "C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" ["ALWIL Software"]
"HP Software Update" = "C:\Programme\HP\HP Software Update\HPWuSchd2.exe" ["Hewlett-Packard Development Company, L.P."]
"64dbe52c" = "rundll32.exe "C:\WINDOWS\System32\ngmtirfs.dll",b" [MS]
"SunJavaUpdateSched" = ""C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"" ["Sun Microsystems, Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\ {++}
"Spybot - Search & Destroy" = ""C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck" ["Safer Networking Limited"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{055FD26D-3A88-4e15-963D-DC8493744B1D}\(Default) = "XTTBPos00"
-> {HKLM...CLSID} = "XTTBPos00 Class"
\InProcServer32\(Default) = "C:\PROGRA~1\ICQTOO~1\toolbaru.dll" ["IE Toolbar"]
{522D49BE-37CE-427F-9098-36D0FF4330B2}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\System32\ddayw.dll" [null data]
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Spybot-S&D IE Protection"
\InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
-> {HKLM...CLSID} = "SSVHelper Class"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_02\bin\ssv.dll" ["Sun Microsystems, Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class"
-> {HKLM...CLSID} = "DesktopContext Class"
\InProcServer32\(Default) = "C:\WINDOWS\System32\nvcpl.dll" ["NVIDIA Corporation"]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"
-> {HKLM...CLSID} = "Desktop Explorer"
\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"
-> {HKLM...CLSID} = "nView Desktop Context Menu"
\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{FC9FB64A-1EB2-4CCF-AF5E-1A497A9B5C2D}" = "Messenger Sharing Folders"
-> {HKLM...CLSID} = "Meine freigegebenen Ordner"
\InProcServer32\(Default) = "C:\Programme\MSN Messenger\fsshext.8.1.0178.00.dll" [MS]
"{472083B0-C522-11CF-8763-00608CC02F24}" = "avast"
-> {HKLM...CLSID} = "avast"
\InProcServer32\(Default) = "C:\Programme\Alwil Software\Avast4\ashShell.dll" ["ALWIL Software"]
"{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper"
-> {HKLM...CLSID} = "NVIDIA CPL Extension"
\InProcServer32\(Default) = "C:\WINDOWS\System32\nvcpl.dll" ["NVIDIA Corporation"]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows\
<<!>> "AppInit_DLLs" = "C:\WINDOWS\System32\__c00C1CC4.dat" [null data]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\
<<!>> "Shell" = "Explorer.exe %WINDIR%\VTTray.exe" [MS], [null data]

HKLM\System\CurrentControlSet\Control\Session Manager\
<<!>> "BootExecute" = "autocheck autochk *"|"aswBoot.exe /M:5c8d98d9" ["ALWIL Software"]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
avast\(Default) = "{472083B0-C522-11CF-8763-00608CC02F24}"
-> {HKLM...CLSID} = "avast"
\InProcServer32\(Default) = "C:\Programme\Alwil Software\Avast4\ashShell.dll" ["ALWIL Software"]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
avast\(Default) = "{472083B0-C522-11CF-8763-00608CC02F24}"
-> {HKLM...CLSID} = "avast"
\InProcServer32\(Default) = "C:\Programme\Alwil Software\Avast4\ashShell.dll" ["ALWIL Software"]


Group Policies {policy setting}:
--------------------------------

Note: detected settings may not have any effect.

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001
{Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) hex:0x00000001
{Devices: Allow undock without having to log on}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\web\wallpaper\Grüne Idylle.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\WINDOWS\web\wallpaper\Grüne Idylle.bmp"


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\System32\logon.scr" [MS]


Startup items in "Fabian" & "All Users" startup folders:
--------------------------------------------------------

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"GA311 Smart Wizard Utility" -> shortcut to: "C:\Programme\NETGEAR GA311 Adapter\GA311.exe" [empty string]
"HP Photosmart Premier – Schnellstart" -> shortcut to: "C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe -s" [null data]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 15
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{855F3B16-6D32-4FE6-8A56-BBB695989046}"
-> {HKLM...CLSID} = "ICQ Toolbar"
\InProcServer32\(Default) = "C:\PROGRA~1\ICQTOO~1\toolbaru.dll" ["IE Toolbar"]

HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{855F3B16-6D32-4FE6-8A56-BBB695989046}" = (no title provided)
-> {HKLM...CLSID} = "ICQ Toolbar"
\InProcServer32\(Default) = "C:\PROGRA~1\ICQTOO~1\toolbaru.dll" ["IE Toolbar"]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{DFB852A3-47F8-48C4-A200-58CAB36FD2A2}\
"MenuText" = "Spybot - Search & Destroy Configuration"
"CLSIDExtension" = "{53707962-6F74-2D53-2644-206D7942484F}"
-> {HKLM...CLSID} = "Spybot-S&D IE Protection"
\InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]

{E59EB121-F339-4851-A3BA-FE49C35617C2}\
"ButtonText" = "ICQ6"
"MenuText" = "ICQ6"
"Exec" = "C:\Programme\ICQ6\ICQ.exe" ["ICQ, Inc."]


Miscellaneous IE Hijack Points
------------------------------

HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks\
<<H>> "{855F3B16-6D32-4fe6-8A56-BBB695989046}" = (no title provided)
-> {HKLM...CLSID} = "ICQ Toolbar"
\InProcServer32\(Default) = "C:\PROGRA~1\ICQTOO~1\toolbaru.dll" ["IE Toolbar"]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

avast! Antivirus, avast! Antivirus, ""C:\Programme\Alwil Software\Avast4\ashServ.exe"" ["ALWIL Software"]
avast! iAVS4 Control Service, aswUpdSv, ""C:\Programme\Alwil Software\Avast4\aswUpdSv.exe"" ["ALWIL Software"]
avast! Mail Scanner, avast! Mail Scanner, ""C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service" ["ALWIL Software"]
avast! Web Scanner, avast! Web Scanner, ""C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service" ["ALWIL Software"]
Messenger USN Journal Reader-Service für freigegebene Ordner, usnjsvc, "C:\Programme\MSN Messenger\usnsvc.exe" [MS]
NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\System32\nvsvc32.exe" ["NVIDIA Corporation"]
Pml Driver HPZ12, Pml Driver HPZ12, "C:\WINDOWS\System32\HPZipm12.exe" ["HP"]
s3contrl (32-bit), s3contrl (32-bit), ""C:\WINDOWS\VTTray.exe"" [null data]


Print Monitors:
---------------

HKLM\System\CurrentControlSet\Control\Print\Monitors\
HP Standard TCP/IP Port\Driver = "HpTcpMon.dll" ["Hewlett Packard"]
PCL hpz3l054\Driver = "hpz3l054.dll" ["Hewlett-Packard Company"]


---------- (launch time: 2007-10-27 18:23:04)
<<!>>: Suspicious data at a malware launch point.
<<H>>: Suspicious data at a browser hijack point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points, use the -supp parameter or answer "No" at the
first message box and "Yes" at the second message box.
---------- (total run time: 669 seconds, including 7 seconds for message boxes)

;)

KarlKarl 27.10.2007 18:03
@nochdigger: Danke für den Hinweis ;)


ftp.exe ist zwar ein mit Windows ausgeliefertes Programm, aber ich bin etwas misstrauisch, denn zu dem MD5 finde ich nichts im Netz. Die MD5s von Original-Windowsdateien stehen normalerweise irgendwo. Jetzt rächt es sich, dass ich SP2 installiert habe, so kann ich nicht mit meiner Version vergleichen. Es ist denkbar, dass die Datei manipuliert wurde, ein Fehlalarm kommt aber ebenso gut in Frage. Falls noch jemand ein Windows XP ohne Servicepacks hat, wäre es ja nett, wenn er/sie die Daten der ftp.exe mal ermittelt.

Egal, der Knackpunkt ist, dass die ftp.exe läuft. Die wird entweder vom User benutzt (ist ein FTP-Programm für die Eingabeaufforderung), dann würdest Du es aber wissen, oder aber von Malware um weitere Malware runterzuladen. Dummerweise gibt es aber keine weiteren Hinweise in den vorhandenen Logs. Das Silentrunners, auf dass nochdigger aufmerksam gemacht hat, zeigt aber (neben Mengen anderem Müll) zwei Backdooreinträge.

aus dem anderen Thread:
Zitat:
Zitat von idontknow
vlt. sollt ich den pc neu aufsetzen und des SP2 offline installieren,
Halte ich für eine sehr gute Idee :daumenhoc Alles andere würde wesentlich länger dauern und komplizierter werden, ohne eine Garantie auf Erfolg zu bieten. So einiges funktioniert in diesem Windows nicht mehr, die Seuchen einiger Jahre haben heftige Spuren hinterlassen. Das tilgt man am besten mit einer sauberen Neuinstallation.

Darüber hinaus könntest Du noch einen Onlinescan der C:\WINDOWS\VTTray.exe machen.

idontknow 27.10.2007 18:14
hmmm i hab des prob. jetz gelöst....hab einfahc mal den spybot durchlafuen lassen (hat fast 3 stunden gedauert) der hat 31 schädlinge gefunden...sp2 setup geht jetz =)))

DANKE @ KARL & NOCHDIGGER

:party::party::party::party::party::party::party:

idontknow 27.10.2007 18:23
mhhh i hab jetz zur sicherheit noch die vttray.exe von virustotal.com überprüfen lassen...die datei heißt aba nicht vttray.exe...sondern VTTRAY.EXE_old! :snyper:

Datei VTTray.exe_old empfangen 2007.10.27 19:10:48 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 18/31 (58.07%)

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.10.27.0 2007.10.26 -
AntiVir 7.6.0.30 2007.10.26 Worm/SdBot.575488
Authentium 4.93.8 2007.10.26 -
Avast 4.7.1074.0 2007.10.27 -
AVG 7.5.0.503 2007.10.27 SHeur.UGV
BitDefender 7.2 2007.10.27 -
CAT-QuickHeal 9.00 2007.10.26 Backdoor.SdBot.gen
ClamAV 0.91.2 2007.10.27 -
DrWeb 4.44.0.09170 2007.10.27 -
eSafe 7.0.15.0 2007.10.22 Win32.SdBot.ceq
eTrust-Vet 31.2.5244 2007.10.26 Win32/Petribot.ASA
Ewido 4.0 2007.10.27 Backdoor.SdBot.ceq
FileAdvisor 1 2007.10.27 -
Fortinet 3.11.0.0 2007.10.19 -
F-Prot 4.3.2.48 2007.10.26 -
F-Secure 6.70.13030.0 2007.10.26 Backdoor.Win32.SdBot.ceq
Ikarus T3.1.1.12 2007.10.27 Generic.Sdbot
Kaspersky 7.0.0.125 2007.10.27 Backdoor.Win32.SdBot.ceq
McAfee 5150 2007.10.26 -
Microsoft 1.2908 2007.10.27 -
NOD32v2 2620 2007.10.27 -
Norman 5.80.02 2007.10.26 SDBot.gen9
Panda 9.0.0.4 2007.10.27 W32/Gaobot.QAY.worm
Rising 19.46.51.00 2007.10.27 Trojan.Win32.Agent.zto
Sophos 4.23.0 2007.10.27 -
Sunbelt 2.2.907.0 2007.10.27 Backdoor.Win32.SdBot.ceq
Symantec 10 2007.10.27 W32.Spybot.Worm
TheHacker 6.2.9.110 2007.10.27 Backdoor/SdBot.ceq
VBA32 3.12.2.4 2007.10.26 Backdoor.Win32.SdBot.ceq
VirusBuster 4.3.26:9 2007.10.27 Worm.SdBot.TKQ
Webwasher-Gateway 6.6.1 2007.10.27 Worm.SdBot.575488
weitere Informationen
File size: 575488 bytes
MD5: 5179b5eeab8883883a76a8cb081a5140
SHA1: ac9072d4e99c3ec6c5048d22ac7d8d2df4136b46
packers: Themida

KarlKarl 27.10.2007 19:37
Backdoor Nummer drei. Da bleibe ich bei der Empfehlung, sauber neu anzufangen, da wir nicht werden nachvollziehen können, was die Remoteadministratoren alles an deinem System gedreht haben.

Wenn Du (auf eigenes Risiko!) das nicht willst, dann lösch die Datei.

Und was hat Spybot alles gefunden? Das wäre auch noch interessant. Das können Cookies sein (harmlos) aber auch Würmer und Backdoors.

idontknow 28.10.2007 11:12
so i hab jetz den pc neu aufgesetzt (schon zum 4. mal in dieser woche =( bei den vorigen 3. mal sind die viren immer wieder aufgetaucht)...sp2 offline installiert....es funktioniert alles wieder einwandfrei (dreamweaver & fireworks haben 20-30 min. geladen) jetz müsste das system clean sein :party: :Boogie:

Vielen Dank für die tipps! :aplaus::aplaus:

gruß iknow

KarlKarl 28.10.2007 12:10
Aber Achtung: SP2 reicht nicht aus, danach gibt es eine große Menge weitere Windowsupdates. Internet Explorer -> Menü Extras -> Windowsupdates. Nun dein Anweisungen folgen, nach einem eventuell erforderlichen Neustart erneut dorthin, solange bis dort gesagt wird, dass es keine wichtigen Updates mehr gibt.


Alle Zeitangaben in WEZ +1. Es ist jetzt 23:02 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131