Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Sehr hartnäckiger Plagegeist (https://www.trojaner-board.de/10576-sehr-hartnaeckiger-plagegeist.html)

Onkel24 08.12.2004 23:16
Sehr hartnäckiger Plagegeist
 
Habe bereits alle erdenklichen Tools installiert und gescannt was das Zeug hält aber irgendwie hält sich ein Browserhijack immer noch. Hier ein Log:

Logfile of HijackThis v1.98.0
Scan saved at 23:11:42, on 08.12.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)


öffnet folgendes beim Start:
res://C:\WINDOWS\system32\shdocpe.dll/security.htm#subID=BSW;677

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ntnut.exe
C:\Program Files\interMute\SpySubtract\SpySub.exe
C:\Program Files\ICQ\ICQ.exe
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Eigene Dateien\Appz\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~2\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~2\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\Program Files\ICQ\NDetect.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Fast start] C:\WINDOWS\system32\ntnut.exe home
O4 - HKCU\..\RunOnce: [ICQ] C:\Program Files\ICQ\ICQ.exe -trayboot
O4 - Global Startup: SpySubtract.lnk = C:\Program Files\interMute\SpySubtract\SpySub.exe
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Program Files\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Program Files\ICQ\ICQ.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{F080866F-3DEC-490F-8823-C7737F11A9DF}: NameServer = 217.237.149.161 217.237.151.225


Thx für jede Hilfe :)

Shadowdance 09.12.2004 00:42
@ Onkel24

--> Platform: Windows XP (WinNT 5.01.2600)/MSIE: Internet Explorer v6.00 (6.00.2600.0000) - lade Dir das aktuelle Service Pack runter und update Deinen IE: www.windowsupdate.com

--> Überprüfe mit virusscan.jotti.dhs.org:

C:\WINDOWS\system32\ntnut.exe

teile uns das Ergebnis der Überprüfung mit.

--> Erstelle bitte ein aktuelles Hijack This Logfile (v1.98.2) und poste es mittels copy&paste: http://www.trojaner-board.de/51130-a...ijackthis.html

SD

Onkel24 09.12.2004 16:30
Danke für die Tips

File: ntnut.exe machte mich schon im ersten Scan mißtrauisch :)
Status: INFECTED/MALWARE

Wie befürchtet, ist das File verseucht. Kann ich es einfach so löschen oder kann es sein, daß der Übeltäter noch tiefer sitzt? Den zweiten Scan werd ich auch mal machen


Logfile of HijackThis v1.98.2
Scan saved at 16:32:16, on 09.12.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ntnut.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\ICQ\ICQ.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\BERNHA~1.GNA\LOCALS~1\Temp\Rar$EX00.531\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~2\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~2\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\Program Files\ICQ\NDetect.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Fast start] C:\WINDOWS\system32\ntnut.exe home
O4 - HKCU\..\RunOnce: [ICQ] C:\Program Files\ICQ\ICQ.exe -trayboot
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Program Files\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Program Files\ICQ\ICQ.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{F080866F-3DEC-490F-8823-C7737F11A9DF}: NameServer = 217.237.149.161 217.237.151.225

Onkel24 10.12.2004 15:25
Weiss keiner Rat? :)

MountainKing 10.12.2004 15:42
Du hättest uns eventuell sagen können, um welchen Schädling es sich genau handelt. :) Da es doch inzwischen zwei bis drei verschiedene gibt, lassen sich ohne mehr Infos kaum Prognosen bezüglich der Entfernung abgeben.
Entpacke HJT zunächst in einen eigenen ordner, bevor du damit arbeitest, starte in den abgesicherten modus und fixe:


O4 - HKLM\..\Run: [Fast start] C:\WINDOWS\system32\ntnut.exe home

Lösche die Datei. Und dann besuche SCHNELLSTENS windowsupdate und das solange, bis keine empfohlenen Updates mehr angezeigt werden, oder hole dir gleich Service Pack 2.

Lutz 10.12.2004 15:46
Doch ;)

1.) Besuche www.windowsupdate.com so lange bis keine Updates mehr zu holen sind
BTW: Für nächsten Mittwoch stehen lt. Microsoft die nächsten Updates ins Haus...

2.) Gönne HijackThis einen eigenen Ordner (also nicht in einem Temp-Verzeichnis belassen)

3.) Fixe mit HijackThis diese Zeile
Zitat:
O4 - HKLM\..\Run: [Fast start] C:\WINDOWS\system32\ntnut.exe home
4.) Lösche die Datei C:\WINDOWS\system32\ntnut.exe manuell
(geht evtl nur im abgesicherten Modus von WinXP)

OK, MountainKing war schneller.... ;)

Onkel24 10.12.2004 15:55
Hi!
Vielen Dank euch beiden, Hat funktioniert :) Der abgesicherte Modus war nötig

Das_D 15.01.2005 16:33
hab genau den selben hjacker nur mein problemm ist das ich das program ntnut.exe schon beim ersenmal durchprüfen gelöscht hab und deshalb kommt immer wenn ich windows (XP) starte ne fehlermeldung das mit ntnut.exe was fehlt oder etwas nicht stimmt! nun aber wieder zum wesentlichen wie kann ich den hjacker trotzdem loswerden ohne dises Programm BITTE HELFT MIR! ich wär euch sehr dankbar

Haui45 15.01.2005 16:36
Poste mal ein HijackThis-Logfile:
kurze Beschreibung
ausführliche Beschreibung


Alle Zeitangaben in WEZ +1. Es ist jetzt 11:27 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131