Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Bitte um Prüfung der logs!!! (https://www.trojaner-board.de/12676-bitte-um-pruefung-logs.html)

drizzt2904 24.01.2005 17:25
Bitte um Prüfung der logs!!!
 
Hijacklog:

Logfile of HijackThis v1.99.0
Scan saved at 17:16:16, on 24.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\CNYHKey.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\Twain_32\SlimU2\HotKey.exe
C:\WINDOWS\System32\PRISMSTA.EXE
C:\WINDOWS\System32\wuampd.exe
C:\Programme\MSN Apps\Updater\01.02.3000.1001\de\msnappau.exe
C:\WINDOWS\DitExp.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\WINDOWS\System32\p3.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\system32\ntvdm.exe
C:\T-ONLINE\BSW4\ToDuCAlC.EXE
C:\Programme\MSN\MSNCoreFiles\msn6.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Dokumente und Einstellungen\Uli\Desktop\sysprog\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.de/0SEDEDE/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.t-online.de/service/redir/tosw4_webtour.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Messenger\ycomp.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.02.3000.1002\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.3000.1001\de\msntb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Messenger\ycomp.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.3000.1001\de\msntb.dll
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [HotKey] C:\WINDOWS\Twain_32\SlimU2\HotKey.exe
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Microsoft Update] wuampd.exe
O4 - HKLM\..\Run: [msnappau] "C:\Programme\MSN Apps\Updater\01.02.3000.1001\de\msnappau.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [MSPluginSrvc] p3.exe
O4 - HKLM\..\Run: [MSNPluginSrvcs] p6.exe
O4 - HKLM\..\RunServices: [Microsoft Update] wuampd.exe
O4 - HKLM\..\RunServices: [MSPluginSrvc] p3.exe
O4 - HKLM\..\RunServices: [MSNPluginSrvcs] p6.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quiet
O4 - HKCU\..\Run: [Microsoft Update] wuampd.exe
O4 - HKCU\..\Run: [MSPluginSrvc] p3.exe
O4 - HKCU\..\Run: [MSNPluginSrvcs] p6.exe
O4 - Global Startup: Ulead Kalendar Checker 4.0 SE.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O16 - DPF: {8C6C6922-6258-44AC-9912-53964AC55299} (xload class) - http://195.126.216.98/download/xloader.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/...sh/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{46FA4204-72B9-4BAF-A200-3E06CF2C515B}: NameServer = 217.237.151.225 217.237.150.225
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: X10 Device Network Service - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

avlog:
23.01.2005,10:38:26 [INIT] Der AVGuard Service wird gestarted.
23.01.2005,10:38:26 [INIT] Lizenzdatei enthält eine gültige Lizenz. Der AVGuard Dienst läuft als uneingeschränkte Vollversion!
23.01.2005,10:38:26 [LOGON] Verbindung zu Remote-Computer. Sicherer Kommunikationskanal wird hergestellt.
23.01.2005,10:38:27 [LOGON] Verbindung zu Computer 127.0.0.1 erfolgreich hergestellt. Session ID = 0xaaabedac.
23.01.2005,10:38:36 [INFO] Start Filter Device.
23.01.2005,10:38:36 [INIT] AntiVirService Version: 6.29.00.03 AVE Version 6.29.0.7 VDF Version: 6.29.0.63
23.01.2005,10:38:36 [INIT] Der AVGuard Dienst wurde erfolgreich gestartet!
23.01.2005,10:57:22 [WARNUNG] Diese Datei enthält verdächtigen Code Heuristic/Backdoor.Generic!
C:\SYSTEM VOLUME INFORMATION\_RESTORE{1B8CB955-2196-4320-8B40-82279D8DBFAC}\RP39\A0003309.RBF
23.01.2005,12:28:57 [WARNUNG] Diese Datei enthält verdächtigen Code Heuristic/Backdoor.Generic!
C:\SYSTEM VOLUME INFORMATION\_RESTORE{1B8CB955-2196-4320-8B40-82279D8DBFAC}\RP39\A0003309.RBF
23.01.2005,14:54:02 [WARNUNG] Diese Datei enthält verdächtigen Code Heuristic/Backdoor.Generic!
C:\SYSTEM VOLUME INFORMATION\_RESTORE{1B8CB955-2196-4320-8B40-82279D8DBFAC}\RP39\A0003309.RBF
23.01.2005,18:38:00 [INFO] Stop Filter Device.
23.01.2005,18:38:01 [EXIT] Der AVGuard Dienst wurde beendet!


Habe probs beim abspeichern von Dateien, Systemleistung sinkt rapiede ab und über ie explorer können 80 % der seiten nicht aufgerufen werden weil sie gar nicht angewählt werden. eine avlog die ich vor weingen minuten gemacht habe und unter avlog speicherte hatte auf einmal folgende bezeichnung:~$avlog und keine möglichkeit diese aus word zu kopieren. Bitte um Hilfe da ich den Pc vor einer woche schon mal komplett formatiert habe da ich einen Trojaner drauf hatte! Dank im Voraus

Drizzt

Chris14 24.01.2005 17:27
du musst neuinstallieren weil der RBOT.UM drauf ist.
befolge auch diese Anleitung um einen weiteren Befall zu verhindern.

Jazzy 24.01.2005 20:31
Hallo Chris,
ich schaue in letzter Zeit häufiger in dieses Forum und versuche die Hinweise der erfahrenen User nachzuvollziehen, indem ich das Logfile auswerte mit der automatischen Auswertung. Leider mit geringem Erfolg :dummguck: Wie konntest Du erkennen, dass der RBOT.UM drauf ist? Ich würde gerne solch ein Logfile besser interpretieren können.

VG
Jazzy

Chris14 24.01.2005 21:04
am dateinamen und dem registrierungseintrag.
außerdem kennzeichnen die meisten würmer mit microsoft namen wie svchost. allerdings ist dann meist ein buchstabe falsch zb. scvhost. zb. der rbot.um. der verwendet im autostart registrierungseintrag immer den startnamen "Windows Update" mit dem dateinamen "wuampd.exe"
wenn man das mal ein paar wochen gemacht hat, erkennt man solche einträge recht schnell.

Jazzy 25.01.2005 00:11
Danke Chris!!!

drizzt2904 25.01.2005 00:52
Vielen dank habe mir schon sowas gedacht und die festplatten formatiert nun bleibt nur noch die frage welchen virenscanner und welche firewall soll ich drauf tun den av virenscanner hatte ich ja und dauernd neue updates hab ich auch gemacht. nützte ja wohl nix. mit norton habe ich auch nur schlechte erfahrung gemacht. beides sollte auch für totale pc anfänger geeignet sein da ich diesen pc mit anderen teile. habtt jemand da eine lösung????



Mfg

drizzt :snyper:


Alle Zeitangaben in WEZ +1. Es ist jetzt 14:38 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131