Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Merkwürdige Anstalten meiner Kiste (https://www.trojaner-board.de/12787-merkwuerdige-anstalten-meiner-kiste.html)

Shadoweye 26.01.2005 12:34

Merkwürdige Anstalten meiner Kiste
 
Wenn ich falsch gepostet haben sollte, dann einmal verschieben, ich wußte nich wohin damit....




Ich kann mir nicht helfen *seufzt* Seit neuestem, wenn ich meine Kiste anschalte, bekomme ich ein Lachen zu hören, das sich so anhört als hätte ich Santa Claus auf meiner Festplatte verewigt!! HoHo hör ich, egal auf welche Webseite ich gehe, langsam nervt es, weil ich noch nicht mal Musik hören kann ohne das ich dieses Geräusch höre!!

Anbei habe ich den HijackThis gemacht und hier gepostet, vielleicht kann mir jemand helfen, wäre klasse, ich verzweifel hier so langsam, weiß nimmer weiter *seufzt*

Logfile of HijackThis v1.99.0
Scan saved at 12:32:24, on 26.01.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\SOUNDMAN.EXE
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Zero Knowledge\Freedom\Freedom.exe
C:\Programme\Trillian\trillian.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Winamp\Winamp.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=192.168.0.3:80;gopher=192.168.0.3:80;http=192.168.0.3:80;https=192.168.0.3:80
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Freedom Popup Killer - {3C060EA2-E6A9-4E49-A530-D4657B8C449A} - C:\Programme\Zero Knowledge\Freedom\pkR.dll
O2 - BHO: Freedom BHO - {56071E0D-C61B-11D3-B41C-00E02927A304} - C:\Programme\Zero Knowledge\Freedom\FreeBHOR.dll
O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - C:\Programme\WS_FTP Pro\wsbho2k0.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Freedom] C:\Programme\Zero Knowledge\Freedom\Freedom.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary...r.cab31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...tatsClient.cab
O16 - DPF: {A031D222-B496-11D2-9CC8-00105A10AAF6} (WONWebLauncher Class) - http://hoyle.vugames.com/cab/WONWebLauncherControl.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{94F3020D-93D2-4338-9AD1-34DC1C975FB2}: NameServer = 145.253.2.142,145.253.2.171
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe


Ein dickes Dangäää schon mal im voraus, auch wenn keiner eine Antwort weiß...

Grüßele Schatterl

Lutz 26.01.2005 12:38

Zitat:

O2 - BHO: Freedom Popup Killer - {3C060EA2-E6A9-4E49-A530-D4657B8C449A} - C:\Programme\Zero Knowledge\Freedom\pkR.dll
Erster spontaner Gedanke, ist das evtl. eine 'Warnung' des Pop-up-Killers?
Etwas vergleichbares hatten wir schon mal - schlag mich ;), aber ich finde den Thread auf die Schnelle nicht wieder...

Shadoweye 26.01.2005 12:40

*lacht* Nee, schlagen tu ich hier keinen :D Dafür bin ich zu friedlich :P

Grüßele Schatterl

Shadoweye 26.01.2005 14:26

Mmmmh, also der PopUp Killer is es nich, hab ihn gefixt, aber das Geräusch bleibt bestehen :confused:

Mittlerweile ist auch noch ein zweites Geräusch hinzugekommen, das hört sich so an als würde einer irgendwas fotografieren, irgendwann schmeiss ich meine Kiste aus dem Fenster *grummel*

Grüßele Schatterl

Chris14 26.01.2005 14:31

so komisch es auch klingt..
es könnte ein trojaner die ursache des hohos sein^^

also gehe so vor:
-lade dir escan runter und gehe genau nach dieser anleitung vor
-wenn escan fertig ist, gehe wieder in den normalen modus
-öffne die datei mwav.log,klicke auf bearbeiten dann auf suchen
-gebe infected ein
-suche weiter,markiere die treffer und kopiere sie ins forum

Lutz 26.01.2005 15:11

Mhm, außer das Du Dein SunJava mal wieder aktualisieren könntest, fällt mir bei Deinem Log nichts auf. Aber dies hat nichts mit Deinem Problem zu tun.

Kannst Du dies
Zitat:

Seit neuestem, wenn ich meine Kiste anschalte, bekomme ich ein Lachen zu hören
ein bisschen näher eingrenzen? Hast Du zeitnah zum Auftreten dieses Tons irgengetwas neues installiert?

Zitat:

so komisch es auch klingt..
es könnte ein trojaner die ursache des hohos sein^^
Jau, möglich ist (fast) alles...

Shadoweye 26.01.2005 15:13

Das einzige, was ich die Tage installiert habe, war der Trillian, aber das Geräusch hab ich schon länger auf meinem Rechner, kein Adaware, SpyBot, Antivir oder HijackThis konnten mir bei meinem Problem helfen, im Moment rennt der escan durch, mal schauen, was der mir so erzählt :D

Shadoweye 26.01.2005 19:53

So, hat etwas länger gedauert, man sollte auch lesen können *hust*

Die Treffer :

Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*

Scanning File C:\Programme\AVPersonal\INFECTED\CWSHREDDER.EXE.VIR

File C:\Programme\HijackThis\backup-20041125-104022-121.dll infected by "not-a-virus:AdWare.ToolBar.iWon.a" Virus. Action Taken: No Action Taken.

File C:\WINNT\Downloaded Program Files\HDPlugin1018.dll infected by "not-a-virus:AdWare.Gator.1018" Virus. Action Taken: No Action Taken.

File C:\WINNT\Downloaded Program Files\HDPlugin1019.dll infected by "not-a-virus:AdWare.Gator.1019" Virus. Action Taken: No Action Taken.

File C:\WINNT\Downloaded Program Files\WONWebLauncherControl.ocx infected by "not-a-virus:AdWare.ToolBar.iWon.a" Virus. Action Taken: No Action Taken. <- gehört zu Sierra, um online Backgammon zu spielen !!

So, was muß ich nu machen?? Bitte nicht die Kiste platt machen...

Grüßele Schatterl

chaosman 26.01.2005 19:59

@Shadoweye
nun, wenn du diese einträge wirklich brauchst um online zu spielen,
File C:\Programme\HijackThis\backup-20041125-104022-121.dll infected by "not-a-virus:AdWare.ToolBar.iWon.a" Virus. Action Taken: No Action Taken.
File C:\WINNT\Downloaded Program Files\WONWebLauncherControl.ocx infected by "not-a-virus:AdWare.ToolBar.iWon.a" Virus. Action Taken: No Action Taken. <- gehört zu Sierra, um online Backgammon zu spielen !!
dann kann man nichts machen.

diese 2 dateien könntest du in den abgesicherten modus lmanuell löschen
File C:\WINNT\Downloaded Program Files\HDPlugin1018.dll infected by "not-a-virus:AdWare.Gator.1018" Virus. Action Taken: No Action Taken.

File C:\WINNT\Downloaded Program Files\HDPlugin1019.dll infected by "not-a-virus:AdWare.Gator.1019" Virus. Action Taken: No Action Taken.

Ansonsten, kann es sein das jemand dich ein scherzprogramm untergejubelt hat? Oder hast du in den windows sounds etwas geändert.?
chaosman

Shadoweye 26.01.2005 20:02

Nee, ich ändere kaum etwas an meiner Kiste, wenn es nicht unbedingt sein muß!! Es heisst ja, never hit a running System ;) Wenn meine Kiste läuft, dann läuft sie, aber ich werd mal die Einträge löschen, vielleicht is es genau das, was die komischen Geräusche von sich gibt *grübel*

Grüßele Schatterl

Shadoweye 26.01.2005 23:34

Mmmh, vielleicht kann mir jemand dabei helfen, weiß nich was das ist, habe mir den Log vom escan noch mal angeschaut

Scanning File C:\WINNT\system32\MSTask.exe

Auch HJT sagt, das es eventuell Böse ist, aber an dem angegeben Pfad find ich solch einen Eintrag nich, höchstens MMTASK.TSK

Scanning File C:\WINNT\system32\KILL.INI
Scanning File C:\WINNT\system32\KILLAPPS.EXE
File C:\WINNT\system32\KILLAPPS.EXE tagged as not-a-virus:RiskWare.Tool.KillApp.b. No Action Taken.

Damit kann ich mal überhaupt nix mit anfangen *kopfkratz*

Vielleicht weiß ja jemand eine Antwort..

Grüßele Schatterl

The Don - D.R. 27.01.2005 00:04

hi

hey soundman kommt mir ganz verdächtig vor

W32/Agobot-JS ist ein Wurm, der sich auf remote Freigaben mit einfachen Kennwörtern kopiert.

Der Wurm kopiert sich als soundman.exe in den Windows-Systemordner.

Damit er beim Start aktiviert wird, installiert er sich als Dienst namens "soundman" und erstellt die folgenden Registrierungseinträge:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\soundman
= soundman.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\soundman
= soundman.exe


schau in der regedit nach diesen einträgen und lösche sie gegebenenfalls, natürlich auch die soundman.exe :snyper:

Shadoweye 27.01.2005 01:04

Hab den ersten Pfad ohne weiteres gefunden, nur Run Services hab ich unter Win2000 nich....

Bin noch am frimmeln, aber des Viech werd ich schon noch runter kriegen, wäre ja nich der erste *gg* Dangäää noch mal für deine Hilfe im Messi Don...

Grüßele Schatterl

Lutz 27.01.2005 08:35

Zitat:

hey soundman kommt mir ganz verdächtig vor
soundman.exe kann verdächtig/böse sein, wenn Du aber beispielsweise eine onBoard-Soundkarte von Realtek hast, gehört sie -wenn es sich um das Original handelt- zur Soundkarte.
Also bitte nicht voreilig löschen. Da W32/Agobot-JS nicht mehr der jüngste ist, würde eScan den imho sicher identifizieren....

MountainKing 27.01.2005 09:10

Geh mal auf Systemsteuerung/Sound und Audiogeräte und schau nach, was da unter Soundschema eingestellt ist, gegebenenfalls stelle es auf "keine Sounds". Ich tippe darauf, dass es was mit Trillian zu tun hat, bzw. einer der Sounds ist, der zu dem Programm gehört.


Alle Zeitangaben in WEZ +1. Es ist jetzt 18:19 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131