Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Nach Gobot.35570 dieses LOG File (https://www.trojaner-board.de/13218-gobot-35570-log-file.html)

Rosebutt2000 03.02.2005 13:09
Nach Gobot.35570 dieses LOG File
 
Hallo,

als ich vor ein paar Tagen meinen Laptop ausschaltete, erschien beim Runterfahren ein blauer Bildschirm, auf dem alle mögliche weiße Schrift schnell durchlief und danach die Datenträgerüberprüfung durchgeführt wurde. Als er sich dann im Anmeldebildschirm von WinXP befand bin ich auf "ausschalten" gegangen und habe ich abgeschaltet.

Am nächsten morgen waren dann alle Einstellungen im Firefox verschwunden und beim Start lädt er die Firefox Startseite. Allerdings war das nur in einem, meiner drei Benutzerkonten, dass ich im eigeschränkten Modus betreibe. Im Administrator Konto und im anderen eingeschränkten Konto ist alles normal.

Habe dann mit AntiVir den Gobot.35570 gefunden und ihn gelöscht. Dazu habe ich noch AdAware Prof. und Spybot und HijackThis (alles frisch geupdated) durchlaufen lassen.

Mittlerweile habe ich folgene HijackThis Log - Datei:

Logfile of HijackThis v1.99.0
Scan saved at 12:09:33, on 03.02.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
D:\Programme\Systemsicherheit\AntiVir\AVGUARD.EXE
D:\Programme\Systemsicherheit\AntiVir\AVWUPSRV.EXE
D:\Programme\Kommunikation\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TOSHIBA\TME3\Tmesbs32.exe
C:\WINDOWS\System32\wltrysvc.exe
C:\WINDOWS\System32\bcmwltry.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\00THotkey.exe
C:\WINDOWS\System32\TPWRTRAY.EXE
C:\Programme\TOSHIBA\TME3\TMESBS32.EXE
C:\Programme\TOSHIBA\TOSHIBA Controls\TFncKy.exe
C:\WINDOWS\System32\TDispVol.exe
C:\WINDOWS\System32\TFNF5.exe
C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe
C:\Programme\TOSHIBA\Wireless Hotkey\TosHKCW.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Synaptics\SynTP\cPad\AlarmWatcher.exe
C:\Programme\TOSHIBA\TouchED\TouchED.Exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\WINDOWS\Twain_32\FlatBed\HotKey.exe
D:\Programme\Multimedia\Player\Winamp 5.03\Winamp\winampa.exe
D:\PROGRA~1\KOMMUN~1\T-DSLS~1.02\SpeedMgr.exe
D:\Programme\Systemsicherheit\Acronis True Image\TrueImageMonitor.exe
D:\PROGRA~1\MULTIM~1\sonst\TEXTBR~1.0\Bin\INSTAN~1.EXE
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
D:\Programme\Systemsicherheit\AntiVir\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
D:\Programme\Systemsicherheit\SpyBot Search & Destroy 1.3 RC4\Spybot - Search & Destroy\TeaTimer.exe
D:\Programme\Multimedia\Foto\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
D:\Programme\Kommunikation\T-DSL Speedmanager 5.02\tsmsvc.exe
D:\Programme\Systemsicherheit\HijackThis 1.99\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://192.168.2.1/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Anwendungen\Adobe Reader\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SYSTEM~2\SPYBOT~1.3RC\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe
O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe
O4 - HKLM\..\Run: [Tpwrtray] TPWRTRAY.EXE
O4 - HKLM\..\Run: [TMESBS.EXE] C:\Programme\TOSHIBA\TME3\TMESBS32.EXE /Client
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe /Type 03
O4 - HKLM\..\Run: [TDispVol] TDispVol.exe
O4 - HKLM\..\Run: [TFNF5] TFNF5.exe
O4 - HKLM\..\Run: [NDSTray.exe] "C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe"
O4 - HKLM\..\Run: [TosHKCW.exe] "C:\Programme\TOSHIBA\Wireless Hotkey\TosHKCW.exe"
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [cPadAlarm] C:\Programme\Synaptics\SynTP\cPad\AlarmWatcher.exe
O4 - HKLM\..\Run: [TouchED] C:\Programme\TOSHIBA\TouchED\TouchED.Exe
O4 - HKLM\..\Run: [EPSON Stylus C84 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C84 Series" /O6 "USB001" /M "Stylus C84"
O4 - HKLM\..\Run: [HotKey] C:\WINDOWS\Twain_32\FlatBed\HotKey.exe
O4 - HKLM\..\Run: [WinampAgent] D:\Programme\Multimedia\Player\Winamp 5.03\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "D:\PROGRA~1\KOMMUN~1\T-DSLS~1.02\SpeedMgr.exe"
O4 - HKLM\..\Run: [Acronis True Image Monitor] "D:\Programme\Systemsicherheit\Acronis True Image\TrueImageMonitor.exe"
O4 - HKLM\..\Run: [InstantAccess] d:\PROGRA~1\MULTIM~1\sonst\TEXTBR~1.0\Bin\INSTAN~1.EXE /h
O4 - HKLM\..\Run: [RegisterDropHandler] d:\PROGRA~1\MULTIM~1\sonst\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\Systemsicherheit\AntiVir\AVGNT.EXE /min
O4 - HKLM\..\RunServices: [RegisterDropHandler] d:\PROGRA~1\MULTIM~1\sonst\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programme\Systemsicherheit\SpyBot Search & Destroy 1.3 RC4\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - Global Startup: Cisco Systems VPN Client.lnk = D:\Programme\Kommunikation\Cisco Systems\VPN Client\vpngui.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Anwendungen\Microsoft Office XP\Office10\OSA.EXE
O4 - Global Startup: Ulead Kalendar Checker 4.0 SE.lnk = D:\Programme\Multimedia\Foto\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\ANWEND~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1100195654709
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.de/scan/Msie/bitdefender.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8F1FEC11-AB15-4078-B701-89F577823ED7}: NameServer = 192.168.121.252,192.168.121.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{B5E85F40-63CC-4FAC-A978-B47FD37AC61A}: NameServer = 192.168.2.1
O23 - Service: Acronis Scheduler2 Service - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - D:\Programme\Systemsicherheit\AntiVir\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - D:\Programme\Systemsicherheit\AntiVir\AVWUPSRV.EXE
O23 - Service: Cisco Systems, Inc. VPN Service - Cisco Systems, Inc. - D:\Programme\Kommunikation\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: AVM FRITZ!web Routing Service - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: StyleXPService - Unknown - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: Tmesbs32 - TOSHIBA Corporation - C:\Programme\TOSHIBA\TME3\Tmesbs32.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - D:\Programme\Kommunikation\T-DSL Speedmanager 5.02\tsmsvc.exe
O23 - Service: WLTRYSVC - Unknown - C:\WINDOWS\System32\wltrysvc.exe C:\WINDOWS\System32\bcmwltry.exe (file missing)


Kann ich den Laptop als sauber betrachten oder muss ich Ihn komplett neu aufsetzen? Wäre es in deisem Fall möglich, die Datenpartition auf Virenfreiheit zu überprüfen und ein Backup zu erstellen, welches ich nach dem Neuaufsetzen wieder verwednen kann?


Vorab vielen Dank für Eure Hilfe,


Grüße Rosebutt

HerrKautz 03.02.2005 13:27
Hallo,

es bringt nichts einfach einen Backdoor zu fixen

http://www.sophos.de/virusinfo/analyses/w32gobota.html

Dein System ist nicht mehr vertrauenswürdig,d.h du musst es neu aufsetzen,les dazu auch die Tipps von Cidre:

http://trojaner-board.de/showthread.php?t=12154

Gruss


Alle Zeitangaben in WEZ +1. Es ist jetzt 21:43 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131