Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Hilfe!! Trojaner wird wiedergeboren! (https://www.trojaner-board.de/13891-hilfe-trojaner-wiedergeboren.html)

cool bambus 16.02.2005 01:32
Hilfe!! Trojaner wird wiedergeboren!
 
Hallo!

Hab da ein paar lästige Trojaner, die bei jedem Windows-Start (und nach jedem Löschen) wieder auf's Neue da sind...

Hier das HijackThis-Logfile:
Code:
Logfile of HijackThis v1.99.0
Scan saved at 01:32:14, on 16.02.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AntiVirus\AVGUARD.EXE
C:\Programme\AntiVirus\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\PROGRA~1\MAGICW~1\MulMouse.exe
C:\WINNT\system32\dla\tfswctrl.exe
C:\Programme\PowerDVD\Umbrella\hpcdtray.exe
C:\PROGRA~1\HPCD-D~1\Umbrella\DVDTray.exe
C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
C:\Programme\AntiVirus\AVGNT.EXE
C:\Programme\WinPortrait\wpctrl.exe
C:\Programme\Skype\Skype.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
C:\WINNT\system32\RUNDLL32.EXE
C:\Programme\Adobe Acrobat 6.0\Distillr\acrotray.exe
C:\WINNT\system32\rundll32.exe
C:\Programme\AutoHotkey\Meine Skripts\OE News lesen - Win+n.exe
C:\Programme\AutoHotkey\Meine Skripts\Opera starten - Win+o.exe
C:\Programme\AutoHotkey\Meine Skripts\Outlook starten - Win+l.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktopIndex.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktopCrawl.exe
C:\Programme\WinPortrait\floater.exe
C:\Programme\SpySub.exe
D:\Downloads + Source Files\Anti Spy\CW Shredder\CWShredder.exe
C:\Programme\Opera75\opera.exe
D:\Downloads + Source Files\Anti Spy\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\PHILIP~1\LOKALE~1\Temp\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\PHILIP~1\LOKALE~1\Temp\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {6320997E-87E4-426B-90AC-B4700FBB3BE4} - C:\WINNT\system32\ich.dll
O4 - Global Startup: SpySubtract.lnk = C:\Programme\SpySub.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Toolbars\Restrictions present
O17 - HKLM\System\CCS\Services\Tcpip\..\{B8C01418-5296-417E-9CB3-805820B38CED}: NameServer = 143.50.56.25 143.50.19.25
O18 - Filter: text/html - {569A3A2E-47CD-40D7-B3F9-845416FBF44B} - C:\WINNT\system32\ich.dll
O18 - Filter: text/plain - {569A3A2E-47CD-40D7-B3F9-845416FBF44B} - C:\WINNT\system32\ich.dll
...und hier das, was mwav.exe (escan) dazu meint:
Code:
Tue Feb 15 20:25:14 2005 => File C:\WINNT\system32\jfaoelq.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
Tue Feb 15 20:25:42 2005 => File C:\WINNT\NDNuninstall4_85.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.
Tue Feb 15 20:25:42 2005 => File C:\WINNT\NDNuninstall5_64.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.
Tue Feb 15 20:25:42 2005 => File C:\WINNT\NDNuninstall6_10.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.
Tue Feb 15 20:26:45 2005 => File C:\WINNT\system32\ggffdb.dll infected by "Trojan.Win32.StartPage.qr" Virus. Action Taken: No Action Taken.
Tue Feb 15 20:27:03 2005 => File C:\WINNT\system32\jlmjho.dll infected by "Trojan.Win32.StartPage.qr" Virus. Action Taken: No Action Taken.
Tue Feb 15 20:28:34 2005 => File C:\WINNT\system32\up2date.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

MountainKing 16.02.2005 09:41
Ein Backdoorprogramm bieten Angreifern Zugriff auf deinen Rechner, die sicherste Lösung dafür ist:

http://www.trojaner-info.de/report_i...nleitung.shtml

Für die Zukunft durcharbeiten und umsetzen:

http://www.mathematik.uni-marburg.de...ompromise.html
http://www.comsafe.de/


Alle Zeitangaben in WEZ +1. Es ist jetzt 17:29 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131