Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   trojaner ehttp.cc - HILFE (https://www.trojaner-board.de/13957-trojaner-ehttp-cc-hilfe.html)

MataHari 16.02.2005 20:58
trojaner ehttp.cc - HILFE
 
Hallo allerseits,

habe mir neulich auf einer an sich recht "vertrauenserweckenden" Seite einen Trojaner gezogen. Im Forum habe ich auch schon etliche Einträge zu gefunden. Hijack liefert mir folgendes:

Logfile of HijackThis v1.97.7
Scan saved at 16:52:30, on 15.02.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Cherry\CDI\CDI.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Multimedia\Winamp\winampa.exe
C:\WINDOWS\Mixer.exe
C:\Programme\Adobe\Adobe Version Cue\ControlPanel\VersionCueTray.exe
C:\Programme\Cherry\KeyMan\KeyMan.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Adobe\Adobe Acrobat 6.0\Distillr\acrotray.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\Programme\eMule\emule.exe
C:\PROGRA~1\Nokia\NOKIAP~1\COMPON~1\PHONEB~1\NOKIAV~1.EXE
C:\WINDOWS\System32\CTFMON32.EXE
C:\WINDOWS\System32\CSRSSU.EXE
C:\WINDOWS\System32\WISPTIS.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\BulletProofSoft.com\SpywareRemover\Spyware.exe
C:\Programme\BulletProofSoft.com\SpywareRemover\CAF14FA4.DLL
C:\WINDOWS\explorer.exe
C:\Programme\Multimedia\Winamp\Winamp.exe
C:\Programme\WinRAR\WinRAR.exe
C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
D:\Soundz\Anti Spyware - Hijackthis v1.97.7 - Toolbars & Explorer Menus Cleanup - 2003\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Adobe Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {3BA765C2-08DB-4fe2-9279-311CA10D582A} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - (no file)
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Multimedia\Winamp\winampa.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AdobeVersionCue] C:\Programme\Adobe\Adobe Version Cue\ControlPanel\VersionCueTray.exe
O4 - HKLM\..\Run: [CherryKeyman] "C:\Programme\Cherry\KeyMan\KeyMan.exe"
O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Security iGuard] C:\Programme\Security iGuard\Security iGuard.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [CTFMON32] C:\WINDOWS\System32\CTFMON32.EXE
O4 - HKCU\..\Run: [CSRSSU] C:\WINDOWS\System32\CSRSSU.EXE
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Adobe Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Send to Keyman - C:\Programme\Cherry\keyman\IEMenuExtKeyman.html
O9 - Extra button: Recherchieren (HKLM)
O13 - DefaultPrefix:
O13 - WWW Prefix:
O13 - Mosaic Prefix:
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/downlo...22/wmv9VCM.CAB
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://appldnld.m7z.net/qtinstall.in...lInstaller.exe
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...159.1318055556
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - http://ax.phobos.apple.com.edgesuite...ITDetector.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3A824C9B-1111-41B5-9883-3DC6B8E52AF5}: NameServer = 212.114.152.1,212.114.153.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{3A824C9B-1111-41B5-9883-3DC6B8E52AF5}: NameServer = 212.114.152.1,212.114.153.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{3A824C9B-1111-41B5-9883-3DC6B8E52AF5}: NameServer = 212.114.152.1,212.114.153.1

O4 habe ich jeweils CTFMON32.EXE und die CSRSSU.EXE gefixt. Auch die R0 Einträge habe ich wieder auf GOOGLE verweisen lassen. Zudem o13 gefixed. Unter www.sysinfo.org habe ich mich über die restlichen Einträge informiert. Habe ich was übersehen? Spybot und AntiTrojan helfen da auch nicht weiter. Nach kurzer Zeit stellt sich die Startseite erneut um und Pop-ups tauchen auf? Muss ich das System erst wieder neu starten nach dem ich alles sauber gekriegt habe?
Ich bin wirklich dankbar für jede Unterstützung. Danke an Euch schonmal.

MH

Cidre 16.02.2005 21:27
Hallo,

Zitat:
Habe ich was übersehen?
JA!
- Durch surfst mit einem ungepatchten System und zudem mit einem unsicher konfigurierten IE durch die Gegend.
- Du verwendest immer noch eine alte Version von HJT.
- Fixen alleine reicht nicht aus! Die Malware Dateien müssen auch gelöscht werden!
usw.
Zitat:
Logfile of HijackThis v1.97.7
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Mögliche Lösungen:
http://www.trojaner-board.de/showthr...ght=CSRSSU.EXE
http://www.trojaner-board.de/search.php?searchid=201092

MataHari 16.02.2005 22:54
Okay, also den aktuellen HJ .99 habe ich geholt, V.1.99. :headbang: Das System werde ich auch hochrüsten, wie auch den IE. Soviele Lücken tun sich da also auf. :teufel1:
Bei Deinen beiden Links bin ich gerade drüber. Fraglich bleibt mir aber der Hinweis auf
Zitat:
Malware
. Unter was finde ich denn bitte die Mailware-Dateien. Du schreibst dann noch usw. Ist da noch was, was Dich völlig vom Hocker gerissen hat :confused:
Dank für Deine Unterstützung ist Diir auf jeden Fall sicher!
:aplaus: Merci :aplaus:

Cidre 16.02.2005 23:05
Zitat:
Fraglich bleibt mir aber der Hinweis auf
Malware
Siehe http://malware.bul-online.de/

z.B. diese Dateien ->
C:\WINDOWS\System32\CTFMON32.EXE
C:\WINDOWS\System32\CSRSSU.EXE

Zitat:
Du schreibst dann noch usw. Ist da noch was, was Dich völlig vom Hocker gerissen hat
Im Moment ist die Abarbeitung der Links völlig ausreichend. Danach sollten aber noch weitere Massnahmen vollzogen werden.

MataHari 17.02.2005 00:30
Danke Dir vielmals Cidre :D ,

habe meinen Rechenr wohl wieder hinbekommen.
Lasse grad eben noch eScan drüber laufen und schmeiße die infizierten Dateien von Board. Zuvor natürlich noch bei http://virusscan.jotti.org/ gegengechecked.
Und nun natürlich gleich ab zu Onkel Bill und die neuesten Updates geholt.
Was das Surfen angeht, hast du auch schon mal zuvor von Mozilla gesprochen. Ist der nicht so anfällig?

Bis denn
MH :huepp:

Cidre 17.02.2005 18:54
Zitat:
Was das Surfen angeht, hast du auch schon mal zuvor von Mozilla gesprochen. Ist der nicht so anfällig?
http://firefox.bric.de/index.php?page=faq#mozvsie
http://www.mozilla-anleitung.de/Mozilla/101Dinge.php

Weitere Nachsorge:
http://www.mathematik.uni-marburg.de...ompromise.html
http://faq.underflow.de/#SECTION000110000000000000000


Alle Zeitangaben in WEZ +1. Es ist jetzt 10:42 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27