Trojaner-Board - PLEASE hijack checken

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - PLEASE hijack checken (https://www.trojaner-board.de/14828-please-hijack-checken.html)

PLEASE hijack checken

Hallo,
könnt bitte bitte ma wer mein hijack checken?
hab nach nem bösen trojaner neu aufgesetzt. alles wieder drauf updeats windows firewall antispy bla bla. wüssste gern ob ich "clean" bin.

Logfile of HijackThis v1.99.1
Scan saved at 15:21:19, on 03.03.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\PestPatrol\PPMemCheck.exe
C:\Programme\PestPatrol\CookiePatrol.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\DeTeWe\TA 33 USB\Capictrl.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\PROGRA~1\ICQLite\ICQLite.exe
C:\d2-cdkey\HijackThis.exe

O4 - HKLM\..\Run: [Machine Debug Manager] mdm.exe
O4 - HKLM\..\Run: [MS USB 2.0 Windows Support] msusb32.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\Programme\PestPatrol\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\Programme\PestPatrol\CookiePatrol.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\RunServices: [Machine Debug Manager] mdm.exe
O4 - HKLM\..\RunServices: [MS USB 2.0 Windows Support] msusb32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Machine Debug Manager] mdm.exe
O4 - HKCU\..\Run: [MS USB 2.0 Windows Support] msusb32.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\PROGRA~1\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: CAPIControl.lnk = ?
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'c:\programme\trackzapper.com\tz spyware-remover\apptoport.dll' missing
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ms...downloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7D0D70A8-CB8D-4859-B9DF-B65CA278AD28}: NameServer = 217.65.24.98
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Danke im Voraus für Eure mühe, ach so, was ich weiss was 100 pro windows is habsch rausgenommen ^^

thx. PvPisFun

Dein Log schaut leider gar nicht gut aus. Einige Autostarteinträge lassen auf Trojaner mit Backdoorfunktionalität schließen. Um auf Nummer sicher zu gehen, solltest du dies ausführen:
Scanne dein System bitte mit eScan im abgesicherten Modus (Anleitung genau befolgen!) und poste was gefunden wird. Am einfachsten machst du das so:
Direkt nach dem Scan, den Inhalt des Fensters "Virus Log Information" kopieren (Strg+A alles markieren; Strg+C kopieren) und dann in einer Textdatei abspeichern (z.B. mit Wordpad o.ä.). Dazu den Inhalt mit Strg+V in das Textverarbeitungsprogramm einfügen und das Dokument dann abspeichern. Nach dem Neustart kannst du die Infos aus der Datei
dann einfach ins Forum kopieren.

Poste außerdem folgendes aus der mwav.log (steht ganz am Ende):

Zitat:

Total Number of Files Scanned:
Total Number of Virus(es) Found:
Total Number of Disinfected Files:
Total Number of Files Renamed:
Total Number of Deleted Files:
Total Number of Errors:
Time Elapsed:

bitte mal um angabe welche autostarteinträge du meinst.
thx

Zitat:

O4 - HKLM\..\Run: [Machine Debug Manager] mdm.exe
O4 - HKLM\..\Run: [MS USB 2.0 Windows Support] msusb32.exe

Sieh ganz stark nach 2 "Bot-Varianten" aus.

die kamen mir zunächst auch spanisch vor. kaspersky hat sie als clean erachtet (online scan). werde trotzdem gleich mal escan durchrattern lassen. thx.

Wenn KAV-Online die Dateien

Zitat:

O4 - HKLM\..\Run: [Machine Debug Manager] mdm.exe
O4 - HKLM\..\Run: [MS USB 2.0 Windows Support] msusb32.exe

als 'clean' bezeichnet, wird eScan vermutl. nichts anderes herausfinden, da beide Scanner die gleichen Signaturen verwenden.

Ich finde die die Bezeichnungen auch sehr suspekt. Schick die Dateien zur Überprüfung mal per Mail an newvirus@kaspersky.com Dort bekommst Du relativ schnell -und zuverlässig- Antwort.

Noch als kleinen Zusatz. Schick bitte die "richtige" mdm.exe, also nicht die aus dem Verzeichnis:
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe

jo is klar.

hab die richtige geschickt vorsichtshalber auch gerad nochmal.
ausserdem escan endlich mit allem durch.

Total Number of Files Scanned: 24763
Total Number of Virus(es) Found: 0
Total Number of Disinfected Files: 0
Total Number of Files Renamed: 0
Total Number of Deleted Files: 0
Total Number of Errors: 14

Die Errors kommen aus nem Firmenprogramm (Versicherungsprogramme) da hat keiner zugang kein program ^^

na endlich. also comp doch clean ^^

thx euch allen. pvpisfun ^^

Zitat:

na endlich. also comp doch clean ^^

Nein, mach bitte das, was Lutz empfohlen hat (falls nicht schon geschehen). Die Dateien sind definitiv Malware!

Haui die beiden files sind an kasperky per mail raus.
ich wart seine antwort ab dann seh ich weiter ok?
thx ^^

Gut. Ich empfehle dir, deinen PC bis dahin vom Netz zu trennen!

OFFTOPIC ;)

Zitat:

Zitat von PvPisFun

...die beiden files sind an kasperky per mail raus.
ich wart seine antwort ab dann seh ich weiter ok?

Zitat:

Zitat von Haui45

Gut. Ich empfehle dir, deinen PC bis dahin vom Netz zu trennen!

Haui, im Prinzip hast Du vollkommen Recht, aber wie soll er dann jemals die Antwort erfahren? :crazy: OK- es könnte ein Webmail-Account sein und er könnte nen anderen Rechner nehmen... :blabla:

/OFFTOPIC

Ich kann meine eMails von jedem meiner Rechner abrufen, ob Freemail oder nicht ;) :huepp:

btw: in einem anderen Thread hat er erwähnt, dass er einen Zweitrechner hat :D

mfg Haui :)

Solala,
wieder on mit altem Rechner, denn wirklcih clean.
Also Haui erst mal RIESENdANK für deine professionelle hilfe.
als info für dich :
gibt nen trojaner der ne msusb32.exe macht. is dann verseucht das ding.
ich gehe aber über usb ins internet und das teil is sauber, wird benötigt damit ich mit dem rechner hier überhaupt ins inet komme. die mdm.exe gehört zu dem teil irgendwie dazu. ganz schlau über die mdm was die macht bin ich nicht, geht aber nich ohne. aber auch bei der mdm.exe gibt es nen trojaner (backdoor) der genauso eine datei hat.... deine warnung und einschätzung war also top, ich bin zum glück also wirklich sauber.
hats neuaufsetzen doch geklappt. Big thx at all.

see ya

Hat Kaspersky schon geantwortet?
Glaube mir, die Dateien sind mit annähernd 100%iger Wahrscheinlichkeit Malware!
Ein seriöses Programm generiert sicherlich keine 3 Autostart-Einträge. Zudem würden sich Infos via Google finden lassen.

Wenn ein Programm deinem Internetzugang zugeordnet werden kann, dann ist es dieses:

Zitat:

C:\Programme\DeTeWe\TA 33 USB\Capictrl.exe