Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Stond (https://www.trojaner-board.de/14910-stond.html)

stond 05.03.2005 02:04
Stond
 
brauche nochmal ne auswertung :


Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
E:\Programme\AVPersonal\AVGUARD.EXE
E:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\bilankara.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\SystemReg166.exe
C:\WINDOWS\System32\MSWSCK32.exe
C:\WINDOWS\System32\winsi32.exe
C:\WINDOWS\System32\crscs.exe
C:\WINDOWS\System32\MSWSCK32.exe
E:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\MSWSCK32.exe
c:\MSBackgrd.exe
E:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Tobias\LOKALE~1\Temp\Rar$EX14.237\HijackThis.exe

O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - C:\WINDOWS\EliteToolBar\EliteToolBar version 59.dll
O2 - BHO: &EliteSideBar - {ED103D9F-3070-4580-AB1E-E5C179C1AE41} - C:\WINDOWS\EliteSideBar\EliteSideBar 08.dll
O3 - Toolbar: &EliteBar - {825CF5BD-8862-4430-B771-0C15C5CA8DEF} - C:\WINDOWS\EliteToolBar\EliteToolBar version 59.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVGCtrl] "E:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [WinampAgent] E:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Registry System166 Checkup Monitor] SystemReg166.exe
O4 - HKLM\..\Run: [Windows 32Bit Fixer] bilankara.exe
O4 - HKLM\..\Run: [Microsoft Winsocks 32 Controller] MSWSCK32.exe
O4 - HKLM\..\Run: [Window_Protect] winsi32.exe
O4 - HKLM\..\Run: [PCprot] crscs.exe
O4 - HKLM\..\RunServices: [Registry System166 Checkup Monitor] SystemReg166.exe
O4 - HKLM\..\RunServices: [Windows 32Bit Fixer] bilankara.exe
O4 - HKLM\..\RunServices: [Microsoft Winsocks 32 Controller] MSWSCK32.exe
O4 - HKLM\..\RunServices: [Window_Protect] winsi32.exe
O4 - HKLM\..\RunServices: [PCprot] crscs.exe
O4 - HKLM\..\RunOnce: [Windows 32Bit Fixer] bilankara.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Windows 32Bit Fixer] bilankara.exe
O4 - HKCU\..\Run: [Microsoft Winsocks 32 Controller] MSWSCK32.exe
O4 - HKCU\..\Run: [Window_Protect] winsi32.exe
O4 - HKCU\..\Run: [Registry System166 Checkup Monitor] SystemReg166.exe
O4 - HKCU\..\RunOnce: [Windows 32Bit Fixer] bilankara.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O16 - DPF: v3cab - http://searchmiracle.com/cab/8.cab
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/CD...ridge-c267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7982F6CE-A07B-4A81-9B11-3D05C13282CC}: NameServer = 217.237.151.225 217.237.150.225
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - E:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - E:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Yopie 05.03.2005 02:15
Da Du ja noch im Formatieren Übung hast, kannst Du es nochmal machen (wenn es wieder der gleiche Rechner ist). Anleitung poste ich nicht nochmal, die wurde Dir im letzten Thread schon gegeben.

"C:\WINDOWS\System32\SystemReg166.exe" dürfte nämlich RBot sein. Klarheit erhältst Du mit escan. http://www.trojaner-board.de/42731-escan-anleitung.html

Wahrscheinlich ist Dein System immer noch nicht gepatcht, da hilft auch nicht das Weglassen der ersten Zeilen des Logs.

Warum hast Du Dich nicht an die Anleitung gehalten, obwohl man Dich extra darauf hingewiesen hat?

Gruß :daumenhoc
Yopie

dartus 05.03.2005 02:28
Hallo stond,

loade bitte folgende Dateien:

C:\WINDOWS\System32\bilankara.exe
C:\WINDOWS\System32\SystemReg166.exe
C:\WINDOWS\System32\MSWSCK32.exe
C:\WINDOWS\System32\winsi32.exe
C:\WINDOWS\System32\crscs.exe
c:\MSBackgrd.exe

zu einer weiteren Analyse hier up:

http://www.malwareupload.com

Erläuterungen

dartus

stond 05.03.2005 02:50
die ersten 4 dateien befinden sich gar nicht auf dem rechner und die letzte datei erfüllt nicht die anforderungen ...

@ yopie : ich hab die anleitung befolgt , zumindest soweit wie ich sie verstanden hab , ich hab meinen rechner mit allem möglichen antivir , spy-programmen zugepackt .

Was ist es denn diesmal , wieder das selbe ??

des weiteren ist es für mich unheimlich schwer momentan zu handeln , da mein internet so gut wie gar nicht reagiert , um das hier zu posten brauch ich fast ne halbe stunde

dartus 05.03.2005 02:56
Hallo Stond,

mach mal dies, dann wirst Du die auch finden:

Öffne den Explorer-->Extras-->Ordneroptionen-->Ansicht-->Systendateien ausblenden "häckchen weg und "Alle Dateien und Ordner Anzeigen" anklicken

Die Datei, die den Anforderungen nicht entspricht, pack sie mit Winrar und verseh sie mit einem Passwort und schick es mit dem Passwort und verweis auf diesem Thread an:

partytime-germany.ice@web.de

dartus

P.S. Dein Internet läuft schlecht, weil eben diese Porgramme nebenbei auch arbeiten aber für andere.

stond 05.03.2005 03:43
nix zu machen ... beim hochlade-versuch reagiert nix mehr ..

foobar 06.03.2005 13:59
Hi,

habe MSWSCK32.exe mal untersucht - ist ein Trojaner/Wurm der sich auf XP
Rechnern heimisch fühlt. Der Rechner ist beim Surfen eines Bekannten mit
BlueScreen abgeschmiert und nach dem Booten war die EXE drauf. (nutzt also
wieder einen StackOverflow)

Die Exe liegt im Windows/system32 Verzeichnis und ist als Systemdatei
markiert - zusätzlich mit Dateiattribute Hide versteckt.

Nach dem Starten von MSWSCK32.exe sendet sie einen Broadcast
(255.255.255.255) auf Port 37773 durch die Gegend. Arbeitet warscheinlich
als Wurm und sendet sich wieder weiter.

Auf dem verseuchten Rechner waren nebenbei auch so witzige executables
wie NavscanAP.exe bzw. W32Mon.exe unter c:\ zu finden.
Vom Absturzzeitpunkt blieb auch eine Datei c.bat (ebenfalls in System32)
auf dem Rechner zurück. Über den Inhalt der Datei ".pif" wurde ein FTP Transfer auf 213.7.17.62 auf Port 21781 durchgeführt.

Da hat sich ja jemand ziemlich viel Mühe gemacht - werd jetzt mal
anfangen zu debuggen was hier noch so alles los war.

Zum entfernen: Registry nach MSWSCK32.exe durchsuchen (ist mehrfach
bei Run eingetragen) und löschen. Datei unter windows/system32 ebenfalls
löschen.

Gruß
foobar


Alle Zeitangaben in WEZ +1. Es ist jetzt 20:43 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131