Trojaner-Board - Hab mir erst gerade Hijack heruntergeladen! Brauche Hilfe!

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Hab mir erst gerade Hijack heruntergeladen! Brauche Hilfe! (https://www.trojaner-board.de/14949-hab-mir-erst-gerade-hijack-heruntergeladen-brauche-hilfe.html)

Hab mir erst gerade Hijack heruntergeladen! Brauche Hilfe!

Hallo!
Ich habe Hijack heruntergeladen und ausgeführt, doch ich verstehe nicht was mir dieses logfile sagen will:
Logfile of HijackThis v1.99.1
Scan saved at 22:34:18, on 05.03.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
D:\Programme\TuneUp WinStyler\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Programme\Alwil Software\Avast4\aswUpdSv.exe
D:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\wdfmgr.exe
D:\Programme\Alwil Software\Avast4\ashMaiSv.exe
D:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
D:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\System32\winupdate32.exe
C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\PROGRA~1\Save\Save.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\WeatherCast\Weather.exe
C:\Programme\iPod\bin\iPodService.exe
D:\Programme\Skype\Phone\Skype.exe
D:\games\valve\steam\steam.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
D:\Programme\Logitech\SetPoint\KEM.exe
D:\Programme\Xfire\Xfire.exe
D:\Programme\Logitech\SetPoint\KHALMNPR.EXE
C:\Programme\MSN Messenger\msnmsgr.exe
D:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\nORP\LOKALE~1\Temp\Rar$EX00.703\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://pc-cillin9.antivirus.com/en/9...VID=TWP9002002
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [iTunesHelper] D:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Windows Updater Online] winupdate32.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [avast!] D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [WhenUSave] C:\PROGRA~1\Save\Save.exe
O4 - HKLM\..\RunServices: [Windows Updater Online] winupdate32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [doit.exe] doit.exe
O4 - HKCU\..\Run: [WeatherCast] "C:\Programme\WeatherCast\Weather.exe" /q
O4 - HKCU\..\Run: [Skype] "D:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Steam] "d:\games\valve\steam\steam.exe" -silent
O4 - Startup: Xfire.lnk = D:\Programme\Xfire\Xfire.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: Logitech SetPoint.lnk = D:\Programme\Logitech\SetPoint\KEM.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1109103453186
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ms...downloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary...o.cab32846.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - D:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - D:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - D:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - D:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - D:\Programme\TuneUp WinStyler\WinStylerThemeSvc.exe

Erbitte um Hilfe! Danke! Gruss nORP

Hallo nORP,

lass mal bitte folgende Dateien:

C:\WINDOWS\System32\winupdate32.exe
C:\WINDOWS\System32\doit.exe

hier online prüfen:

http://virusscan.jotti.org

Teile das Ergebnis bitte mit, und stell dich darauf ein, dass Dir zu Format C. geraten wird.

dartus

Ich kann die Dateien nicht hochladen da ich sie nicht finden kann!
Gruss nORP

Hallo,

kopier die Ergebnistabellen einfach hier hinein.

dartus

Zitat:

Zitat von dartus

Hallo,

kopier die Ergebnistabellen einfach hier hinein.

dartus

Bitte vorherige Nachricht beachten! Danke!

@ nORP

Führe dies aus:
Windows Explorer (Win Taste +E) -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK"

Bei beiden dürfte es sich imho um Bot's (Rbot und Forbot) handeln. Sollte sich meine Vermutung bestätigen, dann folge der Anleitung in meiner Signatur.

File: winupdate32.exe
Status:
INFECTED/MALWARE
Packers detected:
PESPIN

AntiVir
No viruses found (0.93 seconds taken)
Avast
No viruses found (3.01 seconds taken)
AVG Antivirus
No viruses found (0.91 seconds taken)
BitDefender
No viruses found (0.96 seconds taken)
ClamAV
No viruses found (0.63 seconds taken)
Dr.Web
No viruses found (0.87 seconds taken)
F-Prot Antivirus
No viruses found (0.81 seconds taken)
Fortinet
No viruses found (0.43 seconds taken)
Kaspersky Anti-Virus
Backdoor.Win32.Rbot.gen (1.08 seconds taken)
mks_vir
No viruses found (0.25 seconds taken)
NOD32
probably unknown NewHeur_PE (probable variant) (1.49 seconds taken)
Norman Virus Control
No viruses found (4.89 seconds taken)

Statistics
Last piece of malware found was W32/MEWpacked.gen in root.exe, detected by:

Scanner Malware name Time taken
AntiVir X 0.40 seconds
Avast X 1.51 seconds
AVG Antivirus X 0.49 seconds
BitDefender BehavesLike:Win32.ExplorerHijack 0.55 seconds
ClamAV X 0.59 seconds
Dr.Web X 0.85 seconds
F-Prot Antivirus X 0.67 seconds
Fortinet X 0.43 seconds
Kaspersky Anti-Virus X 1.02 seconds
mks_vir Win32 0.22 seconds
NOD32 X 0.82 seconds
Norman Virus Control W32/MEWpacked.gen 1.77 seconds

Service statistics:

9447 files (7020 of those unique) have been uploaded & scanned since 26/02/2005, the day of the last database purge.
2151 of those 7020 files contained a virus or any other form of malware.
This page has been visited 15959 times in this time period.
This service managed to spot 201 pieces of malware no vendor used knew about at the time of uploading.
The service also warned against 1125 suspicious files without any help from scanner results.
However, 57 files reported to be OK were found out to be malware later (this is checked daily).
As far as can be told, all this together makes this service 99.19% accurate. However, since it is very well possible malware has been uploaded no scanner knows about at this time, this number is to be taken with a proper amount of skepticism.

No I am not sitting still! A new, better version of this service is being developed.
If you have suggestions and/or comments, please send me them!
Most popular malware:

Rank Malware name Uploaded Last known filename
1 trojan.spy.agent.y 106 times attachment.exe
2 trojan.dragonbot 78 times Copy_of_Dragonbot.exe
3 worm/vb.ct 59 times winz.exe
4 behaveslike:win32.sitehijack 53 times doc_02.exe
5 behaveslike:win32.irc-backdoor 44 times mcafee32.exe
6 win32:trojan-gen. {other} 35 times ultimate.exe
7 win32.bagle.bg@mm 32 times virus2.eml
8 tr/agent.bd 29 times Mikes_Aimbotf.exe
9 worm/zusha.a 29 times hmmp.exe
10 w32 25 times j.zip
11 modification of backdoor.generic.357 25 times Rootkit_Bypass.rar
12 bds/ciadoor.13.b 24 times servetrrtretrertterini.exe
13 tr/sckeylog.20.d 22 times Maple_Hacks.exe
14 backdoor.rbot.be7215b2 22 times neukenmaar.exe
15 trojan.agent.ap 20 times s_Aimbot.rar

Die Datei doit is noch immer nicht zu finden!!!

Hallo nOPRP,

wie bereits angekündigt:

winupdate.exe = Backdoor.Win32.Rbot.gen

doit.exe ist mit Sicherheit von ähnlichem Kaliber

# Ermöglicht Dritten den Zugriff auf den Computer
# Verändert Daten auf dem Computer
# Stiehlt Daten
# Lädt Code aus dem Internet herunter
# Reduziert die Systemsicherheit
# Speichert Tastenfolgen

Bei einem derartigen Befall wird Dir hier dringend zu Format C: geraten, um dies zu vermeiden:

http://www.trojaner-board.com/showthread.php?t=14669
http://www.heise.de/newsticker/meldung/57030

Hauptgrund ist das nicht upgedateten System. XP SP 2 ist aktuell.

Halte Dich an folgende Anleitung:

http://www.trojaner-board.de/showthread.php?t=12154

Thema Datensicherung:

http://www.trojaner-board.de/showpos...8&postcount=11

dartus

Hallo
Habe vorerst einmal die datei winupdate32.exe gelöscht. Die doit datei kann ich nicht au meinem Computer finden.

Habe noch eine Frage: Welche freeware Schutzprogramme würdet ihr wärmstens empfehlen? Avast und Ad-Aware habe ich im Moment.

Danke, Gruss nORP

ich empfehle noch spybot

mir gefällt die option immunisieren ^^

Das Immunizieren hilft aber nur gegen Browser-Hijacker!

Windows stets updaten und das 12 Punkte Programm bei der Neuinstallation sind empfehlenswert.

dartus