Trojaner-Board - Bitte Um Hilfe!!!!!

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Bitte Um Hilfe!!!!! (https://www.trojaner-board.de/15052-bitte-um-hilfe.html)

Bitte Um Hilfe!!!!!

HIER MEIN LOG:

Logfile of HijackThis v1.99.1
Scan saved at 21:21:16, on 07.03.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Steam\Steam.exe
C:\Programme\Teamspeak2_RC2\TeamSpeak.exe
C:\Programme\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\explorer.exe
c:\progra~1\intern~1\iexplore.exe
C:\Programme\Security Task Manager\TaskMan.exe
C:\Programme\NetCaptor\NetCaptor.exe
C:\DOKUME~1\Nicewolf\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

O2 - BHO: (no name) - {413225CA-01EB-7703-8659-7F7B8C110D88} - C:\DOKUME~1\Nicewolf\ANWEND~1\ONETIC~1\NurbExtra.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Admin Win Beep Test] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\HOLDAXISADMINWIN\Mail Readme.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKCU\..\Run: [Cashtype] C:\DOKUME~1\Nicewolf\ANWEND~1\BOLTIN~1\Bits Poke 1.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1110140577436
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/Ms...Downloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{10A3C928-7B28-4F42-BFA3-C5DF9DFFFC42}: NameServer = 195.50.140.252 195.50.140.250
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe

Hallo Nicewolf,

führe bitte dies mal aus:
1. Downloade Dir escan und befolge genau diese Anleitung (dauert etwa eine Stunde),
2. starte nach dem Scan wieder in den normalen Modus,
3. öffne die Datei "mwav.log", klicke auf "bearbeiten" danach auf "suchen"
4. gebe dann "infected" ein,
5. suche weiter bei Treffern, markiere diese und kopiere sie ins Forum,
6. neben den Treffern auch das Gesamtergebnis (befindet sich ganz unter im Logfile) posten.

Beispiel:
Wed Feb 02 19:48:56 2005 => Total Files Scanned:
Wed Feb 02 19:48:56 2005 => Total Virus(es) Found:
.
.
.
.

dartus

HIER DIE TREFFER:
Tue Mar 08 07:07:09 2005 => File C:\WINDOWS\system32\svcnet.exe infected by "P2P-Worm.Win32.Tibick.d" Virus. Action Taken: No Action Taken.

Tue Mar 08 07:07:14 2005 => File C:\DOKUME~1\ALLUSE~1\ANWEND~1\HOLDAX~1\MAILRE~1.EXE infected by "Trojan-Downloader.Win32.Swizzor.cr" Virus. Action Taken: No Action Taken.

Tue Mar 08 07:07:14 2005 => File C:\WINDOWS\system32\svcnet.exe infected by "P2P-Worm.Win32.Tibick.d" Virus. Action Taken: No Action Taken.

Tue Mar 08 07:09:37 2005 => File C:\Dokumente und Einstellungen\Nicewolf\Anwendungsdaten\zzzzzzzzzzzzz\NurbExtra.exe infected by "Trojan-Downloader.Win32.Swizzor.bo" Virus. Action Taken: No Action Taken.

Tue Mar 08 07:26:11 2005 => File C:\System Volume Information\_restore{E56EE205-9867-49FF-9338-0E6BAF690DFD}\RP41\A0004689.exe infected by "Trojan-Downloader.Win32.Swizzor.bo" Virus. Action Taken: No Action Taken.

Tue Mar 08 07:26:16 2005 => File C:\System Volume Information\_restore{E56EE205-9867-49FF-9338-0E6BAF690DFD}\RP42\A0004705.exe infected by "Trojan-Downloader.Win32.Swizzor.co" Virus. Action Taken: No Action Taken.

Tue Mar 08 07:26:16 2005 => File C:\System Volume Information\_restore{E56EE205-9867-49FF-9338-0E6BAF690DFD}\RP42\A0004706.exe infected by "Trojan-Downloader.Win32.Swizzor.cr" Virus. Action Taken: No Action Taken.

Tue Mar 08 07:26:16 2005 => File C:\System Volume Information\_restore{E56EE205-9867-49FF-9338-0E6BAF690DFD}\RP42\A0004707.exe infected by "Trojan-Downloader.Win32.Swizzor.cb" Virus. Action Taken: No Action Taken.

HIER DAS GESAMTERGEBNIS:
Tue Mar 08 07:26:35 2005 => Total Files Scanned: 20377
Tue Mar 08 07:26:35 2005 => Total Virus(es) Found: 8
Tue Mar 08 07:26:35 2005 => Total Disinfected Files: 0

Hallo Nicewolf,

Du hast zwar vermutlich Escan nicht nach der Anleitung durchgeführt, aber das Ergebnis reicht:

http://www.sophos.de/virusinfo/analyses/trojtibikb.html = svcnet.exe

Da es sich hierbei um einen Trojaner mit Backdoorfunktionalität handelt, wird Dir hier dringend geraten "Format C:" zu machen.
Gründe:
http://www.trojaner-board.com/showthread.php?t=14669 http://www.heise.de/newsticker/meldung/57030

Weiteres Lesenswertes:
http://www.mathematik.uni-marburg.de...c-removal.html
http://www.mathematik.uni-marburg.de...ompromise.html

Eine erstklassige Anleitung zur Neuinstallation:

http://www.trojaner-board.de/showthread.php?t=12154

Thema Datensicherung:

http://www.trojaner-board.de/showpos...8&postcount=11

sry
dartus