Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   gukct euch das mal bitte an (https://www.trojaner-board.de/15606-gukct-euch-mal-bitte.html)

valentino 20.03.2005 10:37
gukct euch das mal bitte an
 
hallo ich habe euch gerade gefunden und ich hoffe ihr könnt mir helfen habe mir eben das progi HijackThis geladen und mal gescannt das is meine log file

was könnt ihr erkenen und was muss ich machen bitte eine schritt für schritt anleitung was ich machen muss

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Program Files\Media Access\MediaAccess.exe
C:\Program Files\Media Access\MediaAccK.exe
G:\-=appz=-\FlashFXP.v3.1.12.Build.1075.Ripped.n.Cracked-dRag0nMa\flashfxp.exe
C:\WINDOWS\explorer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Marcel\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: (no name) - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {FAA356E4-D317-42a6-AB41-A3021C6E7D52} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Security Patch] scmss.exe
O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe
O4 - HKLM\..\Run: [tfD1pNTf] C:\WINDOWS\xiehpaf.exe
O4 - HKLM\..\Run: [gah95on6] C:\WINDOWS\System32\gah95on6.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [DynHttp Dns Binary] dynizari.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\RunServices: [Security Patch] scmss.exe
O4 - HKLM\..\RunServices: [DynHttp Dns Binary] dynizari.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [DynHttp Dns Binary] dynizari.exe
O8 - Extra context menu item: Download with NetPumper - C:\Programme\NetPumper\AddUrl.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)
O17 - HKLM\System\CCS\Services\Tcpip\..\{0D230CBC-7C11-4017-B2E5-6619A086C7B1}: NameServer = 194.97.173.124 194.97.173.125
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe


und noch eine frage was würdet ihr mir für ein viren programm empfehlen

THX schon ma

cu

The Saint 20.03.2005 10:43
Ich würde vorerst mal ein komplettes logile posten!

Beschreibung Betriebssystem:

Dieser Teil fehlt:

Logfile of HijackThis v1.99.1
Scan saved at 10:42:48, on 20.03.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

valentino 20.03.2005 10:55
sorry

Logfile of HijackThis v1.99.1
Scan saved at 10:55:14, on 20.03.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Program Files\Media Access\MediaAccess.exe
C:\Program Files\Media Access\MediaAccK.exe
G:\-=appz=-\FlashFXP.v3.1.12.Build.1075.Ripped.n.Cracked-dRag0nMa\flashfxp.exe
C:\WINDOWS\explorer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Marcel\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: (no name) - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {FAA356E4-D317-42a6-AB41-A3021C6E7D52} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Security Patch] scmss.exe
O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe
O4 - HKLM\..\Run: [tfD1pNTf] C:\WINDOWS\xiehpaf.exe
O4 - HKLM\..\Run: [gah95on6] C:\WINDOWS\System32\gah95on6.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [DynHttp Dns Binary] dynizari.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\RunServices: [Security Patch] scmss.exe
O4 - HKLM\..\RunServices: [DynHttp Dns Binary] dynizari.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [DynHttp Dns Binary] dynizari.exe
O8 - Extra context menu item: Download with NetPumper - C:\Programme\NetPumper\AddUrl.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)
O17 - HKLM\System\CCS\Services\Tcpip\..\{0D230CBC-7C11-4017-B2E5-6619A086C7B1}: NameServer = 194.97.173.124 194.97.173.125
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Rene-gad 20.03.2005 10:57
@valentino
EDIT:
Sorry, habe zu lange die Antwort vorbereitet:
Zitat:
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Bestellen XP SP2 CD-ROM
Zitat:
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: (no name) - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - (no file)
O3 - Toolbar: (no name) - {FAA356E4-D317-42a6-AB41-A3021C6E7D52} - (no file)
O4 - HKLM\..\Run: [Security Patch] scmss.exe
O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe
O4 - HKLM\..\Run: [tfD1pNTf] C:\WINDOWS\xiehpaf.exe
O4 - HKLM\..\Run: [gah95on6] C:\WINDOWS\System32\gah95on6.exe
O4 - HKLM\..\Run: [DynHttp Dns Binary] dynizari.exe
O4 - HKLM\..\RunServices: [Security Patch] scmss.exe
O4 - HKLM\..\RunServices: [DynHttp Dns Binary] dynizari.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [DynHttp Dns Binary] dynizari.exe
O8 - Extra context menu item: Download with NetPumper - C:\Programme\NetPumper\AddUrl.htm
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\WINDOWS\System32\shdocvw.dll
Hier ist eine Mischung aus Spyware, Adware, Hijacker und Trojaner.
Z.B. NetPumper kannst du über Software-manager von Windows deinstallieren. Auf jedem Fall musst du diese Einträge fixen und die Dateien im abgesicherten Modus löschen.

The Saint 20.03.2005 11:07
Lass mal folgende Dateien

C:\Program Files\Media Access\MediaAccess.exe
C:\Program Files\Media Access\MediaAccK.exe
C:\WINDOWS\System32\gah95on6.exe

HIER überprüfen und poste das Ergebniss.

Sollte so aussehen:
Zuletzt gefundene Malware war ...., gefunden von:

Scanner Name der Malware Dauer
AntiVir
Avast
AVG Antivirus
BitDefender
ClamAV
Dr.Web
F-Prot Antivirus
Fortinet
Kaspersky Anti-Virus
mks_vir
NOD32
Norman Virus Control

valentino 20.03.2005 12:06
also netpumper brauche ich zum leechen

und fixen wir geht das genau also was muss ich machen usw.

bitte eine schritt für schritt erklärung


THX


cu

Rene-gad 20.03.2005 12:23
@valentino
Zitat:
also netpumper brauche ich zum leechen
Also das braucht du für Nichts, denn das Programm enthält Spy- und Adware. Wenn du Mozilla als Standard-Browser verwenden würdest, bekämest auch einen DL-Manager ohne Malware.
Zitat:
und fixen wir geht das genau also was muss ich machen usw...
bitte eine schritt für schritt erklärung
http://www.trojaner-board.de/51130-a...ijackthis.html

cronos 20.03.2005 12:28
C:\WINDOWS\System32\gah95on6.exe wird das sein:

http://www.pestpatrol.com/pest_info/de/s/sahagent.asp

The Saint 20.03.2005 12:28
Ich würde zuerst mal Escan ausführen!
Erstelle diesen Ordner auf deinem Laufwerk c:\bases.
Downloade dir escan Enpacke den Inhalt des Zip files mwav.zip in den selben Ordner c:\bases.
Update, indem du die Datei kavupd.exe startest danach
Wechsle in den abgesicherten Modus bei abgeschaltener Systemwiederherstellung
(Rechtsklick auf den Arbeitsplatz--> Eigenschaften --> Systemwiederherstellung (Haken bei "Systemwiederherstellung bei allen Laufwerken deaktivieren" setzen).
Öffne nun den Explorer, gehe zum Ordner c:\bases und starte die Datei mwavscan.exe.

Diese Einstellungen beachten http://www.trojaner-board.de/42731-escan-anleitung.html


Mit hijackthis nochmals scannen und wie schon vom Rene-gad
beschrieben folgende Einträge fixen.

Zitat:
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: (no name) - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - (no file)
O3 - Toolbar: (no name) - {FAA356E4-D317-42a6-AB41-A3021C6E7D52} - (no file)
O4 - HKLM\..\Run: [Security Patch] scmss.exe
O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe
O4 - HKLM\..\Run: [tfD1pNTf] C:\WINDOWS\xiehpaf.exe
O4 - HKLM\..\Run: [gah95on6] C:\WINDOWS\System32\gah95on6.exe
O4 - HKLM\..\Run: [DynHttp Dns Binary] dynizari.exe
O4 - HKLM\..\RunServices: [Security Patch] scmss.exe
O4 - HKLM\..\RunServices: [DynHttp Dns Binary] dynizari.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [DynHttp Dns Binary] dynizari.exe
O8 - Extra context menu item: Download with NetPumper - C:\Programme\NetPumper\AddUrl.htm
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\WINDOWS\System32\shdocvw.dll
scanne mit "do a system scan and save a logfile"
hacken setzen bei den bereits beschriebenen Dateien
Danach "fix checked" klicken.



Danach wechselst du zurück in den normalen Modus.
Systemwiederherstellung wieder aktivieren!
Nun öffnest du mit dem Editor unter "C:\bases", die mwav.txt und wählst unter bearbeiten -> suchen, hier gibst du infected ein.

Alle Zeilen in der infected steht markieren, und hier einfügen.
Ganz unten steht die Zusammenfassung, diese auch hier posten :)

dartus 20.03.2005 16:17
Hallo Valentino,

Du hast den hier in Deinem Sysutem:

http://uk.trendmicro-europe.com/ente...OT.AUO&VSect=T
= dynizari.exe

Bei einem Trojaner mit Backdoorfunktionalität wird Dir dringend zu “Format C:” geraten,
um das zu vermeiden:
http://www.trojaner-board.com/showthread.php?t=14669
http://www.heise.de/newsticker/meldung/57030
http://www.heise.de/newsticker/meldung/51689
http://en.wikipedia.org/wiki/Botnet

Empfohlene Anleitung zur Neuinstallation

http://www.trojaner-board.de/showthread.php?t=12154

Thema Datensicherung:

http://www.trojaner-board.de/showpos...8&postcount=11

sry
dartus


Alle Zeitangaben in WEZ +1. Es ist jetzt 12:12 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131