Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   ich bitte um Hilfe (https://www.trojaner-board.de/17873-bitte-um-hilfe.html)

silver* 16.05.2005 19:07

ich bitte um Hilfe
 
Hallo, ich habe jetzt es endlich geschafft, ein hijackthis zu machen.

Wie ich schon mal in die Taverne geschrieben habe, macht mein PC nicht mehr das was ich will und ist gans langsam!!!!!!!

Ich hoffe es ist nichts Schlimmes, denn ich habe keine Ahnung, mein Bruder hat mir den PC gegeben und angeschlossen, danach konnte ich auch gut in das Internet, aber seit fünf Tagen geht es nicht mehr so richtig.


Logfile of HijackThis v1.99.1
Scan saved at 18:44:09, on 15.05.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\ewido\security suite\ewidoctrl.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\Programme\Plaxo\2.1.0.80\InstallStub.exe
C:\WINDOWS\system32\devldr32.exe
C:\Programme\Netropa\Multimedia Keyboard\TrayMon.exe
C:\Programme\Netropa\Onscreen Display\OSD.exe
C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\HJT\HijackThis.exe

F3 - REG:win.ini: load=C:\WINDOWS\system32\scvhost.exe
F3 - REG:win.ini: run=C:\WINDOWS\system32\scvhost.exe
O4 - HKLM\..\Run: [VMware User Process] C:\Programme\VMware\VMware
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\System32\sistray.EXE
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\System32\keyhook.exe -
O4 - HKCU\..\Run: [msnmsgr] "C:\ MSN-Msgr\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Xiawpwew] C:\WINDOWS\System32\l?gonui.exe
O4 - HKCU\..\Run: [Kws5ROatR] subpbrd.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} –
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe


Nun hoffe ich das ihr damit was anfangen könnt.

silver*

Cidre 16.05.2005 19:23

Hallo silver*,

so wie ich das sehe, wirst du um ein Neuaufsetzen deines Systems nicht herumkommen...

Lade und scanne trotzdem mit eScan AntiVirus im abgesicherten Modus und poste uns die Virus Log Information.

silver* 16.05.2005 19:50

Hallo Cidre, ich habe mir das mit dem iscan durchgelesen das ist aber gans schön kompliziert, ja ich werde das versuchen, es kann aber eine Zeit vergehen, da ich ja erst seit kurzem einen PC besitze.

Frage; warum Neuaufsetzen?
Ist da was Schlimmes?
Ich habe doch nur gemacht, was mein Bruder mir gesagt hat.
Er sagte es könne so nichts geschehen?!

silver*

Cidre 16.05.2005 20:04

Zitat:

warum Neuaufsetzen?
Ist da was Schlimmes?
In deiner Registry sind jedenfalls viele Malware Einträge vorhanden, die auf Backdoor Trojaner schließen lassen.

Zitat:

Er sagte es könne so nichts geschehen?!
Dann hat er keine Ahnung, wenn er grundlegende Sicherheitsmaßnahmen außer Acht lässt, wie z.B. das Patchen eines Systems.

btw:
Die eScan Anleitung ist 'ONU-sicher', du wirst es schon schaffen.

silver* 16.05.2005 21:58

Hallo wenn ich es richtig gemacht habe ist das das Ergebnis, hat aber fast eine Stunde gedauert, kann das sein?

File C:\WINDOWS\system32\scvhost.exe infected by "Backdoor.Win32.Ciadoor.13" Virus. No action Taken
File C:\WINDOWS\system32\NziLv9b679.ini infected by "Backdoor.Win32.Ciadoor.13" Virus. no action Taken
File C:\WINDOWS\system32\wsock32.sys infected by "Backdoor.Win32.Ciadoor.13" Virus. no action Taken

silver*

Chris14 16.05.2005 22:05

hast du neuinstalliert? wenn nein, hole dies bitte nach.
wenn ja, lieber gleich format c: da das wieder ein backdoor ist.

Yopie 16.05.2005 22:06

Zitat:

Zitat von silver*
File C:\WINDOWS\system32\scvhost.exe infected by "Backdoor.Win32.Ciadoor.13" Virus.

http://securityresponse.symantec.com...ciadoor.b.html
Zitat:

The Trojan allows the attacker to do any of the following:

* Control the file system
* View/kill processes
* Manipulate windows
* Capture screen shots
* Log key strokes
* Control the Web cam and capture images
* Steal cached passwords
* Upload and download files
* Shut down Windows
* Manipulate various Window behaviors, such as the CD-ROM, keyboard settings, show/hide desktop, show/hide taskbar, and control of the mouse
* View browser history
* Steal Windows clipboard information
* Steal Windows system information
* Create/run batch files
* Steal system files
* Run DOS commands
* Present a fake MSN logon screen to steal MSN account information
Aus diesem Grund möchtest Du dringend und asap http://www.trojaner-info.de/report_i...nleitung.shtml befolgen.

Gruß :daumenhoc
Yopie

silver* 16.05.2005 22:40

Ja, ich kann aber leider kein Englisch, aber selbst für mich hört sich das gefährlich an.
Ich habe mir das mit dem Neuaufsetzen durchgelesen, aber ich habe keine CD, die hat mein Bruder und der sagte: Neuaufsetzen ist überflüssig, das geht auch so ich soll mich nicht so aufregen, ich war grantig am Telefon und er sagte; ich soll doch nicht alles glauben was in Foren geschrieben wird.

silver*

Yopie 16.05.2005 23:16

Zitat:

Zitat von silver*
Ja, ich kann aber leider kein Englisch, aber selbst für mich hört sich das gefährlich an.

Du kannst es dir hilfsweise übersetzen lassen unter http://babelfish.altavista.com/ . Kurz gesagt kann ein Dritter alles machen mit "deinem" Rechner, was du auch machen kannst. Nur wird der andere den Rechner nicht für ein bißchen Internet und Office und Zocken nutzen, sondern für Sachen, die man besser nicht unter eigenem Namen macht: Spam, Kinderpornos, Raubkopien, Phishing, ...
Das sind nicht nur Hirngespinste, das ist Realität! Beispielhaft sei auf http://www.heise.de/newsticker/resul...rds=Spam%20IRC verwiesen.

Und da der Dritte auch Systemdateien ändern kann, wirst du (oder dein Bruder) die Unversehrtheit nicht mehr garantieren können. Siehe auch http://www.mathematik.uni-marburg.de...c-removal.html

Zitat:

Zitat von silver*
Ich habe mir das mit dem Neuaufsetzen durchgelesen, aber ich habe keine CD, die hat mein Bruder und der sagte: Neuaufsetzen ist überflüssig, das geht auch so ich soll mich nicht so aufregen, ich war grantig am Telefon und er sagte; ich soll doch nicht alles glauben was in Foren geschrieben wird.

Zunächst: Kostenlose Betriebssystem existieren, Ubuntu und Mandriva z.B. . Man muss sich dort halt einmal einarbeiten, und dann funktionieren die auch. Ansonsten ist es problemlos möglich, Windows im nächsten Blöd&Geizig-Markt zu kaufen.

Ob du irgendwelchen Foren glaubst oder deinem Bruder (der seine nicht vorhandene Fachkenntnis mit seinen Aussagen selbst bewiesen hat) ist deine Entscheidung. Wenn du nicht neu aufsetzt hab ich nur folgende dringende Bitte: verbinde den Rechner nie wieder mit dem Internet! Du bringst nicht nur dich in Schwierigkeiten, sondern viele andere Netzteilnehmer.

Gruß :daumenhoc
Yopie

charlie1 16.05.2005 23:38

So, nun wieder mal der Querkopf; Charlie.

Schaut euch mal das HJT genau an, halt nicht bloß überfliegen.
Die Personen, ob nun Bruder/Bruder, oder Schwester/Schwester, haben überhaupt kein Problem, denn mit einem Wisch ist alles weg!

Liebe Grüße, Charlie

Yopie 16.05.2005 23:48

Zitat:

Zitat von charlie1
Schaut euch mal das HJT genau an, halt nicht bloß überfliegen.
Die Personen, ob nun Bruder/Bruder, oder Schwester/Schwester, haben überhaupt kein Problem, denn mit einem Wisch ist alles weg!

Ich nehme an, du meinst mit "Wisch" nicht "format c:". Wie möchtest du aus der Ferne die Integrität der Systemdateien garantieren, ohne "format c:"?

Fup'2 http://www.trojaner-board.com/showthread.php?t=12784 (wo imho bereits alle Argumente pro / contra ausgetauscht sind)

Gruß :daumenhoc
Yopie

charlie1 17.05.2005 00:00

Schau mal,
Das haben sie vergessen wegzumachen, oder bewusst als Stolperstein gelassen, weiß ich nicht!

O4 - HKLM\..\Run: [VMware User Process] C:\Programme\VMware\VMware


Liebe Grüße, Charlie

Yopie 17.05.2005 00:17

Danke für den Hinweis. :) Ich kenne mich mit VMWare nicht aus (ich weiß nur so ungefähr, was es ist). Aber vielleicht klärt uns silver* ja noch auf, was der Tanz hier soll....

Gruß :daumenhoc
Yopie

charlie1 17.05.2005 00:39

Na, ich würde mal sagen, (entschuldige silver*), dass war eine Verarschung, aber ich muss sagen, gut gelungen.

Was du nun zu machen hast, sind zwei Klicks, aber das dürftest du ja auch wissen, und lass dich hier nie wieder sehen, oder doch, dann aber als Helfer!

Charlie

Yopie 17.05.2005 00:44

Zitat:

Zitat von charlie1
Na, ich würde mal sagen, (entschuldige silver*), dass war eine Verarschung, aber ich muss sagen, gut gelungen.

Wenn's so ist, dann war von Rechtschreibfehlern bis zu 'multiple exclamation marks' alles dabei, was man von der Jamba-Generation erwartet. Da ziehe ich, wenn auch innerlich widerstrebend, den virtuellen Hut.

Gruß :daumenhoc
Yopie


Alle Zeitangaben in WEZ +1. Es ist jetzt 02:00 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131