Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Viel kann es nicht mehr sein (https://www.trojaner-board.de/18935-viel-mehr.html)

oitaR 13.06.2005 22:56
Viel kann es nicht mehr sein
 
Guten Abend,
ich habe heute den PC von einem Freund gesäubert und summa summarum ca 170 Funde gehabt, das volle programm, würmer trojaner und viren.

Hauptschuldiger war denk ich puper.M
Habe Antivir und Ad-Aware benutzt, dazu ein puper.M Removal tool und hinterher mit HJT und Cleanup rüberpoliert und entfernt was ich halt erkannt hab.

Jetzt findet Antivir noch irgendwas, dessen Namen ich aber dummerweise nicht aufgeschrieben habe *schäm*
und nicht entfernen kann.

Hier habe ich jetzt noch das HJT logfile und ich hoffe ihr könnt mir eventuell sagen was jetzt noch zu machen ist; viel kann es ja wirklich nicht mehr sein:


Logfile of HijackThis v1.99.1
Scan saved at 21:10:14, on 13.06.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Dokumente und Einstellungen\Name\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [MSN Messenger] C:\WINDOWS\System32\msmsgs.exe
O4 - HKLM\..\Run: [WindowsFZ] C:\WINDOWS\System32\LogFiles\A5281300.so
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Windows Update Client ] C:\WINDOWS\system32\wuclient.exe
O4 - HKCU\..\Run: [Intel system tool] C:\WINDOWS\System32\winnook.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O4 - Global Startup: Ulead Kalendar Checker 4.0 SE.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Microsoft AntiSpyware helper - {B83D6F54-91B8-4519-9026-8C194BBC38F6} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {B83D6F54-91B8-4519-9026-8C194BBC38F6} - (no file) (HKCU)
O15 - Trusted Zone: h**p://awbeta.net-nucleus.com (HKLM)
O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - h**p://aolcc.aol.de/computercheckup/qdiagcc.cab
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2.dll (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZONELABS\vsmon.exe



Vielen Dank für eure Zeit

oitaR

cronos 14.06.2005 00:53
Nun ja, da ich sehe wie das System jetzt noch aussieht, will ich gar nicht wissen, wie es vor der Bereinigung ausgesehen hat.
Dieses System ist als kompromittiert zu betrachten

Zitat:
Ein System wird als kompromittiert betrachtet, wenn Daten manipuliert sein könnten und wenn der Administrator des Systems keine Kontrolle über die korrekte Funktionsweise mehr hat. Typischerweise tritt dies nach einem Befall durch einen Computervirus oder durch einen gezielten Einbruch durch Cracker auf. Ein derartig manipuliertes System ist als nicht mehr vertrauenswürdig anzusehen.

Quelle: http://de.wikipedia.org/wiki/Technis...mpromittierung
Daher kann nur ein Neuaufspielen des gesamten Systems in Frage kommen, um ein vertrauensfahigen Zustand des Systems zu erlangen.
Am besten nach dieser Anleitung um ähnliches Ungemach in Zukunft zu verhindern.

oitaR 14.06.2005 12:22
Ach du meine Güte, damit hätte ich jetzt ja garnicht gerechnet... :(

Was ist denn noch alles im Logfile was da nicht hingehört?

Ich bin nämlich wirklich kein Freund von Windows neu rüberbügeln, ich würde es wirklich zu gerne retten und reparieren!

Danke nochmal

oitaR

Gigamail 14.06.2005 12:33
Hi oitaR

Zitat:
Was ist denn noch alles im Logfile was da nicht hingehört?
z.B.
Zitat:
O4 - HKLM\..\Run: [MSN Messenger] C:\WINDOWS\System32\msmsgs.exe
---> W32/Forbot-BD worm
Zitat:
O4 - HKCU\..\Run: [Windows Update Client ] C:\WINDOWS\system32\wuclient.exe
--->WIN32.SMALL.RN downloader TROJAN!
Zitat:
O4 - HKCU\..\Run: [Intel system tool] C:\WINDOWS\System32\winnook.exe
---> Troj/Spyre-C Trojan! A.K.A WIN32.TOPANTISPYWARE.L
Zitat:
O4 - HKLM\..\Run: [WindowsFZ] C:\WINDOWS\System32\LogFiles\A5281300.so
--->Variant of the SmitFraud alias FAKEALE-C TROJAN!

also setze neu auf und du hast wieder ein sicheres System :daumenhoc


Alle Zeitangaben in WEZ +1. Es ist jetzt 13:55 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19