Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   grosses Problem (https://www.trojaner-board.de/19918-grosses-problem.html)

perkeo 17.07.2005 13:27
grosses Problem
 
kann mir jemand helfen? hier ist meine Logfile.

Logfile of HijackThis v1.99.1
Scan saved at 14:22:01, on 17.07.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Dokumente und Einstellungen\AlexWelt\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Secure System] integitor.exe
O4 - HKLM\..\Run: [Microsoft Network Services Controller] C:\WINDOWS\System32\mmsvc32.exe
O4 - HKLM\..\Run: [Spools Service Controller] C:\WINDOWS\System32\spools.exe
O4 - HKLM\..\Run: [Hcontrol] C:\WINDOWS\Hcontrol.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\RunServices: [Secure System] integitor.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Programme\Yahoo!\Messenger\yhexbmes0819.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Programme\Yahoo!\Messenger\yhexbmes0819.dll
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: RealGuide - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: MedionShop - {B6D37FEF-34FB-4215-AD1D-F4BAD4C3DF52} - http://www.medionshop.de (file missing) (HKCU)
O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.medion.de
O16 - DPF: {27FA5271-12D2-43E3-9424-365A43236EE7} (PIXACO upload plugin) - http://www.pixaco.de/static/download/iedropupload.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/SSC/Sha...in/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1094555822330
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://130.239.32.130/activex/AxisCamControl.ocx
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/Ms...Downloader.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/Sha.../bin/cabsa.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Remote Procedure Call (RPC) Client (RpcClient) - Unknown owner - C:\WINDOWS\System32\rpcclient.exe (file missing)
O23 - Service: Secure System - Unknown owner - C:\WINDOWS\System32\integitor.exe" -service (file missing)
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe (file missing)

Yopie 17.07.2005 13:34
Zitat:
Zitat von perkeo
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Warum ist dein Betriebssystem so veraltet? Weißt du, dass Windowsupdates eingespielt werden müssen, weil sie Sicherheitslücken beseitigen?

Bei dir existieren diese Sicherheitslücken noch, und deswegen hast du dir einen kleinen, fiesen Backdoor eingefangen:
Zitat:
O4 - HKLM\..\Run: [Spools Service Controller] C:\WINDOWS\System32\spools.exe
Formatieren und neu aufsetzen ist die einzige Lösung. Warum und wie steht unter http://www.trojaner-board.com/showthread.php?t=12154

Gruß :daumenhoc
Yopie

perkeo 17.07.2005 13:40
danke ...
...gibts aber vielleicht ne softere lösung außer formatieren? ich habe viele daten die ich erst brennen müsste (hab aber keinen brenner).

gruß,
alex

Yopie 17.07.2005 13:46
Zitat:
Zitat von perkeo
danke ...
...gibts aber vielleicht ne softere lösung außer formatieren?
Grundsätzlich: Ja.
Zitat:
Streng genommen gibt es noch andere Wege:

* Ein Vergleichssystem. Wenn man einen zweiten Rechner hätte, der mit dem ersten exakt übereinstimmt, also gleiches Betriebssystem, gleiche Programme und Treiber in exakt der gleichen Version, gleiche Konfigration etc.pp., dann könnte man es mit dem befallenen System vergleichen. Da die Systeme per Definition identisch waren, muss jede beobachtete Änderung am befallenen System auf den Virus zurückzuführen sein und kann durch den Abgleich mit dem sauberen System korrigiert werden. Praktisch spielt das aber für Heimanwender keine Rolle. Wer hat schon einen exakt gleichen zweiten PC zuhause herumstehen?
* Prüfsummen. Hätte man Prüfsummen von allen Systemdateien vorliegen, könnte man die Systemdateien, deren Prüfsummen nicht übereinstimmen, von den Originalmedien wiederherstellen. Auch das ist aber für Heimanwender nicht praktikabel. Man müsste die Prüfsummen irgendwo speichern, wo Virus und Angreifer sie nicht nachträglich passend "korrigieren" können und nach jedem Patch und jeder sonstigen Veränderung am System müssten sowieso die Prüfsummen wieder neu berechnet werden. Aus einem MSI-Paket eine einzelne Datei zu fischen, ist auch nicht ganz so einfach.
http://www.mathematik.uni-marburg.de/~wetzmj/index.php?viewPage=sec-removal.html

Für dich also: Nein.

Gruß :daumenhoc
Yopie


Alle Zeitangaben in WEZ +1. Es ist jetzt 00:53 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19