Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Hab nen Dialer, HILFE (https://www.trojaner-board.de/20066-hab-nen-dialer-hilfe.html)

ScrufaceHH 21.07.2005 22:50
Hab nen Dialer, HILFE
 
Moin moin,

also ich habe ein Problem, ich habe einen Dialer, und ich weis nicht woher.

Hoffe Ihr könnt mir da weiterhelfen, ich habe mir schon einige Threads durchgelesen, und muss sagen dass ich echt schwer beeindruckt bin, werde euer Board auf jeden fall weiterempfehlen.

Ich habe auch eine logfile von HJT, die werde ich hier Posten:

Logfile of HijackThis v1.99.1
Scan saved at 23:44:19, on 22.07.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32\Winregs1.exe
C:\WINDOWS\System32\msngta32.exe
C:\WINDOWS\System32\msupdate32.exe
C:\WINDOWS\System32\winproc.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\HanseNet\HanseNet Speed-Produkte\app\TangoService.exe
C:\PROGRA~1\HanseNet\HANSEN~1\app\TangoManager.exe
C:\WINDOWS\System32\wspad.exe
C:\Programme\Opera\Opera.exe
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Registry Checkup System1 Monitor] Winregs1.exe
O4 - HKLM\..\Run: [msngta32] msngta32.exe
O4 - HKLM\..\Run: [microsft Updates] msupdate32.exe
O4 - HKLM\..\Run: [Windows Process Manager] winproc.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [MSN PLUS XP] wspad.exe
O4 - HKLM\..\RunServices: [Registry Checkup System1 Monitor] Winregs1.exe
O4 - HKLM\..\RunServices: [msngta32] msngta32.exe
O4 - HKLM\..\RunServices: [microsft Updates] msupdate32.exe
O4 - HKLM\..\RunServices: [Windows Process Manager] winproc.exe
O4 - HKLM\..\RunServices: [MSN PLUS XP] wspad.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [msngta32] msngta32.exe
O4 - HKCU\..\Run: [Registry Checkup System1 Monitor] Winregs1.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunServices: [msngta32] msngta32.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: Win32 Classes - file://C:\WINDOWS\Java\classes\win32ie4.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F3D1BAB3-34E6-4D33-90E2-23A18E15BC4D}: NameServer = 213.191.74.11 213.191.92.82
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: MAPI Mail Client (MAPI) - Unknown owner - C:\WINDOWS\system32\winsystem.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Tango Service (TangoService) - Unknown owner - C:\Programme\HanseNet\HanseNet Speed-Produkte\app\TangoService.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe

____________________________________


Im vorraus schon mal vielen Dank für euren Zeitaufwand und eure Mühen.
_____________
Anm.
Zur deiner eigenen Sicherheit habe ich deinen Realname im Log-File editiert!


LG Cidre
S-Mod TB

Haui45 21.07.2005 23:00
Hallo,

Zitat:
also ich habe ein Problem,
Du könntest dich glücklich schätzen wenn es so wäre.

Tatsächlich hast du verdammt viele Probleme. Auf dem Rechner befinden sich sehr viele Bots, so z.B. http://startup.iamnotageek.com/srch-MSupdate32.exe.html

=> Das System ist als kompromittiert anzusehen und sollte so schnell wie möglich neu aufgesetzt und anschließend abgesichert werden.

Falls du nicht ausschließlich über DSL ins Netz gehst, solltest du vorher einen Scan mit eScan durchführen um evtl. vorhandene Dialer aufzuspüren und diese zwecks Beweissicherung auf Diskette zu speichern.
Neu aufsetzen musst du so oder so.

ScrufaceHH 21.07.2005 23:06
Aua, da bin ich aber baff, damit habe ich eigentlich nicht gerechnet,

also du räts mir neu aufsetzen, schon wieder, ist erst 3 wochen her, naja
was man nicht alles für seinen rechner tut, also dann schon mal vielen dank für sehr schnellen support, werde mich dann wohl die nacht damit beschäftigen,
tja muss das andere halt warten :zzwhip:


also nochmal danke, ich melde mich dann nochmal demnächst

Yopie 21.07.2005 23:08
Zitat:
Zitat von ScrufaceHH
also du räts mir neu aufsetzen, schon wieder, ist erst 3 wochen her.
Beachte den Link zum Neuaufsetzen, der die gepostet wurde, genau. Ansonsten bist du spätestens in drei Wochen wegen des gleichen Problems wieder hier.

Gruß :daumenhoc
Yopie

ScrufaceHH 21.07.2005 23:11
Also: hier die neue HJT Logfile, habe jetzt alles so gemacht wie es in deinem sehr geil geschriebenen Artikel steht:

Logfile of HijackThis v1.99.1
Scan saved at 02:53:22, on 23.07.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\HanseNet\HanseNet Speed-Produkte\app\TangoService.exe
C:\PROGRA~1\HanseNet\HANSEN~1\app\TangoManager.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\cmd.exe
C:\Dokumente und Einstellungen\Iser\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe
C:\Dokumente und Einstellungen\Iser\Lokale Einstellungen\Temp\Temporäres Verzeichnis 3 für hijackthis.zip\HijackThis.exe

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{1B8E46E9-399C-4FA0-A3D1-086007B75ABF}: NameServer = 213.191.74.11 213.191.92.82
O17 - HKLM\System\CS1\Services\Tcpip\..\{1B8E46E9-399C-4FA0-A3D1-086007B75ABF}: NameServer = 213.191.74.11 213.191.92.82
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Tango Service (TangoService) - Unknown owner - C:\Programme\HanseNet\HanseNet Speed-Produkte\app\TangoService.exe

Haui45 22.07.2005 14:01
Zitat:
Zitat von ScrufaceHH
Also: hier die neue HJT Logfile, habe jetzt alles so gemacht wie es in deinem sehr geil geschriebenen Artikel steht:
Nein, hast du nicht :headbang:
Zitat:
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Gleich wieder mit einem ungepatchten System ins Netz...



BTW: der Artikel ist von Cidre.

ScrufaceHH 22.07.2005 15:34
??????

ich habe das update durchgeführt, ohne scheiß, deswegen bin ich jetzt ein wenig verwirrt,

aber wie du schon gesagt hast : :headbang: :headbang: :headbang:

also werde ich jetzt nochmal updaten, danke.


Alle Zeitangaben in WEZ +1. Es ist jetzt 12:10 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131