Trojaner-Board
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   NT-Autorität, lsass (https://www.trojaner-board.de/20829-nt-autoritaet-lsass.html)

joeyblack 15.08.2005 20:03
HILFE ! NT-Autorität, Systemabschaltung (lssas ?)
 
Hallo liebe Tro-com,

habe mir wohl lssas (Wurm ?) eingefangen. shutdown -a kennt mein System nicht, und fixblast von symantec schafft es nicht bis zum Ende.

Habe ältere Version hon hijack. Bitte um dringende Hilfe.

Danke im voraus

joeyblack

felix1 15.08.2005 20:41
Dann lade den HJT neu und poste das Log.
http://www.trojaner-board.de/showthread.php?t=17493

cronos 15.08.2005 20:43
@ felix1

Da shutdown -a nicht funktioniert, könnte das problematisch werden. ;)

@joeyblack

Welches Betriebssystem nutzt du?

joeyblack 15.08.2005 20:51
@ Cronos

Windows NT 2000

Grüsse,

joeyblack

joeyblack 15.08.2005 20:56
@ felix1

Hier mein logfile mit HJT 1.99

Logfile of HijackThis v1.99.1
Scan saved at 22:05:42, on 15.08.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AntiVirenKit professional\AVKService.exe
C:\Programme\AntiVirenKit professional\AVKWCtl.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\SOUNDMAN.EXE
C:\Programme\WUSB11 WLAN Monitor\WLAN_Cfg.exe
C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\WINNT\system32\RUNDLL32.EXE
C:\WINNT\system32\ctfmon.exe
C:\Programme\Spamihilator\spamihilator.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
C:\Programme\FRITZ!\IWatch.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hposol08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\WINNT\System32\HPZipm12.exe
C:\Programme\Plextor\PlexIcon.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINNT\system32\wuauclt.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
D:\Eigene Bilder\FixBlast.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINNT\explorer.exe
C:\PROGRA~1\WinZip\winzip32.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://www.t-online.de/software/ie401/search.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.t-online.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_1.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\winnt\downloaded program files\googletoolbar2.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\winnt\downloaded program files\googletoolbar2.dll
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_1.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WLAN_Cfg.exe] C:\Programme\WUSB11 WLAN Monitor\WLAN_Cfg.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Client Access Service] "C:\Programme\IBM\Client Access\cwbsvstr.exe"
O4 - HKLM\..\Run: [Client Access Help Update] "C:\Programme\IBM\Client Access\cwbinhlp.exe"
O4 - HKLM\..\Run: [Client Access Check Version] "C:\Programme\IBM\Client Access\cwbckver.exe" LOGIN
O4 - HKLM\..\Run: [Client Access Express Welcome] "C:\Programme\IBM\Client Access\cwbwlwiz.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Realtime Audio Engine] mmrtkrnl.exe
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKCU\..\Run: [Spamihilator] "C:\Programme\Spamihilator\spamihilator.exe"
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programme\Cisco Systems\VPN Client\ipsecdialer.exe
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: officejet 6100.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hposol08.exe
O4 - Global Startup: PlexTools Professional.lnk = C:\Programme\Plextor\PlexTool.exe
O8 - Extra context menu item: &Google Search - res://c:\winnt\downloaded program files\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\winnt\downloaded program files\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\winnt\downloaded program files\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\winnt\downloaded program files\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://h**p://toolbar.google.com/dat.../GoogleNav.cab
O16 - DPF: {8699D723-6DC6-47D3-B55C-489BA006B917} (WebInstall) - http://h**p://membersites.namezero.c...webinstall.cab
O16 - DPF: {BF3CD111-6278-11D2-9EA3-00A0C9251384} (O2C-Player Version 1.x) - h**p://www.o2c.de/download/O2CPlayer.CAB
O20 - Winlogon Notify: nwprovau - C:\WINNT\SYSTEM32\nwprovau.dll
O23 - Service: AVK Service (AVKService) - Unknown owner - C:\Programme\AntiVirenKit professional\AVKService.exe
O23 - Service: AVK Wächter (AVKWCtl) - Unknown owner - C:\Programme\AntiVirenKit professional\AVKWCtl.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\System32\HPZipm12.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe

Grüsse

joeyblack

felix1 15.08.2005 21:09
O16 - DPF: {8699D723-6DC6-47D3-B55C-489BA006B917} (WebInstall) - http://membersites.namezero.com/DOT.../webinstall.cab

Wenn Du es nicht kennst, im abgesicherten Modus mit HJT fixen.
Ansonsten mache mal genau nach Anleitung:
http://www.trojaner-board.de/showthread.php?t=17492

joeyblack 16.08.2005 18:03
...eScan downloaden kein Problem, aber der Virus beendet jedesmal den scan, bevor mwav.log erstell wurde. Habe Adware "Alexa" und"Altnet" gesehen...

Shutdown -a funktioniert wie gesagt nicht, gibt es andere Möglichkeiten ?

Grüße

joeyblack :sword2:

Cidre 16.08.2005 18:06
Hallo,

eScan wurde sicherlich im abgesicherten Modus ausgeführt, oder?! Wenn Nein, dann umgehend nachholen.

Rene-gad 16.08.2005 18:07
@joeyblack
Zitat:
Shutdown -a funktioniert wie gesagt nicht, gibt es andere Möglichkeiten ?
Neuaufsetzen hilft in jedem fall. Link zur Anleitung - in meiner Signatur.

joeyblack 16.08.2005 18:09
@ cidre

...Nein ! Danke für den guten Hinweis, aber ich als "Buntklicker" und SDU habe daran natürlich nicht gedacht. Wird sofort nachgeholt.

Grüsse

joeyblack

joeyblack 16.08.2005 21:36
Hallo zusammen,

escan war m.E. erfolgreich. Da mwav.log (18MB) doch sehr gross, folgend nun alles was "infected" war.

Aug 16 18:48:15 2005 => System found infected with Alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken.

Diese Meldung taucht 4x auf, hier das Abschlußergebnis:

Tue Aug 16 21:54:03 2005 => Total Objects Scanned: 94064
Tue Aug 16 21:54:03 2005 => Total Virus(es) Found: 4
Tue Aug 16 21:54:03 2005 => Total Disinfected Files: 0
Tue Aug 16 21:54:03 2005 => Total Files Renamed: 0
Tue Aug 16 21:54:03 2005 => Total Deleted Objects: 0
Tue Aug 16 21:54:03 2005 => Total Errors: 93
Tue Aug 16 21:54:03 2005 => Time Elapsed: 01:25:13
Tue Aug 16 21:54:03 2005 => Virus Database Date: 2005/08/09
Tue Aug 16 21:54:03 2005 => Virus Database Count: 142843

Tue Aug 16 21:54:03 2005 => Scan Completed.

Tue Aug 16 21:57:01 2005 => Virus Database Date: 2005/08/09
Tue Aug 16 21:57:01 2005 => Virus Database Count: 142843
Tue Aug 16 21:57:10 2005 => AV Library Unloaded (3)...

Bin weiter für jede Hilfe/Anweisung dankbar und morgen Abend wieder online.

Danke und Grüße

joeyblack

felix1 18.08.2005 08:47
Lese Dir die Anleitung genau durch. Beachte besonders die Aussagen zu Datei find.bat bezüglich des postens der relevanten Informationen.

Was Du aber schon jetzt mal tun kannst:
Lade und update Ad-aware und Spybot und lasse die Programme laufen.
http://www.comsafe.de/download.html
Installiere cleanup, rufe es auf und setze den Haken bei alles löschen und dann Löschen drücken.
http://www.clearprog.de/

joeyblack 18.08.2005 14:00
@ felix1

Ad-aware und spybot durchgeführt. Spybot hat nichts gefunden, Adaware hat einiges in Quarantäne gestellt.

Clean-up mache ich noch.

Bei Find.bat habe ich das Problem, daß ich zwar alles unter Zielordner C:\Bases_X installiert habe, ich es danach dort aber nicht mehr wiederfinde. Mein system installiert es immer in der D:\Partition, von wo aus ich mwavscan.com problemlos im abgesicherten Modus starten kann.

Grüße

joeyblack

Gigamail 18.08.2005 14:14
Zitat:
Zitat von joeyblack
Mein system installiert es immer in der D:\Partition,
wieso installiert dein System eScan? Du musst den eScan nach dem runterladen mit Klick der rechten Maustaste nach dem Ordner C:\Bases_X entpacken und nicht installieren

joeyblack 18.08.2005 14:58
@ Gigamail

autsch, unklare Formulierungen ziehen natürlich entsprechende Antworten nach sich.

Natürlich hast Du Recht. Mit der rechten Maustaste auf "Dateien entpacken"... habe ich durchgeführt. Als Zielort habe ich C.\Bases_X angegeben, und es wurde nicht dorthin entpackt, sondern in der D:\-Partition.

Grüße

joeyblack


Alle Zeitangaben in WEZ +1. Es ist jetzt 20:39 Uhr.
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19