Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Trojaner gefunden (https://www.trojaner-board.de/21890-trojaner-gefunden.html)

rosco 16.09.2005 22:22
Trojaner gefunden
 
Hi Leute!

Kaspersky AV hat diese beiden Trojaner heute bzw. vor zwei Tagen auf meinem PC gefunden und entfernt:

Exploit.win32.mso5-013.gen war im Firefox Cache
Trojan-Downloader.Java.OpenStream.w war im Cache von Sun Jave

Hab keine Ahnung, ob dadurch schon Schaden angerichtet werden konnte. Hatte die letzten Jahre nie ein Virenproblem :-(

Hab mittlerweile Highjack this laufen lassen, kenn mich aber Nüsse aus und weiß nicht was ich sonst tun kann/soll.

Vielleicht kann mir ja wer von euch helfen!


Logfile of HijackThis v1.99.1
Scan saved at 23:01:54, on 16.09.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\htpatch.exe
C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\Programme\LeechGet 2004\LeechGet.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
D:\Downloads\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKCU\..\Run: [LeechGet] "C:\Programme\LeechGet 2004\LeechGet.exe" -intray
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://C:\Programme\LeechGet 2004\\Wizard.html
O8 - Extra context menu item: Mit LeechGet herunterladen - file://C:\Programme\LeechGet 2004\\AddUrl.html
O8 - Extra context menu item: Mit LeechGet parsen - file://C:\Programme\LeechGet 2004\\Parser.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1097920957281
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsof...?1121974171312
O17 - HKLM\System\CCS\Services\Tcpip\..\{54A1F265-2577-4379-B39B-77EF3F12757C}: NameServer = 172.27.1.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{54A1F265-2577-4379-B39B-77EF3F12757C}: NameServer = 172.27.1.1
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Unknown owner - C:\WINDOWS\system32\ZoneLabs\vsmon.exe (file missing)


Danke für die Hilfe, rosco

rosco 17.09.2005 08:04
Hi!

Nochmals die bitte an euch, sich mein log-file anzusehen!
Die automatische Auswertung von www.hijackthis.de gibt mir folgende Zeilen als mögliche Probleme an:

O17 - HKLM\System\CCS\Services\Tcpip\..\{54A1F265-2577-4379-B39B-77EF3F12757C}: NameServer = 172.27.1.1

O17 - HKLM\System\CS1\Services\Tcpip\..\{54A1F265-2577-4379-B39B-77EF3F12757C}: NameServer = 172.27.1.1


Kann mir bitte wer weiterhelfen!


Muchas Gracias, rosco

felix1 17.09.2005 14:58
Wenn Du die IP nicht kennst, solltest Du sie mit HJT fixen. Bewegt sich der PC in einem Firmennetzwerk?

O17 - HKLM\System\CCS\Services\Tcpip\..\{54A1F265-2577-4379-B39B-77EF3F12757C}: NameServer = 172.27.1.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{54A1F265-2577-4379-B39B-77EF3F12757C}: NameServer = 172.27.1.1

Auch fixen
O23 - Service: TrueVector Internet Monitor (vsmon) - Unknown owner - C:\WINDOWS\system32\ZoneLabs\vsmon.exe (file missing)

Ansonsten sieht alles gut aus.

rosco 17.09.2005 15:09
ZUnächst mal danke für die Antwort!

Der Rechner befindet sich in einem Netzwerk - allerdings privat (2 Computer). Meine Freundin geht über meinen Rechner ins Internet. Ihrem Computer ist aber eine andere IP Adresse zugeordnet - zumindest was ich unter Netzwerkverbindungen sehen kann!

Hmmm

felix1 17.09.2005 15:10
Wenn Dir die IP unbekannt ist, dann fixen.

Zur Vorsicht kannst Du das ja mal genau nach Anleitung durchführen:
http://www.trojaner-board.de/showthread.php?t=17492

rosco 17.09.2005 15:38
Wird es notwendig sein das System neu aufzusetzen?

Was meint ihr?

felix1 18.09.2005 13:11
Dazu sehe ich eigentlich keinen Grund.


Alle Zeitangaben in WEZ +1. Es ist jetzt 15:26 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131