Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Immer wieder Probleme mit Viren und Trojanern (https://www.trojaner-board.de/22451-immer-probleme-viren-trojanern.html)

nIk0r 05.10.2005 01:24
Immer wieder Probleme mit Viren und Trojanern
 
Hi, ich bräuchte mal dringend eure Hilfe!

Eine Freundin von mir hat andauernd Probleme mit irgendwelchen Viren und Trojanern. Vor kurzem lautete das Problem "Hacktool.Rootkit" wodurch dann so gut wie gar nix mehr ging.
Ich formatierte daraufhin alle ihre Festplatten und spielte WinXP neu drauf und sagte ihr sie soll keine emails mehr öffnen, auf keine Seiten gehen die sie nicht kennt etc.
Doch schon nach ein paar Tagen war "Hacktool.Rootkit" wieder da! Nach einmaliger Bekämpfung mit Norton und ein paar Programmen wie Ewido und Ad-Aware kam das Ding nach einer Woche. Wieder schien ich es irgendwie weg bekommen zu haben. Jetzt wieder ne Woche später gabs ein neues Problem. Irgendein Trojaner war auf dem PC und machte die Bedienung genauso wie Hacktool.Rootkit fast unmöglich. Sowohl das neue Ding als auch Hacktool.Rootkit wurden übrigens von Norton erkannt, konnten aber nicht entfernt oder isoliert werden. Löschen der Dateien brachte auch nix, da die trotzdem deaktivierter Systemwiederherstellung immer wieder kamen!

Beim neuen Ding versagte nun auch Ewido, so dass ich ihr auf gut Glück ein neues Programm namens Spyware Doctor gab. Dieser entfernte das Ding.

Trotzdem frage ich mich jetzt aber wie es sein kann dass sie ständig immer wieder Probleme mit solchen Dingern hat. Sogar schon kurz nach einer Formatierung! Sie meinte sie würde kaum noch auf Internetseiten gehen und Emails schon mal gar nicht abrufen. Auch scanne sie den PC täglich mit Norton, Ad-Aware, Evido, ZoneAlarm durch.

Ich kenne niemanden der so extrem Probleme hat. Woran kann das liegen?
Ich hab hier mal nen Hijackthis-Log. Vielleicht hilft er ja:


Logfile of HijackThis v1.99.1
Scan saved at 02:08:49, on 05.10.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\ewido\security suite\ewidoctrl.exe
C:\Programme\ewido\security suite\ewidoguard.exe
C:\PROGRA~1\NORTON~1\NORTON~4\GHOSTS~2.EXE
C:\Programme\Norton SystemWorks\Norton Antivirus\navapsvc.exe
C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
C:\WINDOWS\WinVid32.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Norton SystemWorks\Norton Antivirus\SAVScan.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
C:\Programme\Norton SystemWorks\Password Manager\AcctMgr.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\System32\jswTss.exe
C:\Programme\iSOad\msdll.exe
C:\WINDOWS\System32\aimplugin.exe
C:\WINDOWS\System32\systems.exe
C:\WINDOWS\System32\msmsgss.exe
C:\WINDOWS\System32\servicemgr.exe
C:\WINDOWS\System32\aimplugin.exe
C:\WINDOWS\System32\systm.pif
C:\Programme\Spyware Doctor\swdoctor.exe
C:\Programme\Miranda IM\miranda32.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\ftp.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Kim\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.asv-laufteam.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.internetcologne.de
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://www.internetcologne.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von NetCologne
F2 - REG:system.ini: UserInit=userinit.exe,xpjava.exe
O1 - Hosts: 127.0.2.5 w*w.symantec.com
O1 - Hosts: 127.0.2.5 symantec.com
O1 - Hosts: 127.0.2.5 securityresponse.symantec.com
O1 - Hosts: 127.0.2.5 sarc.com
O1 - Hosts: 127.0.2.5 w*w.sarc.com
O1 - Hosts: 127.0.2.5 w*w.sophos.com
O1 - Hosts: 127.0.2.5 sophos.com
O1 - Hosts: 127.0.2.5 w*w.mcafee.com
O1 - Hosts: 127.0.2.5 mcafee.com
O1 - Hosts: 127.0.2.5 liveupdate.symantecliveupdate.com
O1 - Hosts: 127.0.2.5 w*w.viruslist.com
O1 - Hosts: 127.0.2.5 viruslist.com
O1 - Hosts: 127.0.2.5 f-secure.com
O1 - Hosts: 127.0.2.5 w*w.f-secure.com
O1 - Hosts: 127.0.2.5 f-prot.com
O1 - Hosts: 127.0.2.5 w*w.f-prot.com
O1 - Hosts: 127.0.2.5 kaspersky.com
O1 - Hosts: 127.0.2.5 kaspersky-labs.com
O1 - Hosts: 127.0.2.5 w*w.avp.com
O1 - Hosts: 127.0.2.5 avp.com
O1 - Hosts: 127.0.2.5 w*w.kaspersky.com
O1 - Hosts: 127.0.2.5 w*w.networkassociates.com
O1 - Hosts: 127.0.2.5 networkassociates.com
O1 - Hosts: 127.0.2.5 w*w.ca.com
O1 - Hosts: 127.0.2.5 ca.com
O1 - Hosts: 127.0.2.5 mast.mcafee.com
O1 - Hosts: 127.0.2.5 my-etrust.com
O1 - Hosts: 127.0.2.5 w*w.my-etrust.com
O1 - Hosts: 127.0.2.5 download.mcafee.com
O1 - Hosts: 127.0.2.5 dispatch.mcafee.com
O1 - Hosts: 127.0.2.5 secure.nai.com
O1 - Hosts: 127.0.2.5 nai.com
O1 - Hosts: 127.0.2.5 w*w.nai.com
O1 - Hosts: 127.0.2.5 vil.nai.com
O1 - Hosts: 127.0.2.5 update.symantec.com
O1 - Hosts: 127.0.2.5 updates.symantec.com
O1 - Hosts: 127.0.2.5 us.mcafee.com
O1 - Hosts: 127.0.2.5 liveupdate.symantec.com
O1 - Hosts: 127.0.2.5 customer.symantec.com
O1 - Hosts: 127.0.2.5 rads.mcafee.com
O1 - Hosts: 127.0.2.5 trendmicro.com
O1 - Hosts: 127.0.2.5 w*w.trendmicro.com
O1 - Hosts: 127.0.2.5 housecall.trendmicro.com
O1 - Hosts: 127.0.2.5 pandasoftware.com
O1 - Hosts: 127.0.2.5 w*w.pandasoftware.com
O1 - Hosts: 127.0.2.5 w*w.trendmicro.com
O1 - Hosts: 127.0.2.5 free.grisoft.com
O1 - Hosts: 127.0.2.5 w*w.grisoft.com
O1 - Hosts: 127.0.2.5 grisoft.com
O1 - Hosts: 127.0.2.5 clamav.net
O1 - Hosts: 127.0.2.5 w*w.clamav.net
O1 - Hosts: 127.0.2.5 free-av.com
O1 - Hosts: 127.0.2.5 w*w.free-av.com
O1 - Hosts: 127.0.2.5 w*w.avast.com
O1 - Hosts: 127.0.2.5 avast.com
O1 - Hosts: 127.0.2.5 cert.org
O1 - Hosts: 127.0.2.5 w*w.cert.org
O1 - Hosts: 127.0.2.5 w*w.microsoft.com
O1 - Hosts: 127.0.2.5 microsoft.com
O1 - Hosts: 127.0.2.5 w*w.virustotal.com
O1 - Hosts: 127.0.2.5 virustotal.com
O1 - Hosts: 127.0.2.5 update.microsoft.com
O1 - Hosts: 127.0.2.5 windowsupdate.microsoft.com
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [AcctMgr] C:\Programme\Norton SystemWorks\Password Manager\AcctMgr.exe /startup
O4 - HKLM\..\Run: [Windows Explorer] C:\WINDOWS\system32\dllcache\explorer.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Sonytest] jswTss.exe
O4 - HKLM\..\Run: [angeleyes] C:\Programme\iSOad\msdll.exe
O4 - HKLM\..\Run: [Aim Plugin] C:\WINDOWS\System32\aimplugin.exe
O4 - HKLM\..\Run: [System Driver] systems.exe
O4 - HKLM\..\Run: [msmsgr] msmsgss.exe
O4 - HKLM\..\Run: [Microsoft Service Manager] servicemgr.exe
O4 - HKLM\..\Run: [MS Security] systm.pif
O4 - HKLM\..\Run: [SYSTRAY] C:\UNMT.EXE
O4 - HKLM\..\RunServices: [Sonytest] jswTss.exe
O4 - HKLM\..\RunServices: [Aim Plugin] C:\WINDOWS\System32\aimplugin.exe
O4 - HKLM\..\RunServices: [System Driver] systems.exe
O4 - HKLM\..\RunServices: [msmsgr] msmsgss.exe
O4 - HKLM\..\RunServices: [Microsoft Service Manager] servicemgr.exe
O4 - HKLM\..\RunServices: [MS Security] systm.pif
O4 - HKCU\..\Run: [Aim Plugin] C:\WINDOWS\System32\aimplugin.exe
O4 - HKCU\..\Run: [MS Security] systm.pif
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q
O4 - HKCU\..\RunServices: [MS Security] systm.pif
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1126219950546
O16 - DPF: {7F8C8173-AD80-4807-AA75-5672F22B4582} (ICSScanner Class) - h**p://download.zonelabs.com/bin/promotions/spywaredetector/ICSScanner37240.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - h**p://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5240033C-06AD-4110-98E5-55ACD2BC856F}: NameServer = 194.8.194.60 213.168.112.60
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido\security suite\ewidoguard.exe
O23 - Service: GhostStartService - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~4\GHOSTS~2.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton Antivirus\navapsvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton Antivirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: settings - Unknown owner - C:\WINDOWS\settings.exe (file missing)
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: wincheck (spdcheck) - Unknown owner - C:\WINDOWS\spdcheck.exe (file missing)
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: Windows 32 Bit (Windows 32 Bit Drivers) - Unknown owner - C:\WINDOWS\WinVid32.exe
O23 - Service: Windows Spooler (winspool32) - Unknown owner - C:\WINDOWS\spool.exe (file missing)

stupormundi 05.10.2005 05:38
Servus, nIk0r!

Ein Grund für die ständige Wieder-Verseuchung ist hier zu finden:
Zitat:
Logfile of HijackThis v1.99.1
Scan saved at 02:08:49, on 05.10.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
In einem nicht aktuellen Betriebssystem!
Auf diesem System laufen wieder einige bedenkliche Prozesse, u.a.
Zitat:
C:\WINDOWS\System32\systm.pif
...
O4 - HKCU\..\Run: [MS Security] systm.pif
Hier vermute ich einem Backdoor-Trojaner (die ganze *.pif-Bande besteht aus übelsten Schurken)
Der Eintrag
Zitat:
O4 - HKLM\..\RunServices: [Microsoft Service Manager] servicemgr.exe
ist der hier http://www.sophos.com/virusinfo/anal...passmaild.html -Ein Passwortdieb!
Der Eintrag
Zitat:
O4 - HKLM\..\Run: [msmsgr] msmsgss.exe
gehört mE sicher auch zu irgend einem Wurm (müsste noch konkreter geprüft werden).
So könnte man die Liste noch um einiges ergänzen, was aber keinen Sinn macht!

Zitat:
Ich formatierte daraufhin alle ihre Festplatten und spielte WinXP neu drauf und sagte ihr sie soll keine emails mehr öffnen, auf keine Seiten gehen die sie nicht kennt etc
Das kannst Du - dieses Mal hoffentlich mit mehr Erfolg - gleich noch einmal machen und dieses mal mit Servicepack 2 plus allen Sicherheitsupdates von M$! Siehe dazu diese Anleitung von Cidre http://www.trojaner-board.de/showthread.php?t=12154 Bitte genau einhalten und in Hinkunft das Surfverhalten und den Umgang mit E-Mail überdenken!
Viel Glück, stupormundi

nIk0r 20.10.2005 01:06
Gesagt, Getan - Jetzt läufts problemlos (zumindest seit nun 7 Tagen) ;)


Vielen Dank für die Hilfe!


Alle Zeitangaben in WEZ +1. Es ist jetzt 06:02 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27