|
Log File HiJackThis (Dialer) Hi Leute, ich hab euch hier mal ein Log File gepostet, wäre schön wenn ihr mir da weiter helfen könntet. Ich habe einen Rechner der sich über ISDN einwählt, dieser Rechner hat in den letzten 3 Tagen Einwahlkosten von 600 Euro verursacht, mir liegt viel daran den Übeltäter zu finden bzw das Geld nicht zahlen zu müssen. Ich bin gerade dabei mir vond er Telekom die genau Nummer zu besorgen. BITTE HELFT MIR!!!! Logfile of HijackThis v1.99.1 Scan saved at 10:20:48, on 12.10.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\msdtc.exe C:\PROGRA~1\MICROS~2\MSSQL\binn\sqlservr.exe C:\Programme\Panda Software\Panda Antivirus Platinum\pavsrv51.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Panda Software\Panda Antivirus Platinum\AVENGINE.EXE C:\WINDOWS\system32\vnsystask.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\hkcmd.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe C:\WINDOWS\system32\explorer.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\explorer.exe C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe C:\Programme\Panda Software\Panda Antivirus Platinum\pavProxy.exe C:\Programme\Panda Software\Panda Antivirus Platinum\apvxdwin.exe C:\Programme\0190 Warner\w0svc.exe C:\Programme\0190 Warner\Warn0190.exe C:\Programme\Messenger\msmsgs.exe D:\hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=374 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe O4 - HKLM\..\Run: [SCANINICIO] "C:\Programme\Panda Software\Panda Antivirus Platinum\Inicio.exe" O4 - HKLM\..\Run: [APVXDWIN] "C:\Programme\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE" /s O4 - HKLM\..\Run: [RunDll32] "C:\WINDOWS\system32\explorer.exe" O4 - HKLM\..\Run: [WinVNC] "C:\WINDOWS\system32\vnsystask.exe" -servicehelper O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [RunDll32] "C:\WINDOWS\system32\explorer.exe" O4 - Global Startup: Dienst-Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\MICROS~1\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1127207107296 O17 - HKLM\System\CCS\Services\Tcpip\..\{F52CEC07-5531-428F-8588-428AAFE1E0F4}: NameServer = 192.168.100.250 O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Programme\Panda Software\Panda Antivirus Platinum\pavsrv51.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe O23 - Service: systask - Unknown owner - C:\WINDOWS\system32\vnsystask.exe" -service (file missing) O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Programme\RealVNC\WinVNC\WinVNC.exe" -service (file missing) |
Hallo, beende mal folgenden Prozess im Taskmanager: C:\WINDOWS\system32\vnsystask.exe und überprüfe zusätzlich folgende Datei (falls vorhanden) ( Dateien suchen ): C:\WINDOWS\system32\explorer.exe hier und poste das Ergebnis. Auf keinen Fall irgendwelche Dateien löschen! Und lies dich mal hier in die Links bei "Was tun im Schadfall" ein. Grüße Wildone |
Servus, bit-center! Lass´ mal diese Dateien bla, bla, bla... Wildone war schneller ;) gts, stupormundi |
hier der auszug aus dem internetscanner! Auslastung: 0% 100% Datei: explorer.exe Status: EVENTUELL INFIZIERT/MALWARE (Es ist verdächtig, dass die Sandbox-Emulation lange dauerte und/oder die Datei gepackt war. Normalerweise sind Programme nicht gepackt und zwingen die Sandbox nicht zu einer langwierigen Emulation. Beachten Sie, dass kein Scanner eine Warnung gegeben hat, d.h. die Datei kann sehr wohl harmlos sein. Wir raten allerdings zur Vorsicht.) Entdeckte Packprogramme: UPX AntiVir Keine Viren gefunden ArcaVir Keine Viren gefunden Avast Keine Viren gefunden AVG Antivirus Keine Viren gefunden BitDefender Keine Viren gefunden ClamAV Keine Viren gefunden Dr.Web Keine Viren gefunden F-Prot Antivirus Keine Viren gefunden Fortinet Keine Viren gefunden Kaspersky Anti-Virus Keine Viren gefunden NOD32 Keine Viren gefunden Norman Virus Control Keine Viren gefunden UNA Keine Viren gefunden VBA32 Keine Viren gefunden Zuletzt gefundene Malware war newdotnet6_90.dll, gefunden von: Scanner Name der Malware AntiVir X ArcaVir X Avast X AVG Antivirus X BitDefender X ClamAV X Dr.Web Adware.NewDotNet F-Prot Antivirus X Fortinet X Kaspersky Anti-Virus X NOD32 X Norman Virus Control X UNA X VBA32 X und was jetzt? |
Was ist mit der anderen Datei (-prüfung)? stupormundi |
meinst du die vnsystask ? hier: Auslastung: 0% 100% Datei: vnsystask.exe Status: INFIZIERT/MALWARE Entdeckte Packprogramme: - AntiVir Keine Viren gefunden ArcaVir Keine Viren gefunden Avast Keine Viren gefunden AVG Antivirus Keine Viren gefunden BitDefender Keine Viren gefunden ClamAV Keine Viren gefunden Dr.Web Program.RemoteAdmin gefunden F-Prot Antivirus Keine Viren gefunden Fortinet Keine Viren gefunden Kaspersky Anti-Virus Keine Viren gefunden NOD32 Keine Viren gefunden Norman Virus Control Keine Viren gefunden UNA Keine Viren gefunden VBA32 Keine Viren gefunden Zuletzt gefundene Malware war autobuff.rar, gefunden von: Scanner Name der Malware AntiVir X ArcaVir Trojan.Clicker.Small.Ht Avast X AVG Antivirus X BitDefender Trojan.Clicker.Small.BT ClamAV X Dr.Web X F-Prot Antivirus X Fortinet X Kaspersky Anti-Virus X NOD32 X Norman Virus Control X UNA TrojanClicker.Win32.Small VBA32 X |
Lass´mal silentrunner laufen http://www.silentrunners.org/ Mal sehen, die Ergebnisse sind ja bisher nicht sehr aussagekräftig! Und was die Telekomnummer angeht, die wirst Du auf jeden Fall brauchen! Schau´ Dir mal wildone´s link dazu an! bis dann, stupormundi |
Hallo, hast du eigentlich das Programm WinVNC absichtlich installiert? Da das ein Programm zur Fernsteuerung des Rechners ist bin ich da etwas mißtrauisch. Aber die C:\WINDOWS\system32\explorer.exe macht mich irgendwie noch mehr stutzig, packe mal die Datei in ein Passwortgeschütztes Archiv, und schicke es mit dem Passwort an newvirus@kaspersky.com . Hast du eigentlich schon irgendwas entfernt, z.B. mit Panda, oder anderen Tools? Grüße Wildone |
ok, werde die Datei gleich mal packen, entfernt habe ich nichts, panda ist am freitag noch gelaufen und war heute dann deaktiviert. löscht silentrunner etwas oder zeigt das auch nur gefahren an? |
Nein, löscht nix, zeigt nur an! Was ist iÜ mit diesem Remote Admin, hast Du den selber wissentlich installiert oder nicht? stupormundi |
Hallo, ach bevor ich es vergesse, du schickst am besten nur eine Kopie, damit das Orginal bei dir bleibt. Grüße Wildone |
also, den vnc service hab ich installiert, da der rechner nicht bei mir steht, sondern ein kunden rechner ist, den ich über einwahl warte! |
kann das sein das silentrunners geld kostet? oder wie komm ich zu dem was ihr wollt? ok, die email ist jetzt auch raus! was nun? |
Hallo, zu Silentrunner dann würde ich noch vorschlagen das System zusätzlich mal mit Escan (Anleitung genau beachten!). Die Analyse von Kaspersky wird wahrscheinlich sowieso 1/2 Tage dauern. Aber mich befallen langsam Zweifel ob wir dir überhaupt helfen sollten, immerhin nimmst du wahrscheinlich Geld für die Arbeit die wir machen... Grüße Wildone |
Zitat:
Also in diesem Sinne, stupormundi |
ähm ja, in gewisser weise hast du ja recht, aber ist das board nicht genau für solche zwecke da? das man sich gegenseitig hilft und so? Außerdem werde ich dafür kein Geld verlangen, sonst steigen die kosten die er an mich bezahlt ja langsam über die kosten die er für die Rechnung bezahlen müßte! Ich ich hoffe das ich hier doch trotzdem eine gute hilfe bekomme, da ich sonst ziemlich schlecht da stehe! |
Zitat:
Zitat:
stupormundi |
also silentrunners: "Silent Runners.vbs", revision 41, http://www.silentrunners.org/ Operating System: Windows XP SP2 Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS] "RunDll32" = ""C:\WINDOWS\system32\explorer.exe"" [null data] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "IgfxTray" = "C:\WINDOWS\System32\igfxtray.exe" ["Intel Corporation"] "HotKeysCmds" = "C:\WINDOWS\System32\hkcmd.exe" ["Intel Corporation"] "SoundMan" = "SOUNDMAN.EXE" ["Realtek Semiconductor Corp."] "BluetoothAuthenticationAgent" = "rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent" [MS] "SunJavaUpdateSched" = "C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe" [null data] "SCANINICIO" = ""C:\Programme\Panda Software\Panda Antivirus Platinum\Inicio.exe"" ["Panda Software"] "APVXDWIN" = ""C:\Programme\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE" /s" ["Panda Software International"] "(Default)" = (empty string) "RunDll32" = ""C:\WINDOWS\system32\explorer.exe"" [null data] "WinVNC" = ""C:\WINDOWS\system32\vnsystask.exe" -servicehelper" ["AT&T Research Labs Cambridge"] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID] -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"] {E5A1691B-D188-4419-AD02-90002030B8EE}\(Default) = "FlashFXP Helper for Internet Explorer" [from CLSID] -> {CLSID}\InProcServer32\(Default) = "C:\Programme\FlashFXP\IEFlash.dll" ["IniCom Networks, Inc."] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung" -> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found] "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."] |
Das ist wohl nicht der gesamte Inhalt der "startup programs [Computername] [Datum][Uhrzeit].txt"-Datei? Und escan ist auch noch interessant! stupormundi |
also das ist alles was silent in der datei speichert! escan kommt gleich! "Silent Runners.vbs", revision 41, http://www.silentrunners.org/ Operating System: Windows XP SP2 Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS] "RunDll32" = ""C:\WINDOWS\system32\explorer.exe"" [null data] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "IgfxTray" = "C:\WINDOWS\System32\igfxtray.exe" ["Intel Corporation"] "HotKeysCmds" = "C:\WINDOWS\System32\hkcmd.exe" ["Intel Corporation"] "SoundMan" = "SOUNDMAN.EXE" ["Realtek Semiconductor Corp."] "BluetoothAuthenticationAgent" = "rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent" [MS] "SunJavaUpdateSched" = "C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe" [null data] "SCANINICIO" = ""C:\Programme\Panda Software\Panda Antivirus Platinum\Inicio.exe"" ["Panda Software"] "APVXDWIN" = ""C:\Programme\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE" /s" ["Panda Software International"] "(Default)" = (empty string) "RunDll32" = ""C:\WINDOWS\system32\explorer.exe"" [null data] "WinVNC" = ""C:\WINDOWS\system32\vnsystask.exe" -servicehelper" ["AT&T Research Labs Cambridge"] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID] -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"] {E5A1691B-D188-4419-AD02-90002030B8EE}\(Default) = "FlashFXP Helper for Internet Explorer" [from CLSID] -> {CLSID}\InProcServer32\(Default) = "C:\Programme\FlashFXP\IEFlash.dll" ["IniCom Networks, Inc."] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung" -> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found] "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."] |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 04:06 Uhr. |
Copyright ©2000-2025, Trojaner-Board