|
HiJackThis Log-File - wie jetzt weiter? Nach längeren frustrierenden Versuchen diverse Eindringlinge aus dem System zu vertreiben - AVG Free meldet wahlweise ein Trojan horse IRC/BackDoor.seBot.MYC oder aber (trotz Erkennung, Löschens oder Verschieben) leicht verändert Trojan horse IRC/BackDoor.sdBot.KCG - hier nun mein HiJackThis Log-File: Logfile of HijackThis v1.99.1 Scan saved at 09:22:02, on 03.11.2005 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\spoolsv.exe C:\PROGRA~2\SICHER~2\AVGFRE~1\avgamsvr.exe C:\PROGRA~2\SICHER~2\AVGFRE~1\avgupsvc.exe C:\PROGRA~2\SICHER~2\AVGFRE~1\avgemc.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\stisvc.exe C:\Programme\HanseNet\Alice\app\TangoService.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\Explorer.EXE C:\WINNT\System32\sistray.EXE C:\WINNT\system32\RunDll32.exe C:\Programme\Java\jre1.5.0_05\bin\jusched.exe C:\PROGRA~2\SICHER~2\AVGFRE~1\avgcc.exe C:\WINNT\system32\internat.exe C:\PROGRA~2\HanseNet\Alice\app\TangoManager.exe C:\Programme\Sicherheit\hijackthis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.spiegel.de/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://go.microsoft.com/fwlink/?linkID=24461 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [SiS Tray] C:\WINNT\System32\sistray.EXE O4 - HKLM\..\Run: [TangoManager] C:\PROGRA~2\HanseNet\Alice\app\TANGOM~1.EXE O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_05\bin\jusched.exe O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~2\SICHER~2\AVGFRE~1\avgcc.exe /STARTUP O4 - HKCU\..\Run: [internat.exe] internat.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1129912722562 O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - h**p://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{728F4930-CE99-47D2-A4CF-D1DE66996267}: NameServer = 213.191.74.11 213.191.92.82 O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~2\SICHER~2\AVGFRE~1\avgamsvr.exe O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~2\SICHER~2\AVGFRE~1\avgupsvc.exe O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~2\SICHER~2\AVGFRE~1\avgemc.exe O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: Enables Java Support (Java) - Unknown owner - C:\WINNT\system32\winjava.exe (file missing) O23 - Service: Tango Service (TangoService) - Unknown owner - C:\Programme\HanseNet\Alice\app\TangoService.exe Was sehen und sagen die Experten? Besten Dank! Girolamo |
Servus, girolamo! Zitat:
Um eine zweite Meinung zu haben lass´ mal escan nach Cidres Anleitung http://www.trojaner-board.de/showthread.php?t=17492 im abgesicherten Modus http://www.systemwiederherstellung-d...indows-xp.html laufen und poste anschließend das Ergebnis von Hauis45´s 'find.bat' (ist in der Anleitung ebenfalls beschrieben). Halte Dich genau an diese Anleitung (Speicherort von escan-entpacken nach C:\bases_x, update vor dem Scan, Spracheinstellung "English", alle Häkchen wie beschrieben setzen) sonst funktioniert die find.bat nicht. Lies´ die Anleitung zuerst ganz durch, sonst übersiehst Du vielleicht etwas! bis dann, stupormundi |
Vielen Dank für die Hinweise, stupormundi! - heute abend werde ich hoffentlich erste Ergebnisse posten können ... Beste Grüße von einem etwas beruhigten Girolamo |
Hallo Girolamo, leider muss ich Dich beunruhigen, deswegen: http://www.sophos.de/virusinfo/analy...2codbotaa.html IMHO ist da eine Neuinstallation anzuraten: http://www.trojaner-board.de/showthread.php?t=12154 dartus |
@servus dartus - alles Gute! @girolamo: Zitat:
stupormundi |
Zitat:
sollen?) schrieb ich, weil ich zumindest Hinweise zu einer etwaigen Säuberung des Systems erhalten habe. Von Freude kann in der Tat nicht die Rede sein ... Wie gesagt, mehr (von escan & Co.) heute abend. Grüße, Girolamo |
Etwas später als ursprünglich vorgesehen... Hier nun die Auswertung des escan-Logs mit find.bat - streng nach Anleitung: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Funde für "infected" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Fri Nov 04 10:29:02 2005 => System found infected with redv Spyware/Adware (insthelp.dll)! Action taken: No Action Taken. Fri Nov 04 10:30:51 2005 => System found infected with redv Spyware/Adware (insthelp.dll)! Action taken: No Action Taken. Fri Nov 04 10:31:33 2005 => File C:\WINNT\system32\i infected by "Trojan-Downloader.BAT.Ftp.ab" Virus! Action Taken: No Action Taken. Fri Nov 04 10:32:42 2005 => File C:\WINNT\system32\TFTP420 infected by "Backdoor.Win32.Rbot.ahn" Virus! Action Taken: No Action Taken. Fri Nov 04 11:01:47 2005 => File C:\WINNT\system32\i infected by "Trojan-Downloader.BAT.Ftp.ab" Virus! Action Taken: No Action Taken. Fri Nov 04 11:03:18 2005 => File C:\WINNT\system32\TFTP420 infected by "Backdoor.Win32.Rbot.ahn" Virus! Action Taken: No Action Taken. Fri Nov 04 11:03:47 2005 => Total Disinfected Files: 0 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Funde für "tagged" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Funde für "offending" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Fri Nov 04 10:29:02 2005 => Offending file found: C:\DOKUME~1\**\LOKALE~1\Temp\insthelp.dll Fri Nov 04 10:30:51 2005 => Offending file found: C:\Dokumente und Einstellungen\**\Lokale Einstellungen\temp\insthelp.dll ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Fri Nov 04 11:03:47 2005 => Total Virus(es) Found: 6 Fri Nov 04 11:03:47 2005 => Total Errors: 27 Fri Nov 04 11:03:47 2005 => Time Elapsed: 00:34:40 Fri Nov 04 11:03:47 2005 => Total Objects Scanned: 37093 Fri Nov 04 10:27:42 2005 => Virus Database Date: 2005/11/04 Fri Nov 04 11:03:47 2005 => Virus Database Date: 2005/11/04 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Wie muß ich jetzt weiter vorgehen bzw. welche Möglichkeiten gibt es neben einem Neuaufsetzen des Systems? Vielen Dank, Girolamo |
Servus, Girolamo! Leider hat sich der Verdacht bestätigt: Zitat:
Zitat:
Zitat:
Aber das ist jetzt nebensächlich! Bei diesem Fund - wie Dir dartus ja auch schon gepostet hat - hilft nur mehr http://www.trojaner-board.de/showthread.php?t=12154 Alles andere ist Makkulatur. Lies´ Dir die von Cidre geposteten links zum Thema Backdoor durch, dann erübrigen sich weiter Fragen nach anderen sinnvollen Möglichkeiten Alles Gute, stupormundi |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 03:24 Uhr. |
Copyright ©2000-2025, Trojaner-Board