Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   sp2update00.exe (https://www.trojaner-board.de/23402-sp2update00-exe.html)

VollEule 07.11.2005 15:45
sp2update00.exe
 
Huhuuu,

Hab meinen Rechner heute schön verseucht...hier mal mein HJT-log:

Code:
Logfile of HijackThis v1.99.1
Scan saved at 15:37:21, on 07.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
C:\Programme\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\PGPserv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\dpmw32.exe
C:\WINDOWS\system32\NWTRAY.EXE
C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\VollEule\Eigene Dateien\Download\s_t_i_n_g_e_r.exe
C:\Dokumente und Einstellungen\VollEule\Eigene Dateien\Download\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = *mein proxy.de:80*
O4 - HKLM\..\Run: [NDPS] C:\WINDOWS\System32\dpmw32.exe
O4 - HKLM\..\Run: [NWTRAY] NWTRAY.EXE
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = st.mw.tu-darmstadt.de
O17 - HKLM\Software\..\Telephony: DomainName = *eine.de domain*
O17 - HKLM\System\CCS\Services\Tcpip\..\{F364133D-C4A8-43C4-8855-F889407ADDD6}: NameServer = *2 IP Adressen*
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = *eine.de domain*
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = *eine.de domain*
O20 - Winlogon Notify: Hints - C:\WINDOWS\system32\l86olij318o.dll
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\VG9uaSBHcm\f\command.exe (file missing)
O23 - Service: DefWatch - Symantec Corporation - C:\Programme\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Programme\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PGPserv - PGP Corporation - C:\WINDOWS\system32\PGPserv.exe
Ich denke mal diese beiden verursachen die Schweinereien:

O20 - Winlogon Notify: Hints - C:\WINDOWS\system32\l86olij318o.dll
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\VG9uaSBHcm\f\command.exe (file missing)

Diese .dll will sich aber nicht killen lassen, auch nicht im abgesicherten Modus. Man kann da zwar ein Häkchen dran machen bei HJT, wenn man dann nochmal scannt ist der fiese Kram immer noch da, per Hand löschen ist auch net, ansonsten habe ich einige garstige exe's per Hand gelöscht, es fehlen wohl aber immer noch welche...HELP :(

PS: Wenn mir jetzt einer kommt, ich soll doch mal bitte SP2 installieren, dann kann ich net mal mehr drüber lachen !

Da ich jetzt das meiste durch habe, denke ich, sie sind über den Java/Real Updater reingekommen, kommt das hin ?!?

dartus 07.11.2005 16:17
Hallo VollEule,

versuche es mal damit (l86olij318o.dll).

Start --> Ausführen --> services.msc --> OK --> Rechtsklick auf Command Service (cmdService) --> Eigenschaften --> "Starttyp" deaktiviert und "Dienststatus" beenden einstellen --> Übernehmen
C:\WINDOWS\VG9uaSBHcm <-- Ordner löschen
und den Eintrag (wenn noch vorhanden) mit HJT fixen.

dartus

VollEule 07.11.2005 17:04
Huhuuu

VOLLTREFFER und versenkt ;) , das dreckige %$§%&%$$$/%&%/& !!!

Besten Dank, dartus

VollEule 08.11.2005 10:31
Huhuuuu

So, nu läuft alles wieder (zumindest so wie vorher ;) )

Aber mal ne andere Frage, als was wird diese Ad-Attacke denn eingestuft, ist das ein Trojaner oder einfach nur Adware? Ums auf den Punkt zu bringen, muss ich jetzt sämtliche Passwörter ändern, oder wie ???

dartus 08.11.2005 10:45
Hallo VollEule,

hier ein Kurzbeschreibung --> http:/ /www.virenschutz.info/Look2Me-Spyware-Tutorials-28.html
Die Passwörter würde ich ändern.

dartus


Alle Zeitangaben in WEZ +1. Es ist jetzt 23:41 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131