Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Schwiegervaters Compi verseucht... (https://www.trojaner-board.de/23845-schwiegervaters-compi-verseucht.html)

Hardtcore 20.11.2005 21:01
Schwiegervaters Compi verseucht...
 
Hallo Zusammen!

Ich bräuchte mal eure Hilfe. Mein Schwiegervater hat mir seinen Computer vorbeigebracht, weil er von seinem AntiVir alle 60 Sekunden die Mitteilung bekommt, dass er den Trojaner TR/Spy.Agent.dg.2.B auf seinem Rechner hat. Hab dann mal im abgesicherten Modus AntiVir und HJT laufen lassen. AntiVir fand noch folgende: TR/Bagle.DG, TR/Dldr.Bagle.BM, WORM/Sober.I und WORM/Sober.I.Base64A

Hier das LogFile:

Logfile of HijackThis v1.99.1
Scan saved at 16:44:45, on 20.11.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\System32\xpjava.exe
C:\WINDOWS\Explorer.EXE
C:\Dokumente und Einstellungen\Administrator.OEMCOMPUTER\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://www.tchibo.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.t-online.de/service/redir/ie_t-online.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.tchibo.de/is-bin/INTERSHOP.enfinity/eTS/Store/de/-/DEM/TchPartner
F2 - REG:system.ini: UserInit=userinit.exe,xpjava.exe
O1 - Hosts: 218.83.158.204 w*w.halifax-online.co.uk
O1 - Hosts: 218.83.158.204 ibank.barclays.co.uk
O1 - Hosts: 218.83.158.204 online.lloydstsb.co.uk
O1 - Hosts: 218.83.158.204 online-business.lloydstsb.co.uk
O1 - Hosts: 218.83.158.204 w*w.ukpersonal.hsbc.co.uk
O1 - Hosts: 218.83.158.204 w*w.nwolb.com
O1 - Hosts: 218.83.158.204 banesnet.banesto.es
O1 - Hosts: 218.83.158.204 extranet.banesto.es
O1 - Hosts: 218.83.158.204 ebanking.bccbrescia.it
O1 - Hosts: 218.83.158.204 w*w.bankofscotlandhalifax-online.co.uk
O1 - Hosts: 218.83.158.204 w*w.rbsdigital.com
O1 - Hosts: 218.83.158.204 oi.cajamadrid.es
O1 - Hosts: 218.83.158.204 bancae.caixapenedes.com
O1 - Hosts: 218.83.158.204 banking.postbank.de
O1 - Hosts: 218.83.158.204 meine.deutsche-bank.de
O1 - Hosts: 218.83.158.204 myonlineaccounts2.abbeynational.co.uk
O1 - Hosts: 218.83.158.204 ibank.cahoot.com
O1 - Hosts: 218.83.158.204 webbank.openplan.co.uk
O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - C:\WINDOWS\System32\oppol.dll
O2 - BHO: MSEvents Object - {B313D637-F405-4052-AC37-E2119AB3C8F8} - C:\WINDOWS\System32\cbxyv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [VGATune] VGATune.exe
O4 - HKLM\..\Run: [ecsiin] C:\ecsiin.stub.exe
O4 - HKLM\..\Run: [SystemRestore] SysRes.exe
O4 - HKLM\..\Run: [timessquare] C:\windows\timessquare.exe
O4 - HKLM\..\Run: [adtech2005] C:\windows\adtech2005.exe
O4 - HKLM\..\Run: [Nfo] C:\WINDOWS\System32\nfomon\nfomon.exe
O4 - HKLM\..\Run: [vidmon] C:\WINDOWS\System32\vidmon\vidmon.exe
O4 - HKLM\..\RunServices: [VGATune] VGATune.exe
O4 - HKLM\..\RunServices: [SystemRestore] SysRes.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O14 - IERESET.INF: START_PAGE_URL=h**p://www.t-online.de/service/redir/ie_t-online.htm
O16 - DPF: Win32 Classes -
O20 - Winlogon Notify: cbxyv - C:\WINDOWS\System32\cbxyv.dll
O20 - Winlogon Notify: oppol - C:\WINDOWS\SYSTEM32\oppol.dll
O20 - Winlogon Notify: OptimalLayout - C:\WINDOWS\system32\onePlugIn.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\IA\command.exe
O23 - Service: MS Dns Service (WinNet) - Unknown owner - C:\WINDOWS\system32\wincntrl.exe
O23 - Service: Windows Time Sync (wservtime) - Unknown owner - C:\WINDOWS\csrss.exe (file missing)

Frage: Muss ich jetzt das System neuaufsetzen? Diese ganzen Bankadressen machen mich auch ein wenig nervös. Was kann das sein?

Ich danke für eure Hilfe!!!

cacatoa 20.11.2005 22:28
HI,
nicht nur look2me, sondern auch noch aktiver Backdoor.
Gibt nur eine sinnvolle Lösung:
Neuaufsetzen des Systems.
Und vor allem: Das System up to date halten. Fehlendes SP2 führte zu der Verseuchung.
Bitte beim Aufsetzen genau den Anweisungen in Cidre´s Beschreibung folgen.
Sorry
cacatoa


Alle Zeitangaben in WEZ +1. Es ist jetzt 19:43 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19