Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   problem mit dem internet explorer (https://www.trojaner-board.de/24693-problem-internet-explorer.html)

ornsta 19.12.2005 19:58
problem mit dem internet explorer
 
ich hab hier mal die log vom hijacker

das ursprüngliche problem ist hier beschrieben:
http://www.trojaner-board.de/showthread.php?t=24680

hier die logfile:

Logfile of HijackThis v1.99.1
Scan saved at 19:54:34, on 19.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\SGVpbnJpY2hz\command.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Opera\Opera.exe
C:\Programme\hijackthis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
O1 - Hosts: 255.255.255.255 ar.atwola.com atdmt.com avp.ch avp.com avp.ru awaps.net ca.com dispatch.mcafee.com download.mcafee.com download.microsoft.com downloads.microsoft.com engine.awaps.net f-secure.com ftp.f-secure.com ftp.sophos.com go.microsoft.com liveupdate.symantec.com mast.mcafee.com mcafee.com msdn.microsoft.com my-etrust.com nai.com networkassociates.com office.microsoft.com phx.corporate-ir.net secure.nai.com securityresponse.symantec.com service1.symantec.com sophos.com spd.atdmt.com support.microsoft.com symantec.com update.symantec.com updates.symantec.com us.mcafee.com vil.nai.com viruslist.ru windowsupdate.microsoft.com www.avp.ch www.avp.com www.avp.ru www.awaps.net www.ca.com www.f-secure.com www.kaspersky.ru www.mcafee.com www.my-etrust.com www.nai.com www.networkassociates.com www.sophos.com www.symantec.com www.trendmicro.com www.viruslist.com www.viruslist.ru www3.ca.com
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SW20] C:\WINDOWS\System32\sw20.exe
O4 - HKLM\..\Run: [SW24] C:\WINDOWS\System32\sw24.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Application Layer Gateway Service] C:\WINDOWS\System32\algs.exe
O4 - HKLM\..\Run: [symwsc.exe] C:\ssij.exe
O4 - HKLM\..\Run: [winsync] C:\WINDOWS\System32\oocrkp.exe reg_run
O4 - HKLM\..\Run: [timessquare] C:\windows\timessquare.exe
O4 - HKLM\..\Run: [adtech2005] C:\windows\adtech2005.exe
O4 - HKLM\..\Run: [QOJQ^MLJKvH]X] C:\WINDOWS\System32\valbuieokah.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Life FireWall Update1] FireWall-Update1.exe
O4 - HKLM\..\Run: []LZROP_INLQL] C:\WINDOWS\system32\jnfbyxpqzfbta.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\RunServices: [QOJQ^MLJKvH]X] C:\WINDOWS\System32\valbuieokah.exe
O4 - HKLM\..\RunServices: [Life FireWall Update1] FireWall-Update1.exe
O4 - HKLM\..\RunServices: []LZROP_INLQL] C:\WINDOWS\system32\jnfbyxpqzfbta.exe
O4 - HKCU\..\Run: [Life FireWall Update1] FireWall-Update1.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsof...?1134316144638
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsof...?1134316129747
O17 - HKLM\System\CCS\Services\Tcpip\..\{89484B01-AEC3-4419-87A2-BC64527ADA6F}: NameServer = 217.237.149.161 217.237.151.225
O17 - HKLM\System\CS1\Services\Tcpip\..\{89484B01-AEC3-4419-87A2-BC64527ADA6F}: NameServer = 217.237.149.161 217.237.151.225
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\SGVpbnJpY2hz\command.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe



mir wurde schon geraten, das sys neu aufzusetzten, was wahrscheinlich auch das beste ist, aber aus interesse würde ich ja doch schon gerne wissen, ob jemand eine andere lösung, bzw ein anderes problem sieht.

vielen dank fürs durchschauen


ps: die infizierter datei:TR/drop.bobic.q wird nach jedem reboot erneut gefunden, und antivir scheitert wohl daran, den virus(oder was auch immer) vernünftig zu bekämpfen. wird luke filewalker (das hauptscanprogramm laufen gelassen, findet es aber keinerlei infizierte datein)

pss: das sp2 wurde frisch isntalliert, aber wie man sieht, wurde der internet explorer immer noch nicht richtig mit geupdated, obwohl ich in der registry die version auf 0 gesetzt habe, damit auf jeden fall eine neuere version festgestellt und installiert wird...

Exciter 19.12.2005 20:09
Wenn dir schon geraten wurde, das System neuaufzusetzen, warum tust du das dann nicht?



Zitat:
Zitat von ornsta
C:\WINDOWS\SGVpbnJpY2hz\command.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
O1 - Hosts: 255.255.255.255 ar.atwola.com atdmt.com avp.ch avp.com avp.ru awaps.net ca.com dispatch.mcafee.com download.mcafee.com download.microsoft.com downloads.microsoft.com engine.awaps.net f-secure.com ftp.f-secure.com ftp.sophos.com go.microsoft.com liveupdate.symantec.com mast.mcafee.com mcafee.com msdn.microsoft.com my-etrust.com nai.com networkassociates.com office.microsoft.com phx.corporate-ir.net secure.nai.com securityresponse.symantec.com service1.symantec.com sophos.com spd.atdmt.com support.microsoft.com symantec.com update.symantec.com updates.symantec.com us.mcafee.com vil.nai.com viruslist.ru windowsupdate.microsoft.com www.avp.ch www.avp.com www.avp.ru www.awaps.net www.ca.com www.f-secure.com www.kaspersky.ru www.mcafee.com www.my-etrust.com www.nai.com www.networkassociates.com www.sophos.com www.symantec.com www.trendmicro.com www.viruslist.com www.viruslist.ru www3.ca.com
O4 - HKLM\..\Run: [SW20] C:\WINDOWS\System32\sw20.exe
O4 - HKLM\..\Run: [SW24] C:\WINDOWS\System32\sw24.exe
C:\WINDOWS\System32\algs.exe
O4 - HKLM\..\Run: [symwsc.exe] C:\ssij.exe
O4 - HKLM\..\Run: [winsync] C:\WINDOWS\System32\oocrkp.exe reg_run
O4 - HKLM\..\Run: [timessquare] C:\windows\timessquare.exe
O4 - HKLM\..\Run: [adtech2005] C:\windows\adtech2005.exe
O4 - HKLM\..\Run: [QOJQ^MLJKvH]X] C:\WINDOWS\System32\valbuieokah.exe
O4 - HKLM\..\Run: []LZROP_INLQL] C:\WINDOWS\system32\jnfbyxpqzfbta.exe
O4 - HKLM\..\RunServices: [QOJQ^MLJKvH]X] C:\WINDOWS\System32\valbuieokah.exe
O4 - HKLM\..\RunServices: []LZROP_INLQL] C:\WINDOWS\system32\jnfbyxpqzfbta.exe
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\SGVpbnJpY2hz\command.exe
Die sehen Teils sehr merkwürdig bzw. schlecht aus. Sehe da auch keine andere Möglichkeit als Neuaufsetzen

ornsta 20.12.2005 16:44
ich setzte es doch gerade neu auf, wollte nur genau wissen, was das problem war, bzw welche files ihr für besonders besorgniserregend (und warum) findet.

thx

Exciter 20.12.2005 20:53
Achso, dann hatte ich dich falsch verstanden. Dein Problem bestand unter anderem im "Trojan.Win32.StartPage.aw" ( u.a. vorhanden in "O4 - HKLM\..\Run: [timessquare] C:\windows\timessquare.exe
und
O4 - HKLM\..\Run: [adtech2005] C:\windows\adtech2005.exe"). Dieser Trojaner ist meines Wissens nach eine Unterart des "Troj/Weasyw-A", welcher ein Backdoor-Trojaner ist, der andere Leute auf deinen PC zugreifen lässt. Allein das ist Grund genug, das System neu aufzuspielen. Ansonsten war eben noch diverse Spyware vorhanden.


Alle Zeitangaben in WEZ +1. Es ist jetzt 14:06 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131