Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Bitte um Unterstützung - (https://www.trojaner-board.de/25281-bitte-um-unterstuetzung.html)

salsatigre 03.01.2006 13:27
Bitte um Unterstützung -
 
Hy @all,
wundere mich seit längerem, daß mir beim Download oft eine svchost (nicht scvhost.exe !) auf astronomische Werte (>100 - 200 MB ) ansteigt und habe beim durchforsten durch ein paar Foren und durch Suche in der registry auch eine "komische winsystem.exe" gefunden (aber nicht auf der HDD!).
Und auch eine ctfmon.exe ist mir nicht ganz klar, was die macht.
Damit wir mir geholfen werden kann, habe ich gleich hjt 1.99 installiert und poste mal das logfile:

Logfile of HijackThis v1.99.1
Scan saved at 12:43:01, on 03.01.2006
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
D:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\WINNT\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\UAService7.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
D:\Programme\ScanSoft\OmniPageSE\opware32.exe
D:\PROGRA~1\Logitech\iTouch\iTouch.exe
D:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
D:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\System32\ctfmon.exe
D:\Programme\TELEDAT\WCOM\SYSTEM\ccui.exe
D:\PROGRA~1\Logitech\iTouch\kbdtray\kbdtray.exe
C:\WINNT\regedit.exe
d:\Programme\TELEDAT\WCOM\SYSTEM\ccsrv.exe
d:\Programme\TELEDAT\WCOM\SYSTEM\ccsrv.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
L:\eMule0.46b\emule.exe
D:\Programme\Lavasoft Ad-Aware\Ad-aware.exe
H:\installiert\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - D:\PROGRA~1\FlashGet\jccatch.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - d:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [Omnipage] D:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [zBrowser Launcher] d:\PROGRA~1\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Zone Labs Client] D:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "d:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [Windows_Protect] winsystem.exe
O4 - HKLM\..\Run: [AVGCtrl] "D:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\RunServices: [Windows_Protect] winsystem.exe
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKCU\..\Run: [Windows_Protect] winsystem.exe
O4 - HKCU\..\RunOnce: [CommCenter] d:\Programme\TELEDAT\WCOM\SYSTEM\ccui.exe
O4 - Startup: AntiVir XP.LNK = D:\Programme\AVPersonal\AVWIN.EXE
O8 - Extra context menu item: Alles mit FlashGet laden - D:\PROGRA~1\FlashGet\jc_all.htm
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://d:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://d:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://d:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://d:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Mit FlashGet laden - D:\PROGRA~1\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - D:\PROGRA~1\MICROS~2\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - D:\PROGRA~1\MICROS~2\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - D:\PROGRA~1\MICROS~2\INetRepl.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FlashGet\JetCar.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FlashGet\JetCar.exe
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IncrediMail) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{758E1A65-7368-4084-BA1C-5EC469CDD8B8}: NameServer = 217.237.150.141 217.237.150.97
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINNT\System32\UAService7.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINNT\system32\ZoneLabs\vsmon.exe

Habe ich mir da was eingefangen? Antivir und adaware verhalten sich ruhig!!
Thanx salsatigre

stupormundi 03.01.2006 13:32
Servus!
Diese Einträge
Zitat:
O4 - HKLM\..\Run: [Windows_Protect] winsystem.exe
O4 - HKLM\..\Run: [AVGCtrl] "D:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\RunServices: [Windows_Protect] winsystem.exe
...
O4 - HKCU\..\Run: [Windows_Protect] winsystem.exe
gehören zu dem hier - einem sog. backdoor-trojaner. Damit hast Du auch eine Erklärung für die Erkärung für Deine Probs.
Da kann ich Dir nur diesen Rat geben - Cidre hat in dieser Anleitung ausführlich verlinkt/beschrieben, warum das in diesem Fall die einzig sinnvolle Möglichkeit ist.
Sorry, stupormundi

Rene-gad 03.01.2006 13:36
@salsatigre
Zitat:
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
SP4 ist für Win2K aktuell.
Zitat:
O4 - HKLM\..\Run: [Windows_Protect] winsystem.exe
O4 - HKCU\..\Run: [Windows_Protect] winsystem.exe
Es riecht nach einer RBOT-Variante.
Bitte der Anleitung zum Neuafsetzen aus meiner Signatur folgen.
EDIT:
@stupormundi
War wiedermal zu langsam ;)
Zitat:
O4 - HKLM\..\Run: [AVGCtrl] "D:\Programme\AVPersonal\AVGNT.EXE" /min
Den Eintrag finde ich trotzdem gut :)

salsatigre 03.01.2006 16:27
buhu,
habe mir das szenario mit dem kompromittierten HDD schon mal durchgelesen aber ist ja echt der hammer mit den trojanern.
Danke, auch wenn die Nachricht nicht so gut ist, zumindest habe ich jetzt ne eindeutige Info.
Also bis ... hoffentlich nicht zu, bald ,als Opfer wieder *g*


Alle Zeitangaben in WEZ +1. Es ist jetzt 08:53 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19