Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Neuling hat ein Log für Pros (https://www.trojaner-board.de/26726-neuling-hat-log-pros.html)

FKaiser 11.02.2006 15:06
Neuling hat ein Log für Pros
 
Hi
habe mir HJT eben runtergeladen und wollte mal von euch hören was mit meinem PC alles nicht so ganz mit rechten dingen zu geht...!
bitte um schnelle antwort
MFG
FKaiser

Logfile of HijackThis v1.99.1
Scan saved at 14:58:45, on 11.02.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\winlog.exe
C:\Programme\iPod\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\anti_troj.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\winlog.exe
C:\Programme\TELEBAU\Telnet @dsl ADSL USB MODEM\dslmon.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~2\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRA~1\T-Online\T-ONLI~2\Notifier\Notifier.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Appollo\Desktop\Shared Files\Progs\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://www.couldnotfind.com/search_page.html?&account_id=1001038
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://www.couldnotfind.com/search_page.html?&account_id=1001038
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.t-online.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://de.rd.yahoo.com/customize/ie/defaults/sb/ymsgr6/us/*http://www.yahoo.com/ext/search/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h**p://www.couldnotfind.com/search_page.html?&account_id=1001038
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h**p://de.rd.yahoo.com/customize/ie/defaults/su/ymsgr6/us/*h**p://www.yahoo.de
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [key2] C:\WINDOWS\system32\winlog.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iPod\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [anti_troj] C:\WINDOWS\system32\anti_troj.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [sysformat] C:\WINDOWS\system32\sysformat.exe
O4 - HKCU\..\Run: [key2] C:\WINDOWS\system32\winlog.exe
O4 - HKCU\..\Run: [german.exe] C:\WINDOWS\system32\wintems.exe
O4 - HKCU\..\Run: [anti_troj] C:\WINDOWS\system32\anti_troj.exe
O4 - Startup: Watch.lnk = C:\WINDOWS\twain_32\A4S2600X\WATCH.exe
O4 - Global Startup: bootWin.bat
O4 - Global Startup: DSLMON.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O16 - DPF: ppctlcab - h**p://ppupdates.ca.com/downloads/scanner/ppctlcab.cab
O16 - DPF: {771A1334-6B08-4A6B-AEDC-CF994BA2CEBE} (Installer Class) - h**p://www.ysbweb.com/ist/softwares/v4.0/ysb_regular.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} - h**p://playroom.icq.com/odyssey_web11.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - h**p://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E04F391B-6C03-4074-882E-E4873188529C}: NameServer = 217.237.149.225 217.237.150.141
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

felix1 11.02.2006 15:17
Das gefällt mir nicht. Lasse diese Dateien
O4 - HKCU\..\Run: [sysformat] C:\WINDOWS\system32\sysformat.exe
O4 - HKCU\..\Run: [key2] C:\WINDOWS\system32\winlog.exe
O4 - HKCU\..\Run: [german.exe] C:\WINDOWS\system32\wintems.exe
O4 - HKCU\..\Run: [anti_troj] C:\WINDOWS\system32\anti_troj.exe
hier mal prüfen:
Jotti

Ich vermute, dass Du Dir das hier eingefangen hast:
http://www.sophos.de/virusinfo/analy...ojbagleas.html

FKaiser 11.02.2006 15:41
Danke!
hier mal die Jotti auswertung:

>Datei: sysformat.exe
Status: INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme: -

AntiVir Worm/Bagle.FI gefunden
ArcaVir Worm.Beagle.Fj gefunden
Avast Win32:Beagle-HZ gefunden
AVG Antivirus I-Worm/Bagle.JV gefunden
BitDefender Win32.Worm.Bagle.FJ gefunden
ClamAV Worm.Bagle.CP gefunden
Dr.Web Win32.HLLM.Beagle.19829 gefunden
F-Prot Antivirus W32/Bagle.DW@mm gefunden
Fortinet W32/Bagle.DW-mm gefunden
Kaspersky Anti-Virus Email-Worm.Win32.Bagle.fj gefunden
NOD32 Win32/Bagle.FA gefunden
Norman Virus Control W32/Mitglied.PR gefunden
UNA Keine Viren gefunden
VBA32 Email-Worm.Win32.Bagle.fj gefunden


Datei: wintems.exe
Status: INFIZIERT/MALWARE
Entdeckte Packprogramme: -

AntiVir Trojan/Dldr.Bagle.FR.4 gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus I-Worm/Bagle gefunden
BitDefender Win32.Bagle.EX@mm gefunden
ClamAV Keine Viren gefunden
Dr.Web Trojan.DownLoader.6508 gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet PossibleThreat gefunden
Kaspersky Anti-Virus Email-Worm.Win32.Bagle.fn gefunden
NOD32 a variant of Win32/Bagle gefunden
Norman Virus Control Sandbox: W32/Malware; [ General information ]

* **Locates window "NULL [class Shell_TrayWnd]" on desktop.
* Creating several executable files on hard-drive.
* File length: 11743 bytes.

[ Changes to filesystem ]
* Creates file C:\WINDOWS\SYSTEM32\wintems.exe.
* Creates file C:\WINDOWS\SYSTEM32\ban_list.txt.
* Creates file C:\temp\ole320.

[ Changes to registry ]
* Creates key "HKCU\Software\DateTime4".
* Sets value "uid"="698818347" in key "HKCU\Software\DateTime4".
* Sets value "port"="~[" in key "HKCU\Software\DateTime4".
* Creates value "german.exe"="C:\WINDOWS\SYSTEM32\wintems.exe" in key "HKCU\Software\Microsoft\Windows\CurrentVersion\Run".
* Sets value "wdrn"="" in key "HKCU\Software\DateTime4".

[ Network services ]
* Looks for an Internet connection.
* Opens URL: SMTPCheckHost=smtp.wanadoo.fr?p=23422&id=698818347&e=0.
* Opens URL: http://avistrade.ru/prog/img/proizvod/xxx3.php?p=23422&id=698818347&e=0.
* Opens URL: http://mir-vesov.ru/p/lang/CVS/xxx3.php?p=23422&id=698818347&e=0.
* Opens URL: http://monomah-city.ru/vakans/xxx3.php?p=23422&id=698818347&e=0.
* Opens URL: http://pvcps.ru/images/xxx3.php?p=23422&id=698818347&e=0.
* Opens URL: http://roszvetmet.com/images/xxx3.php?p=23422&id=698818347&e=0.
* Opens URL: http://schiffsparty.de/bilder/uploads/xxx3.php?p=23422&id=698818347&e=0.
* Opens URL: http://service6.valuehost.ru/images/xxx3.php?p=23422&id=698818347&e=0.
* Opens URL: http://stroyindustry.ru/service/construction/xxx3.php?p=23422&id=698818347&e=0.
* Opens URL: http://vladzernoproduct.ru/control/sell/t/xxx3.php?p=23422&id=698818347&e=0.
* Opens URL: http://www.13tw22rigobert.de/_themes/kopie-von-fantasie-in-blau/xxx3.php?p=23422&id=698818347&e=0.
* Opens URL: http://www.deadlygames.de/DG/BF/BF-Links/clans/xxx3.php?p=23422&id=698818347&e=0. gefunden
UNA Keine Viren gefunden
VBA32 Email-Worm.Bagle.1 gefunden (mögliche Variante)


Datei: anti_troj.exe
Status: INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme: -

AntiVir Trojan/Dldr.Bagle.FR.1 gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus I-Worm/Bagle gefunden
BitDefender Trojan.Downloader.Bagle.T gefunden
ClamAV Trojan.Bagle.BN gefunden
Dr.Web Win32.HLLM.Beagle.9158 gefunden
F-Prot Antivirus unknown virus gefunden (mögliche Variante)
Fortinet W32/Bagle!dldr gefunden
Kaspersky Anti-Virus Email-Worm.Win32.Bagle.fn gefunden
NOD32 a variant of Win32/Bagle gefunden
Norman Virus Control Mitglied.gen gefunden
UNA Keine Viren gefunden
VBA32 Email-Worm.Bagle.1 gefunden (mögliche Variante)

wie bekomm ich die dateien jetzt am besten von meinem computer und zwar so dass sie auch wirklich gelöscht sind

felix1 11.02.2006 15:57
Du hast, wie ich es schon vermutet habe, einen Backdoortrojaner im System. Dein PC gehört nicht mehr Dir, sondern er ist fremdgesteuert. Die einzige vernünftige Lösung:

http://www.trojaner-board.de/showthread.php?t=12154

FKaiser 11.02.2006 16:02
och nöööö... die gesamte festplatte löschen ???
gibts nicht nen humaneren weg das problem zu lösen ??

felix1 11.02.2006 16:24
Es dürfte keinen Sinn machen, das System zu reparieren. Die von mir aufgezeigten Dateien sind wahrscheinlich nur die Spitze des Eisberges. Da liegen bestimmt noch mehr schädliche Dateien auf der Platte herum.

FKaiser 11.02.2006 16:26
und wie kann ich sehen obs noch mehr dateien sind oder ob das schon alle wären ??

felix1 11.02.2006 16:30
Wenn man z.B. einen escan durchführt und die mit das find.bat erzeugte Log auswertet:
http://www.trojaner-board.de/showthread.php?t=17492

FKaiser 11.02.2006 20:31
hätt da n paar probleme mit diesem eScan programm, zb gibts bei mir niht diesen ordner 'C:\Bases_X' ...

felix1 12.02.2006 10:48
Da hast Du die Anleitung nicht ordentlich gelesen und korrekt ausgeführt. Aber es sollte egal sein ob der escan gelaufen ist oder nicht. Bei dieser Infektion gibt es nur eines:

http://www.trojaner-board.de/showthread.php?t=12154

FKaiser 12.02.2006 15:43
na klasse.... dann heißt es wohl solangsam, lieder und anderen kram vorher sichern...:nixda: :headbang:

felix1 12.02.2006 15:45
Zitat:
Zitat von FKaiser
na klasse.... dann heißt es wohl solangsam, lieder und anderen kram vorher sichern...:nixda: :headbang:
So ist es. Und genau die Anleitung zum Neuaufsetzen beachten, sonst bist Du bald wieder hier.


Alle Zeitangaben in WEZ +1. Es ist jetzt 08:23 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27