Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Programme schliessen automatisch!! Hilfe!!! (https://www.trojaner-board.de/27721-programme-schliessen-automatisch-hilfe.html)

greatone 21.03.2006 16:44
Programme schliessen automatisch!! Hilfe!!!
 
Hallo!
habe ein großes problem! bei mir schliessen manche programme automatisch nach dem ich sie gestartet habe, z.b bei emule und brennsoft! und zusätlich verschwindet alle 15-20min. komplett meine taskleiste und ladet neu wobei dann manche tasksympole nicht mehr angezeigt werden!(explorer.exe ladet sich immer neu) kann mir jemand helfen?? hier ist die hijack log datei


Logfile of HijackThis v1.99.1
Scan saved at 16:43:30, on 21.03.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
G:\WINDOWS\System32\smss.exe
G:\WINDOWS\system32\winlogon.exe
G:\WINDOWS\system32\services.exe
G:\WINDOWS\system32\lsass.exe
G:\WINDOWS\system32\Ati2evxx.exe
G:\WINDOWS\system32\svchost.exe
G:\WINDOWS\System32\svchost.exe
G:\WINDOWS\system32\Ati2evxx.exe
G:\WINDOWS\system32\spoolsv.exe
G:\WINDOWS\system32\rundll32.exe
G:\Programme\Java\jre1.5.0_06\bin\jusched.exe
G:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
G:\Programme\NetLimiter\NetLimiter.exe
G:\Programme\AVPersonalPremium\AVGNT.EXE
G:\WINDOWS\system32\ctfmon.exe
G:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
G:\PROGRA~1\Ashampoo\ASHAMP~1\PopUpKiller.exe
C:\Program Files\SpySheriff\SpySheriff.exe
G:\Programme\AVPersonalPremium\AVGUARD.EXE
G:\Programme\AVPersonalPremium\AVESVC.EXE
G:\Programme\AVPersonalPremium\AVWUPSRV.EXE
G:\Programme\ANYCOM\Blue USB-120-240\bin\btwdins.exe
G:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
G:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxMediaDB.exe
G:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxWatch.exe
G:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
G:\Programme\AVPersonalPremium\AVMAILC.EXE
G:\Programme\Raxco\PerfectDisk\PDSched.exe
G:\Programme\Mozilla Firefox\firefox.exe
G:\WINDOWS\explorer.exe
C:\Progz\hijackthis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - G:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: IE PopUp-Killer - {49E0E0F0-5C30-11D4-945D-000000000003} - G:\PROGRA~1\Ashampoo\ASHAMP~1\PopUp.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - G:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - G:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [SunJavaUpdateSched] G:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "G:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "G:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroFilterCheck] G:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NetLimiter] G:\Programme\NetLimiter\NetLimiter.exe /s
O4 - HKLM\..\Run: [AVGCtrl] G:\Programme\AVPersonalPremium\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] G:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "G:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Ashampoo PopUpBlocker] G:\PROGRA~1\Ashampoo\ASHAMP~1\PopUpKiller.exe
O4 - HKCU\..\Run: [eMuleAutoStart] G:\Programme\eMule\emule.exe -AutoStart
O4 - HKCU\..\Run: [SpySheriff] C:\Program Files\SpySheriff\SpySheriff.exe
O4 - Startup: AntiVir Guard.lnk = G:\Programme\AVPersonalPremium\AVGNT.EXE
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = G:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://G:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth - G:\Programme\ANYCOM\Blue USB-120-240\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - G:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - G:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - G:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - G:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Programme\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'avsda.dll' missing
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "G:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: extxerox - G:\WINDOWS\SYSTEM32\extxerox.dll
O23 - Service: AntiVir Mail Security Service (AntiVirMailService) - AntiVir PersonalProducts GmbH. - G:\Programme\AVPersonalPremium\AVMAILC.EXE
O23 - Service: AntiVir PersonalEdition Premium Service (AntiVirService) - AntiVir PersonalProducts GmbH - G:\Programme\AVPersonalPremium\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - G:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - G:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVE Service (AVEService) - AntiVir PersonalProducts GmbH - G:\Programme\AVPersonalPremium\AVESVC.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - G:\Programme\AVPersonalPremium\AVWUPSRV.EXE
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - G:\Programme\ANYCOM\Blue USB-120-240\bin\btwdins.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - G:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - G:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - G:\Programme\Sunbelt Software\Personal Firewall 4\kpf4ss.exe
O23 - Service: PDEngine - Raxco Software, Inc. - G:\Programme\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - G:\Programme\Raxco\PerfectDisk\PDSched.exe
O23 - Service: LiveShare P2P Server (RoxLiveShare) - Sonic Solutions - G:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxLiveShare.exe
O23 - Service: RoxMediaDB - Sonic Solutions - G:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxMediaDB.exe
O23 - Service: RoxUpnpRenderer (RoxUPnPRenderer) - Sonic Solutions - G:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCom\RoxUpnpRenderer.exe
O23 - Service: RoxUpnpServer - Sonic Solutions - G:\Programme\Roxio\WinOnCD 8\Digital Home\RoxUpnpServer.exe
O23 - Service: Roxio Hard Drive Watcher (RoxWatch) - Sonic Solutions - G:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxWatch.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - G:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: T-DSL SpeedManager (TSMService) - T-Systems International - G:\Programme\T-DSL SpeedManager\TSMSvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - G:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe



1000 dank im voraus

Wildone 21.03.2006 16:51
Hallo,
scanne dein System mal mit F-Secure Blacklight und poste das Log (wird nach dem scan automatisch im selben Pfad erstellt fsbl**.txt).

Außerdem scannst du noch mit Rootkitrevealer uns postest auch dieses Log (File>>Save)
Achte darauf während dem Scan nichts anderes zu machen, und auch möglichst keine anderen Programme im Hintergrund laufen zu lassen.


Grüße Wildone

greatone 21.03.2006 17:06
rootkit ist noch am scanen aber der andere link(blacklight) funktioniert nicht!!!!

Wildone 21.03.2006 17:10
Hallo,
ich habe doch extra gesagt du sollst nichts nebenher machen wenn Rootkitrevealer scannt, und jetzt postest du hier. :rolleyes:

Und was heißt funktioniert nicht, download funktioniert nicht? Scan funktioniert nicht? Fehlermeldung?


Grüße Wildone

greatone 21.03.2006 17:12
Error! The requested page do not exist

Wildone 21.03.2006 17:17
Hallo,
versuche es noch mal mit dem Link zum Direktdownload.
Funktioniert es dann?


Grüße Wildone

greatone 21.03.2006 17:18
die selbe fehlermeldung!!!!

Wildone 21.03.2006 17:23
Hallo,
versuch es mal hier.
Funktioniert es da?
Kannst du mal einen Screenshot von der Fehlermeldung posten?

Achja, und benutze bitte nicht meherer Ausrufezeichen hinereinander, ich hasse das.

Grüße Wildone

greatone 21.03.2006 17:31
ja hat funktioniert!!!!
jetzt ist aber mein rootkit beim speichern der log file abgestüzt!!! was nun??? bist du heute abend auch online???

Wildone 21.03.2006 17:34
Hallo,
ja wahrscheinlich schon.
Aber lass mal Blacklight noch kurz laufen das dauert nur ein paar Sekunden.

Dann nochmal Rootkitrevealer aber dieses mal machst du wirklich nichts nebenher!


Grüße Wildone

greatone 21.03.2006 17:34
hier ist die blacklight log file

03/21/06 17:31:50 [Info]: BlackLight Engine 1.0.32 initialized
03/21/06 17:31:50 [Info]: OS: 5.1 build 2600 (Service Pack 2)
03/21/06 17:31:51 [Note]: 7019 4
03/21/06 17:31:51 [Note]: 7005 0
03/21/06 17:31:55 [Note]: 7006 0
03/21/06 17:31:56 [Note]: 7011 3012
03/21/06 17:31:56 [Note]: FSRAW library version 1.7.1015
03/21/06 17:32:39 [Info]: Hidden file: G:\WINDOWS\system32\extxerox.dll
03/21/06 17:32:39 [Note]: 10002 1
03/21/06 17:32:44 [Info]: Hidden file: G:\WINDOWS\system32\socket573.sys
03/21/06 17:32:44 [Note]: 10002 1
03/21/06 17:33:37 [Note]: 7007 0

greatone 21.03.2006 17:37
ich poste die rootkit log heute abend, bzw. in 2 stunden ungefähr

Wildone 21.03.2006 17:40
Hallo,
erstmal, du wirst deinen Rechner neu aufsetzen müssen, da du ein Rootkit auf dem System hast. Dieses gräbt sich so tief ein (es war übrigens wohl auch ein externes Programm das die Fehlermeldung ausgegeben hat!) das man es nicht beseitigen kann.
Wahrscheinlich hast du dir es über Cracks oder ähnliches geholt.
Mich würde jetzt noch interessieren was für Malware es genau ist, benenne mal die beiden Dateien:
G:\WINDOWS\system32\extxerox.dll
G:\WINDOWS\system32\socket573.sys
mit der "Rename" Funktion von Blacklight um (Neustart) und lade dann die beiden Dateien:
G:\WINDOWS\system32\extxerox.dll.ren
G:\WINDOWS\system32\socket573.sys.ren

hier hoch und poste das Ergebnis.


Grüße Wildone

greatone 22.03.2006 00:03
Habe die 2 dateien einfach umbenannt mit blacklight, einen neustart durchgeführt und jetzt geht alles so, als wäre nie etwas gewesen!
Oder trügt der Schein??

Trotzdem 1000 Dank für deine bemühungen!! Vielen Dank

Gruß greatone:party:

Wildone 22.03.2006 00:16
Hallo,
der Schein trügt, wenn du wüßtest was ein Rootkit ist kämst du auch gar nicht auf die Idee das jetzt wieder alles in Ordnung ist. Es wurden alle Anfragen deines Computers in einer niedrigeren Ebene umgeleitet und beliebig modifiziert wieder ausgegeben. Kannst du die Dateien noch hochladen, da das Rootkit recht neu zu sein scheint und mich interessiert ob es die AV Hersteller überhaupt schon erkennen.
Wenn du ein nur halbwegs vertrauenswürdiges System haben willst wirst du an einem Neuaufsetzen nicht vorbei kommen.



Grüße Wildone

greatone 22.03.2006 16:57
wie soll ich denn diese 2 dateien hochladen im kavkazchat???? oder wie?? verstehe nicht genau!!!

Wildone 22.03.2006 17:05
Hallo,
ich habe doch schonmal gesagt das ich es nicht leiden kann wenn man mehr als ein Satzzeichen hintereinander macht.

Und ich verstehe deine Frage ehrlich gesagt nicht, was ist ein kavkazchat?

Du lädst die Dateien auf dieser Seite:
www.virustotal.com
hoch und teilst hier das Ergebnis mit.


Grüße Wildone

greatone 22.03.2006 18:13
wenn ich die adresse www.virustotal.com eingebe komm ich auf die seite kavkazchat.com, irgendwas russisches

greatone 22.03.2006 18:15
aha, musste www.virustotal.com/flash eingeben

greatone 22.03.2006 18:22
This is a report processed by VirusTotal on 03/22/2006 at 18:22:05 (CET) after scanning the file "extxerox.dll.ren" file.

Antivirus VersionUpdate Result
AntiVir 6.34.0.14 03.22.2006 BDS/Haxdoor.GJ.1
Avast 4.6.695.0 03.22.2006 no virus found
AVG 386 03.22.2006 no virus found
Avira 6.34.0.53 03.22.2006 BDS/Haxdoor.GJ.1
BitDefender 7.2 03.22.2006 Generic.Malware.SFYlwdld.09825295
CAT-QuickHeal 8.00 03.22.2006 no virus found
ClamAV devel-20060126 03.22.2006 no virus found
DrWeb 4.33 03.22.2006 Trojan.PWS.GoldSpy
eTrust-InoculateIT 23.71.108 03.22.2006 no virus found
eTrust-Vet 12.4.2129 03.22.2006 Win32/Starimp!generic
Ewido 3.5 03.22.2006 Logger.Goldun.ih
Fortinet 2.71.0.0 03.22.2006 Haxdor!tr
F-Prot 3.16c 03.22.2006 no virus found
Ikarus 0.2.59.0 03.22.2006 Trojan-Spy.Win32.Goldun.IH
Kaspersky 4.0.2.24 03.22.2006 Trojan-Spy.Win32.Goldun.ih
McAfee 4724 03.22.2006 no virus found
NOD32v2 1.1455 03.22.2006 a variant of Win32/Spy.Goldun.GU
Norman 5.70.10 03.22.2006 W32/Haxdoor.ABQ
Panda 9.0.0.4 03.21.2006 Trj/Goldun.HP
Sophos 4.03.0 03.22.2006 Troj/Haxdor-Fam
Symantec 8.0 03.22.2006 no virus found
TheHacker 5.9.6.117 03.21.2006 Trojan/Spy.Goldun.ih
UNA 1.83 03.22.2006 Trojan.Spy.Win32.Goldun
VBA32 3.10.5 03.22.2006 Trojan-Spy.Win32.Goldun.ih

Wildone 22.03.2006 18:24
Hallo,
Zitat:
wenn ich die adresse www.virustotal.com eingebe komm ich auf die seite kavkazchat.com, irgendwas russisches
und du willst mir sagen das alles wieder in Ordnung ist? Ganz ehrlich, ich denke das ich bisher noch niemanden jemals hier hatte der noch sowenig Kontrolle über sein System hat wie du. Du kannst vielleicht noch den PC anschalten, nachdem dein System dann bootet gehört dem Rootkitautor dein System, und der läßt dich genau das machen was er noch zulassen will...
Gibt es schon Ergebnisse? (*erledigt*)


Grüße Wildone

greatone 22.03.2006 18:25
This is a report processed by VirusTotal on 03/22/2006 at 18:26:32 (CET) after scanning the file "socket573.sys.ren" file.

Antivirus Version Update Result
AntiVir 6.34.0.14 03.22.2006 no virus found
Avast 4.6.695.0 03.22.2006 no virus found
AVG 386 03.22.2006 no virus found
Avira 6.34.0.53 03.22.2006 no virus found
BitDefender 7.2 03.22.2006 no virus found
CAT-QuickHeal 8.00 03.22.2006 no virus found
ClamAV devel-20060126 03.22.2006 no virus found
DrWeb 4.33 03.22.2006 no virus found
eTrust-InoculateIT 23.71.108 03.22.2006 no virus found
eTrust-Vet 12.4.2129 03.22.2006 Win32/Starimp!generic
Ewido 3.5 03.22.2006 Logger.Goldun.ih
Fortinet 2.71.0.0 03.22.2006 Haxdor!tr
F-Prot 3.16c 03.22.2006 no virus found
Ikarus 0.2.59.0 03.22.2006 Trojan-Spy.Win32.Goldun.IH
Kaspersky 4.0.2.24 03.22.2006 Trojan-Spy.Win32.Goldun.ih
McAfee 4724 03.22.2006 no virus found
NOD32v2 1.1455 03.22.2006 Win32/Rootkit.Agent.AT
Norman 5.70.10 03.22.2006 W32/Haxdoor.ABR
Panda 9.0.0.4 03.21.2006 no virus found
Sophos 4.03.0 03.22.2006 Troj/Haxdor-Gen
Symantec 8.0 03.22.2006 no virus found
TheHacker 5.9.6.117 03.21.2006 Trojan/Spy.Goldun.ih
UNA 1.83 03.22.2006 Trojan.Spy.Win32.Goldun
VBA32 3.10.5 03.22.2006 Trojan-Spy.Win32.Goldun.ih

greatone 22.03.2006 18:28
kannst du mir helfen mein system wieder unter kontrolle zu bringen? oder ist eine neuinstallation von win die einzigste lösung? danke nochmals für deine bemühungen:party:

Wildone 22.03.2006 18:31
Hallo,
also die AV Hersteller kennen ihn schon, wenn auch zum Teil nur generisch.
Bleibt für dich nur noch ein Neuaufsetzen, hier die Anleitung wie du dabei und bei der anschließenden Absicherung vorgehen solltest.
Edit
Nein, wie gesagt ein Bereinigung ist leider nicht möglich, sorry.

Grüße Wildone


Alle Zeitangaben in WEZ +1. Es ist jetzt 11:09 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19