Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Windows2000 Probs --> Logfile (https://www.trojaner-board.de/27764-windows2000-probs-logfile.html)

Bene1981 22.03.2006 21:48
Windows2000 Probs --> Logfile
 
Hi Leute,
ich habe meiner Mitbewohnerin ihrem Rechner letztens eine Netzwerkkarte spendiert, damit sie auch endlich ins Internet kann.
Leider war ihr Rechner (alter 350pII mit 128 RAM auf Windows2000) total verseucht und ich bekomme ein paar Krankheiten partout nicht weg. Hier ist Ihre Logfile...könnt ihr mir weiterhelfen? (Info: Windows Internet Explorer wird nicht genutzt und ist komplett durch die Firewall geblockt; nutze Firefox)

Gruß

Bene


Logfile of HijackThis v1.99.1
Scan saved at 21:47:30, on 22.03.2006
Platform: Windows 2000 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINNT\VPxsYXkgR\xyc2Vs\command.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\Explorer.exe
C:\Programme\ZoneAlarm\zlclient.exe
C:\WINNT\System32\lvhost.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\WINNT\System32\internat.exe
C:\Programme\Sonique\sqstart.exe
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINNT\system32\rundll32.exe
C:\Programme\HiJackThis\HijackThis.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w*w.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://w*w.msn.de/
O2 - BHO: (no name) - {ADCD30FF-0119-4906-8A8B-D52D1EED044B} - C:\WINNT\System32\ddayv.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [cFosDNT] C:\cFosNT\cFosDNT.exe
O4 - HKLM\..\Run: [File Transfer Protocol XP] WinTemp.exe
O4 - HKLM\..\Run: [Spooler SubSystem App] C:\WINNT\System32\spooIsv.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [chat] lvhost.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\RunServices: [File Transfer Protocol XP] WinTemp.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [SoniqueQuickStart] C:\Programme\Sonique\sqstart.exe -nostick
O4 - HKCU\..\Run: [File Transfer Protocol XP] WinTemp.exe
O4 - HKCU\..\Run: [chat] lvhost.exe
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O10 - Hijacked Internet access by WebHancer
O10 - Hijacked Internet access by WebHancer
O10 - Hijacked Internet access by WebHancer
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O17 - HKLM\System\CCS\Services\Tcpip\..\{19A14F00-A50A-473C-8F3E-A7AC546CC01E}: NameServer = 213.191.74.12 213.191.92.84
O17 - HKLM\System\CS1\Services\Tcpip\..\{19A14F00-A50A-473C-8F3E-A7AC546CC01E}: NameServer = 213.191.74.12 213.191.92.84
O20 - Winlogon Notify: App Management - C:\WINNT\system32\gp6ml3j11.dll
O20 - Winlogon Notify: ddayv - C:\WINNT\SYSTEM32\ddayv.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINNT\VPxsYXkgR\xyc2Vs\command.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Service Hosts (ServiceHost) - Unknown owner - C:\WINNT\shost.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe

irrlicht 22.03.2006 22:40
Hallo bene,
mein Rat wäre eine Neuinstallation.Schon aus dem Grund wenn du sie in dein Netzwerk läßt,wollte ich hundertprozentig sicher sein.
Das hier wird schon ein Kampf werden :
O10 - Hijacked Internet access by WebHancer
O10 - Hijacked Internet access by WebHancer
O10 - Hijacked Internet access by WebHancer
Das hier ebenfalls :
O20 - Winlogon Notify: App Management - C:\WINNT\system32\gp6ml3j11.dll
O20 - Winlogon Notify: ddayv - C:\WINNT\SYSTEM32\ddayv.dll
Die gewürfelten Buchstaben sind typisch für eine Look2me Infektion.
Andere Sachen gefallen mir auch nicht,da müßte ich aber erst noch danach googeln.Allerdings ruft mich mein Bett gerade sehr laut.....
Fazit : schneller und sicherer bist du mit einer Neuinstallation dran.
Irrlicht

dartus 23.03.2006 01:16
Hallo,

schließe mich dem Rat zur Neuinstallation von irrlicht an, zumal min. drei Backdoor-Trojaner aktiv sind.
Das System ist darüberhinaus völlig veraltet!

dartus

BataAlexander 23.03.2006 03:07
Hallo,

ich habe mal gehört, für Windows 2000 gibt es schon SP4.
Selbst da Update Rollup gibt es schon seit dem 28. Juni 2005.
Also Anleitung zum Neuaufsetzen beachten.

Gruß

Schrulli

Bene1981 29.03.2006 10:53
Danke für die Tips! Dann werd das System mal neu aufsetzen...
Grüße
Bene


Alle Zeitangaben in WEZ +1. Es ist jetzt 18:06 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19