Trojaner-Board
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Was bedeutet der Eintrag unter "O 20" ? (https://www.trojaner-board.de/28658-bedeutet-eintrag-o-20-a.html)

wolfi 21.04.2006 17:24
Was bedeutet der Eintrag unter "O 20" ?
 
Guten Tag,

hier mein Log !

Was für eine Bedeutung hat der Eintrag unter "O 20" und "O 2"

Seit dem Besuch der Seite "globalsecurity.com" ist bei mir der Eintrag vorhanden.

Vielen Dank für einen Rat.

Wolf

Logfile of HijackThis v1.99.1
Scan saved at 18:18:56, on 21.04.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\cisvc.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\Explorer.EXE
C:\WINNT\SYSTEM32\3cmlink.exe
C:\WINNT\SYSTEM32\3cshtdwn.exe
C:\WINNT\SYSTEM32\3cmlink.exe
C:\WINNT\system32\rundll32.exe
C:\Dokumente und Einstellungen\Schink1\Eigene Dateien\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = -
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {E8DEC8EA-8D80-4ec6-AF6B-190A765F1D2F} - C:\WINNT\system32\ddccd.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [3c1807pd] C:\WINNT\SYSTEM32\3cmlink.exe RunServices \Device\3cpipe-3c1807pd
O4 - HKCU\..\Run: [Registry Optimierer] C:\Programme\Registry Optimierer\RegOptimierer.exe /d
O20 - Winlogon Notify: ddccd - C:\WINNT\SYSTEM32\ddccd.dll
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe

wolfi 21.04.2006 22:36
Nach einigem Suchen habe ich die Lösung gefunden.

Hier die Dokumentation dazu :


[04/21/2006, 23:27:47] - VirtumundoBeGone v1.5 ( "C:\Dokumente und Einstellungen\Schink1\Desktop\VirtumundoBeGone.exe" )
[04/21/2006, 23:28:05] - Detected System Information:
[04/21/2006, 23:28:05] - Windows Version: 5.0.2195, Service Pack 4
[04/21/2006, 23:28:05] - Current Username: Wolfgang (Admin)
[04/21/2006, 23:28:05] - Windows is in SAFE mode with Networking.
[04/21/2006, 23:28:05] - Searching for Browser Helper Objects:
[04/21/2006, 23:28:05] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (AcroIEHlprObj Class)
[04/21/2006, 23:28:05] - BHO 2: {E8DEC8EA-8D80-4ec6-AF6B-190A765F1D2F} ()
[04/21/2006, 23:28:05] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/21/2006, 23:28:05] - Checking for HKLM\...\Winlogon\Notify\ddccd
[04/21/2006, 23:28:05] - Found: HKLM\...\Winlogon\Notify\ddccd - This is probably Virtumundo.
[04/21/2006, 23:28:05] - Assigning {E8DEC8EA-8D80-4ec6-AF6B-190A765F1D2F} MSEvents Object
[04/21/2006, 23:28:05] - BHO list has been changed! Starting over...
[04/21/2006, 23:28:05] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (AcroIEHlprObj Class)
[04/21/2006, 23:28:05] - BHO 2: {E8DEC8EA-8D80-4ec6-AF6B-190A765F1D2F} (MSEvents Object)
[04/21/2006, 23:28:05] - ALERT: Found MSEvents Object!
[04/21/2006, 23:28:05] - Finished Searching Browser Helper Objects
[04/21/2006, 23:28:05] - *** Detected MSEvents Object
[04/21/2006, 23:28:05] - Trying to remove MSEvents Object...
[04/21/2006, 23:28:06] - Terminating Process: IEXPLORE.EXE
[04/21/2006, 23:28:06] - Terminating Process: RUNDLL32.EXE
[04/21/2006, 23:28:06] - Disabling Automatic Shell Restart
[04/21/2006, 23:28:06] - Terminating Process: EXPLORER.EXE
[04/21/2006, 23:28:06] - Suspending the NT Session Manager System Service
[04/21/2006, 23:28:06] - Terminating Windows NT Logon/Logoff Manager
[04/21/2006, 23:28:06] - Re-enabling Automatic Shell Restart
[04/21/2006, 23:28:06] - File to disable: C:\WINNT\system32\ddccd.dll
[04/21/2006, 23:28:06] - Renaming C:\WINNT\system32\ddccd.dll -> C:\WINNT\system32\ddccd.dll.vir
[04/21/2006, 23:28:06] - File successfully renamed!
[04/21/2006, 23:28:06] - Removing HKLM\...\Browser Helper Objects\{E8DEC8EA-8D80-4ec6-AF6B-190A765F1D2F}
[04/21/2006, 23:28:06] - Removing HKCR\CLSID\{E8DEC8EA-8D80-4ec6-AF6B-190A765F1D2F}
[04/21/2006, 23:28:06] - Adding Kill Bit for ActiveX for GUID: {E8DEC8EA-8D80-4ec6-AF6B-190A765F1D2F}
[04/21/2006, 23:28:06] - Deleting ATLEvents/MSEvents Registry entries
[04/21/2006, 23:28:06] - Removing HKLM\...\Winlogon\Notify\ddccd
[04/21/2006, 23:28:06] - Searching for Browser Helper Objects:
[04/21/2006, 23:28:06] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (AcroIEHlprObj Class)
[04/21/2006, 23:28:06] - Finished Searching Browser Helper Objects
[04/21/2006, 23:28:06] - Finishing up...
[04/21/2006, 23:28:06] - A restart is needed.
[04/21/2006, 23:28:25] - Attempting to Restart via STOP error (Blue Screen!)

Kann ich davon ausgehen, daß der Rechner nun "sauber" ist ?

Viele Grüsse
Wolf

rotaran 21.04.2006 22:57
Sauber ? Gute Frage... laut dem Log File hats Du ein Backdoor Trojaner auf deinem System. Allerdings kenn ich das Programm nicht was Du da zum reinigen verwendest hast...

Poste doch mal ein neues Log File.

Bin kein Profi... ;) Also lieber warten was die andern "Chraks" dazu sagen.

wolfi 21.04.2006 23:20
Hier ist das hjt-log nach dem hoffentlich erfolgreichen "Bereinigen" :

Logfile of HijackThis v1.99.1
Scan saved at 00:16:17, on 22.04.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\cisvc.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\Explorer.EXE
C:\WINNT\SYSTEM32\3cmlink.exe
C:\WINNT\SYSTEM32\3cshtdwn.exe
C:\WINNT\SYSTEM32\3cmlink.exe
C:\WINNT\system32\rundll32.exe
C:\WINNT\system32\cidaemon.exe
C:\Dokumente und Einstellungen\Schink1\Eigene Dateien\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = -
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [3c1807pd] C:\WINNT\SYSTEM32\3cmlink.exe RunServices \Device\3cpipe-3c1807pd
O4 - HKCU\..\Run: [Registry Optimierer] C:\Programme\Registry Optimierer\RegOptimierer.exe /d
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe

Möglicherweise ist ja noch was versteckt an Malware :heulen:

Shes nubs 21.04.2006 23:39
Hi wolfi,

lade dir auf jeden Fall AV PE herunter. Deinem Log zufolge hast du kein Antivirenprogramm...na dann wird's 'mal Zeit!! Da solltest du dann sehen, ob sich noch Malware auf einem PC versteckt. Oder lade dir Ad-Aware Se Personal herunter <----- ein ziemlich gutes Prog.


Ich bin eigentlich gegen das Downloaden von vielen Programmen, aber ein AV-Scanner ist unerlässlich.

An deinem neuen! Log konnte ich auf jeden Fall nichts merkwürdiges feststellen.
Ich denke, da hast du dir selbst geholfen....gute Arbeit.

dartus 22.04.2006 00:08
@rotaran,

wo siehst Du da einen Backdoor?
Wenn Du Dir nicht sicher bist, lass es mit Deinen Kommentaren!

@wolfi,

hast Du bereits mit Hijackthis Einträge gefixt?
Mit Ausnahme dieser Einträge, die gefixt werden können, sieht Dein Logfile sauber aus:
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = about:blank
re\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = -

dartus

rotaran 22.04.2006 00:38
@ dartus

Oki doki ........ :cool:

wolfi 22.04.2006 16:08
Guten Tag,

ich bitte um einen Rat:

Der bei mir vorgefundene Trojaner wurde von "Dr.Web" beim Jottis Malwarescan als "Trojan.Virtumond" gefunden.

Was hätte er auf meinem Rechner "gemacht", wenn er nicht gelöscht worden wäre ?

Gibt es zu ihm weitere Infos ?

Viele Grüsse
Wolf

Wildone 22.04.2006 16:53
Hallo,
soweit mir bekannt ist spielt vundo.b (alias Virtumond) lediglich Popups ein. Du hast ihn ja schon mit der richtigen Methode entfernt, das sollte es dann eigentlich auch schon gewesen sein.


Grüße Wildone

cosinus 22.04.2006 17:19
@wolfi:
Zitat:
O20 - Winlogon Notify: ddccd - C:\WINNT\SYSTEM32\ddccd.dll
Ist die Datei ddccd.dll noch vorhanden?

Wildone 22.04.2006 17:27
Hallo,
*hüstel*
Zitat:
[04/21/2006, 23:28:06] - File to disable: C:\WINNT\system32\ddccd.dll
[04/21/2006, 23:28:06] - Renaming C:\WINNT\system32\ddccd.dll -> C:\WINNT\system32\ddccd.dll.vir
[04/21/2006, 23:28:06] - File successfully renamed!

Grüße Wildone

wolfi 22.04.2006 17:44
Sie ist nicht mehr da.

Aber noch eine Frage: Der Trojaner hat nach den Angaben von
Symantec u.a. Dateien gelöscht und Dateien verändert sowie die
Systemleistung herabgesetzt.

Vermutlich ist dieser "Schaden" auch nach dem Entfernen des Trojaner noch
da.

Ich habe den Eindruck, daß der Rechner hier ein wenig "lahmer" geworden ist.

Wie kann ich denn das wieder verändern ?

Gibts dazu Erfahrungen ?

Viele Grüsse
Wolf

Wildone 22.04.2006 17:50
Hallo,
Zitat:
Aber noch eine Frage: Der Trojaner hat nach den Angaben von
Symantec
Link?
Meiner Erfahrung nach ist mit der Entfernung der betreffenden Datei und der Registryeinträge die Sache gegessen. Habe auch noch nichts von einer Verlangsamung des Systems danach gehört.


Grüße Wildone

wolfi 22.04.2006 21:02
Hier ist der Hinweis von Symantec (siehe unter "Schaden"):

http:http://www.symantec.com/region/de/te...n.vundo.b.html

Wildone 22.04.2006 22:33
Hallo,
du weißt aber schon das n/a wahrscheinlich not available heißen soll, also es liegen keine Informationen vor das er soetwas macht. Also das einzige was über den Schaden gesagt wird ist:
Zitat:
Funktion: Zeigt Popup-Werbung auf dem angegriffenen Computer an.
Und das ist auch das einzige was mir als "Schaden" bekannt ist.


Grüße Wildone


Alle Zeitangaben in WEZ +1. Es ist jetzt 05:03 Uhr.
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131