Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   HJT-Log bitte auswerten,wegen ibm00001.exe (https://www.trojaner-board.de/29099-hjt-log-bitte-auswerten-wegen-ibm00001-exe.html)

Ubuntu 08.05.2006 21:26
HJT-Log bitte auswerten,wegen ibm00001.exe
 
Hallo!
Hab mir mehrere Viren, Trojaner,usw eingefangen. Hab den großteil jetzt schon beseitigt, allerdings is wohl noch was da. Die meldung wegen der Datei "ibm00001.exe" kommt jetzt immer.
Wär toll wenn mir jemand helfen würde!

Logfile of HijackThis v1.99.1
Scan saved at 21:49:43, on 08.05.2006
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.51 SP2 (5.51.4807.2300)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
f:\mssql7\binn\sqlservr.exe
D:\Programme\Norton AntiVirus\navapsvc.exe
D:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
D:\TapeWare\TWWINSDR.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
f:\mssql7\binn\sqlagent.exe
C:\WINNT\System32\igfxtray.exe
C:\WINNT\System32\hkcmd.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
D:\Tools\FreeMem Professional\FMEMPRO.EXE
F:\mssql7\Binn\sqlmangr.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\WINNT\explorer.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
C:\Dokumente und Einstellungen\***\Desktop\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://w*w.t-online.de/software/ie401/search.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://w*w.sparkasse-bielefeld.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = www
F2 - REG:system.ini: Shell=explorer.exe "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.exe"
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\medienplayer\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {196B9CB5-4C83-46F7-9B06-9672ECD9D99B} - C:\WINNT\system32\winbrume.dll (file missing)
O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - D:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - D:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [IgfxTray] C:\WINNT\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\System32\hkcmd.exe
O4 - HKLM\..\Run: [SysTray] c:\Program Files\wakx.exe
O4 - HKLM\..\Run: [37e34e7.exe] C:\WINNT\System32\37e34e7.exe
O4 - HKLM\..\Run: [eventwvr] C:\WINNT\System32\eventwvr.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe"
O4 - HKLM\..\RunServices: [eventwvr] C:\WINNT\System32\eventwvr.exe
O4 - HKCU\..\Run: [FreeMem Pro] "D:\Tools\FreeMem Professional\FMEMPRO.EXE" Startup
O4 - HKCU\..\Run: [shell] "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.exe"
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - HKCU\..\Run: [37e34e7.exe] C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\37e34e7.exe
O4 - HKCU\..\Run: [eventwvr] C:\WINNT\System32\eventwvr.exe
O4 - Global Startup: Dienst-Manager.lnk = F:\mssql7\Binn\sqlmangr.exe
O4 - Global Startup: Erinnerungen für Microsoft Works-Kalender.lnk = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O14 - IERESET.INF: START_PAGE_URL=http://w*w.t-online.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{E8A54196-D559-4BBB-A079-D196EFD11209}: NameServer = 192.168.0.1
O20 - Winlogon Notify: igfxcui - C:\WINNT\SYSTEM32\igfxsrvc.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - D:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - D:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - D:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SPBBCSvc - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: TapeWare - Unknown owner - D:\TapeWare\TWWINSDR.EXE

felix1 08.05.2006 21:30
Lasse die Datei:
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.exe
hier prüfen
virustotal jotti Kaspersky
und teile die Ergebnisse mit.

Um den Rest kümmern wir uns später.

irrlicht 08.05.2006 21:33
Hallo Ubuntu,
der hier steckt in deinem System :http://www.sophos.de/virusinfo/analy...ojtorpigs.html
Wie ich dem hier entnehme,nimmst du am Onlinebanking teil ?
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://w*w.sparkasse-bielefeld.de/
Neuaufsetzen ist angebracht.Kennwörter ändern ebenfalls.
Irrlicht

felix1 08.05.2006 21:52
Zitat:
Zitat von irrlicht
Hallo Ubuntu,
der hier steckt in deinem System :http://www.sophos.de/virusinfo/analy...ojtorpigs.html
Wie ich dem hier entnehme,nimmst du am Onlinebanking teil ?
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://w*w.sparkasse-bielefeld.de/
Neuaufsetzen ist angebracht.Kennwörter ändern ebenfalls.
Irrlicht

@Irrlicht
Denke mal, dass Du auch recht haben wirst. Ich möchte aber die Gewissheit haben, dass das was ich sehe, auch das ist, was ich denke.

LG
Der Felix

cosinus 08.05.2006 22:08
Zitat:
O4 - HKLM\..\Run: [eventwvr] C:\WINNT\System32\eventwvr.exe
Wohl dieser Schädling.
Zitat:
O4 - HKLM\..\Run: [SysTray] c:\Program Files\wakx.exe
O4 - HKLM\..\Run: [37e34e7.exe] C:\WINNT\System32\37e34e7.exe
Auch wenn ich das seh wird mir schlecht...

Zitat:
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.51 SP2 (5.51.4807.2300)
Und ein absolut veraltetes System. Das schreit förmlich nach neu aufsetzen. :kloppen:

Ubuntu 09.05.2006 09:23
Hallo!
Danke für die schnellen Antworten!

@felix1
Ich kann die Datei leider nicht scannen, da ich sie vor ein paar Tagen schon selbst gelöscht habe.

Was das "neu aufsetzen" betrifft. ihr habt bestimmt recht,dass das das beste wär. Allerdings ist das der PC von meinem Vater und dazu noch nen Firmenpc mit jeder menge Software von der ich keine Ahnung hab und mal von nem Fachmann installiert und konfiguriert wurde.
Deswegen bin ich auch nen bisschen nervös und es wär toll wenn es noch nen anderen weg geben würde das ganze sicher zumachen!

Vielen Dank!

felix1 09.05.2006 10:26
Lese Dir bitte den Link genau durch:
http://www.pc-experience.de/wbb2/thr...threadid=18323

Dann weisst Du, was zu tun ist.

Ubuntu 09.05.2006 10:58
@felix1

Ich habe deine Kritik verstanden und kann das auch gut nachvollziehen. In meinem Fall ist es allerdings so, das es sich hier um ein kleines Familienunternehmen handelt und der betroffene PC nich allein für Firmenzwecke sondern genauso für private Zwecke von der ganzen Familie genutzt wird. Es handelt sich also hierbei keinesweg um eine Ausnutzung eurer Hilfestellungen. Für die ihr auch meinen vollen Respekt und Anerkennung bekommt.
Also falls du dich noch umentscheiden solltest und mir trotzdem helfen würdest, wär ich darüber sehr glücklich, andernfalls muss ich deine Entscheidung wohl so hinnehmen.

PS: ich habe in der zwischen zeit selbst ein wenig weiter gemacht und hoffe, dass das nich falsch war. hier meine änderungen:
ich habe folgende einträge mit HJT gefixt:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
F2 - REG:system.ini: Shell=explorer.exe "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.exe"
O4 - HKLM\..\Run: [SysTray] c:\Program Files\wakx.exe
O4 - HKLM\..\Run: [37e34e7.exe] C:\WINNT\System32\37e34e7.exe
O4 - HKLM\..\Run: [eventwvr] C:\WINNT\System32\eventwvr.exe
O4 - HKLM\..\RunServices: [eventwvr] C:\WINNT\System32\eventwvr.exe
O4 - HKCU\..\Run: [shell] "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.exe"
O4 - HKCU\..\Run: [37e34e7.exe] C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\37e34e7.exe
O4 - HKCU\..\Run: [eventwvr] C:\WINNT\System32\eventwvr.exe

Rene-gad 09.05.2006 11:01
@Ubuntu
Zitat:
PS: ich habe in der zwischen zeit selbst ein wenig weiter gemacht und hoffe, dass das nich falsch war.
Sorry, aber ich galube, cosinus hat schon Dir eine richtige Empfehlung gegeben.

felix1 09.05.2006 11:07
Schaue Dir meine Posts, die von Irrlicht, Cosinus und Rene-Gad an. Es geht hier, unabhängig ob Firmen- oder Privat-PC, nicht darum ob ein Helfenwollen sein sollte oder nicht. Es geht eigentlich darum, auch wenn es ein Firmen-PC ist, wo vielleicht wichtige Firmendaten drauf sind, dass der PC nicht mehr in einen sicheren Zustand versetzt werden kann, mit dem man bedenkenlos arbeiten kann.

@Hallo Rene-Gad
:party:

Markus1234 09.05.2006 11:08
Ein versuechter Firmenpc?

Sorry, aber das könnte ziemlich armseelig enden gerade wo ihr Onlinebanking betreibt.

Halte am klaren Menschenverstand fest, ändere ALLE Online-Passwörter(nach dem formatieren + neuaufsetzen + sicherheitskonfiguration) und mach das was dir die spezis empfohlen haben.

mfg,
Markus


Alle Zeitangaben in WEZ +1. Es ist jetzt 04:25 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19