Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Bitte um Profi Einschätzung (https://www.trojaner-board.de/29203-bitte-um-profi-einschaetzung.html)

BusterKe 13.05.2006 20:02
Bitte um Profi Einschätzung
 
Hallo! Mein Norton Antivirus hat kurzfristig einen Trojaner entdeckt und angeblich gelöscht. Bin jetzt etwas unsicher und würde einen Viren-Profi bitten mal über das Log-File zu schaun ob sich da irgendwelche Bedrohungen verstecken könnte, Danke im Vorraus!

Logfile of HijackThis v1.99.0
Scan saved at 20:59:43, on 13.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Programme\Norton SystemWorks\Password Manager\AcctMgr.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\NETGEAR\WG311v3\wlancfg5.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Messenger\msmsgs.exe
G:\Anti-Virus\Hijackthis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [AdaptecDirectCD] C:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AcctMgr] C:\Programme\Norton SystemWorks\Password Manager\AcctMgr.exe /startup
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKCU\..\Run: [Skype] "G:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: NETGEAR WG311v3 Wireless Assistant.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - G:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - G:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CS1\Services\Tcpip\..\{1EED437A-3248-4E62-8C81-2AC17EC456CF}: NameServer = 195.34.133.10,195.34.133.11
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: LexBce Server - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Norton Unerase Protection - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE
O23 - Service: Norton Protection Center Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Symantec AVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SPBBCSvc - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: SymWMI Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

felix1 13.05.2006 20:21
Das hast Du schon gelesen:
http://www.trojaner-board.de/extra/impressum.html#NUB

Wer hat was genau wo gemeldet?

BusterKe 13.05.2006 20:28
Danke für den Hinweis, kenne ich bereits :-)

Weiß zwar jetzt nicht genau worauf Du hinaus willst, entschuldige mich aber dafür falls ich ungewollt irgendwelche Regeln verletzt haben sollte.

Bin für jede Einschätzung dankbar,

LG Thomas

Wildone 13.05.2006 20:32
Hallo,
felix1 wollte darauf hinaus, welchen Trojaner Norton an welchem Ort gefunden hat (genauer Pfad)? Steht ev. noch in der Reportdatei von Norton.


Grüße Wildone

BusterKe 13.05.2006 20:46
Ok, sorry! Hab den Norten durchstöbert und folgende Info gefunden:

Virus: Backdoor.Trojan
Pfad: C:\WINDOWS\system32\Comclg32.dll

Ein Programm lässt sich auch nicht mehr starten, weiß nicht ob das damit zusammenhängt. Laut Norton ist wieder alles OK.

Liebe Grüße! TP

Wildone 13.05.2006 20:58
Hallo,
schwierige Sache. Kannst du die Datei ev. wieder aus der Quarantäne herausfriemeln und sie hier untersuchen? Wenn Norton nämlich Recht hat, und die Datei ist ein Backdoortrojaner, wäre ein Neuaufsetzen des Systems die einzig sinnvolle Maßnahme.


Grüße Wildone

Wildone 13.05.2006 21:14
Hallo,
ich nochmal, hat das Programm, das nicht mehr funktioniert, etwas mit deinen Pokeraktivitäten zu tun?
Bzw. spielst du Onlinepoker?


Grüße Wildone

BusterKe 13.05.2006 21:33
HAllo, zweimal danke für die Antworten!

Ich versuche gerade deinen ersten Tipp.

Ja, das Programm ist PartyPoker. Irgendwelche Hinweise diesbezüglich?

Liebe Grüße,
Thomas

Wildone 13.05.2006 21:36
Hallo,
ja ich habe da Hinweise. Nachdem du dir dieses durchgelesen hast:
Zitat:
This PokerSteal/Jovi variant is from a family of keylogging trojans that steal and transmit information related to online poker gamaing sites.
Quelle, würde ich an deiner Stelle mit diesem System kein Poker mehr spielen, und es möglichst bald neu aufsetzen.


Grüße Wildone

BusterKe 13.05.2006 21:41
Danke, für diesen wichtigen Hinweis! Denke ich werde das System neu aufsetzen - ist wohl das sicherste. Komisch dass sich sowas eingeschlichen hat ...

Wildone 13.05.2006 21:45
Hallo,
ist wirklich seltsam, hast du vielleicht ein halbseidenes Programm im Zusammenhang mit Poker mal ausgeführt? Oder eine zweifelhafte Seite zu dem Thema besucht (mit ev. schlechten Einstellungen deines Browsers)?

Hier mal eine Anleitung wie du beim Neuaufsetzen vorgehen solltest.


Grüße Wildone

BusterKe 13.05.2006 21:50
Nein, bin mir eigentlich keines Fehlers bewusst. Immer alle Windows-Updates, SP2 sowieso, Norton Anti-Virus mit allen Updates ... Hmmm komisch auf alle Fälle. Auch die Poker Seite gilt eigentlich als seriös, hatte nie Probleme ...

Naja ein Neuaufsetzen schadet sicher nicht, danke, den Link kenne ich, hab erst diese Woche einen Comp eines Freundes neu aufgesetzt - also fast schon Routine!

Danke auf jeden Fall für die gezielte Hilfe!


Alle Zeitangaben in WEZ +1. Es ist jetzt 21:10 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131