Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Bitte HiJackThis Log auswerten (https://www.trojaner-board.de/30386-bitte-hijackthis-log-auswerten.html)

Mirac 06.07.2006 10:03
Bitte HiJackThis Log auswerten
 
Hallo Leute,

hatte mir auf meinem Rechner angeblich den "Win32.myzor.fk@yf" eingefangen.
Beim Aufruf des IE wurde ich direkt auf die Seite h**p://www.sysnetsecurity.com/ verlinkt. Hab in Eurem Forum die Anleitung zum Beseitigen mit SmitFraudFix befolgt und konnte den Schädling wohl auch erfolgreich entfernen. Jedenfalls wird jetzt die Startseite wieder angezeigt. Da aber davor auch mal noch eine Meldung mit "Win32.Mt.Rs" im IE hochkam wollte ich nun mal das HighJackThis Logfile auswerten lassen. Das SmitFraudFix Log hänge ich ebenfalls noch mit an. Abschließend hatte ich noch Antivir, Stinger, Spybot und den Online Scan von h**p://www.ewido.net/de/ drüber laufen lassen und noch das ein oder andere entfernt.
Ist noch irgendwas anhand der Logfiles erkennbar, das nicht ok ist.
Ich weis SP2 für Windows WP muss ich noch einspielen und werde auch zukünftig lieber den Firefox als IE verwenden.

Hoffe ich hab Eure 7 goldenen Regeln eingehalten und bekomme eine Antwort.

Vielen Dank vorab.

Gruß
Mirac

SmitFraudFix v2.67

Scan done at 18:26:19,95, 05.07.2006
Run from E:\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix ran in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{6af69c4d-420a-4c95-b34f-e4635f84f53b}"="forevouched"


»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\WINDOWS\system32\ishost.exe Deleted
C:\WINDOWS\system32\ismon.exe Deleted
C:\WINDOWS\system32\isnotify.exe Deleted
C:\WINDOWS\system32\issearch.exe Deleted
C:\WINDOWS\system32\ixt?.dll Deleted
C:\WINDOWS\system32\ot.ico Deleted
C:\WINDOWS\system32\ts.ico Deleted
C:\DOKUME~1\ALLUSE~1\Desktop\Online Security Guide.url Deleted
C:\Programme\SpyQuake2.com\ Deleted

»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End

-----------------------------------------------------------------------

Logfile of HijackThis v1.99.1
Scan saved at 20:50:13, on 05.07.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\NMSSvc.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\PROMon.exe
C:\Programme\SentinelSuperProServer\spnsrvnt.exe
C:\Programme\Analog Devices\SoundMAX\Smtray.exe
C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
E:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Safety Bar - {052b12f7-86fa-4921-8482-26c42316b522} - C:\Programme\Safety Bar\Safety Bar.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [PROMon.exe] PROMon.exe
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\Smtray.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - h**p://download.ewido.net/ewidoOnlineScan.cab]
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Intel(R) NMS (NMSSvc) - Intel Corporation - C:\WINDOWS\System32\NMSSvc.exe
O23 - Service: PLSRemote Service (PLSRemoteSvc) - Unknown owner - C:\WINDOWS\SYSTEM32\PLSRemote.exe (file missing)
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: SuperProServer - Unknown owner - C:\Programme\SentinelSuperProServer\spnsrvnt.exe

ordell1234 06.07.2006 11:20
fixe noch:

Zitat:
O3 - Toolbar: Safety Bar - {052b12f7-86fa-4921-8482-26c42316b522} - C:\Programme\Safety Bar\Safety Bar.dll
Zitat:
O23 - Service: PLSRemote Service (PLSRemoteSvc) - Unknown owner - C:\WINDOWS\SYSTEM32\PLSRemote.exe (file missing)
Das sollte es dann gewesen sein. Kannst ja noch mal mit escan prüfen. Sollte escan fündig werden, poste das log. Anleitung und link hierzu findest du bei den faq, Achtung: es gibt zwei Versionen, nutze die neuere.

Gruß

PS: installiere auch alle Post-SP2 updates

BataAlexander 06.07.2006 12:37
Hallo,
wenn dieser Remote Admin nicht selbst installiert wurde, würde ich mir Gedanken machen.
Und bloses fixen reicht dann sowieso nicht aus, den Ordner
C:\Programme\Safety Bar muss man auch löschen.

Antwort von Mirac abwarten.

Gruß

Schrulli

ordell1234 06.07.2006 13:19
Danke für den Hinweis, so schnell kann man Mist erzählen...:heilig: Ich dachte, die Sache mit Safety Bar hätte sich durch Smitfraudfix erledigt. Daher mal ne Verständnisfrage: Wenn hijackthis den Eintrag
Zitat:
O3 - Toolbar: Safety Bar - {052b12f7-86fa-4921-8482-26c42316b522} - C:\Programme\Safety Bar\Safety Bar.dll
anzeigt, heißt das, dass die Datei auch vorhanden ist, weil der Zusatz (file missing) fehlt?:confused:

Gruß

BataAlexander 06.07.2006 13:24
Hallo,

dem "file missing" Bug bin ich selber schon mal aufgesessen, daher immer noch mal nach der Datei suchen und ggf. mit Killbox löschen lassen.
HJT gibt typischerweise bei den O23 Einträgen ein file missing bei nicht M$ Prozessen aus, warum??

Gruß

Schrulli

irrlicht 06.07.2006 13:26
Hallo,
@ordell
Zitat:
anzeigt, heißt das, dass die Datei auch vorhanden ist, weil der Zusatz (file missing) fehlt?
Fangfrage,oder ? :lach:
Eigentlich beantwortet sich doch diese Frage von selbst,oder ?:huepp:
Mal ausgenommen,eventueller Bug`s..........

@Mirac
Was ist damit,kennst du das ?
Zitat:
C:\Programme\SentinelSuperProServer\spnsrvnt.exe
Irrlicht

jimmygjan 07.07.2006 10:01
Hallo Zusammen,

hatte auch das Problem. Durch Smitfraudfix konnte ich das Problem sehr gut lösen. Vielen Dank für den Tip !

Ich bin sehr verärgert über diese Spams. Würde am liebsten strafrechtlich gegen solche Leute vorgehen. Aber ich habe mal gehört, daß es wohl sehr schwierig sein soll, weil sich diese "liebenswerten" :teufel2: Mitmenschen der deutschen Jusitiz entziehen und nur aus dem Ausland fungieren, wo wohl so etwas nicht strafbar sein soll. Da ich selbst Jurist bin, hätte ich große Lust solchen "Leuten" an den "Kragen" :kloppen: zu gehen.

Also ciao, vielen Dank nochmal, Jimmy

Wildone 07.07.2006 10:11
Hallo,
diesen Leuten kannst du nicht so ohne weiteres an den Kragen gehen, es ist ziemlich wahrscheinlich das sie mit der russischen Unterwelt zusammen arbeiten und somit quasi nicht zu fassen sind. Sind wahrscheinlich übrigens die selben, die auch die wmf Lücke per Exploit als erste ausgenutzt haben (iframecash gang).


Grüße Wildone

Mirac 11.07.2006 09:50
Zitat:
Zitat von ordell1234
fixe noch:

O3 - Toolbar: Safety Bar - {052b12f7-86fa-4921-8482-26c42316b522} - C:\Programme\Safety Bar\Safety Bar.dll

O23 - Service: PLSRemote Service (PLSRemoteSvc) - Unknown owner - C:\WINDOWS\SYSTEM32\PLSRemote.exe (file missing)

PS: installiere auch alle Post-SP2 updates

Also Safety Bar.dll hab ich gefixed.
PLSRemote.exe ist eh nicht mehr vorhanden gewesen.

Zitat:
Zitat von irrlicht
Hallo,
@ordell

Was ist damit,kennst du das ?
C:\Programme\SentinelSuperProServer\spnsrvnt.exe
Irrlicht
Nein, sagt mir nichts, nach diversen Berichten in anderen Foren, sollte das aber nichts kritisches sein. Da gehen die Meinungen auseinander.

Hoffe das war´s.

@ordell
Was sind Post-SP2 Updates?

Anbei nochmal das letzte HighJackThis Log:

Logfile of HijackThis v1.99.1
Scan saved at 19:18:26, on 10.07.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\NMSSvc.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\Programme\SentinelSuperProServer\spnsrvnt.exe
C:\WINDOWS\System32\PROMon.exe
C:\Programme\Analog Devices\SoundMAX\Smtray.exe
C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\temp\u3spwd.exe
E:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [PROMon.exe] PROMon.exe
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\Smtray.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - h**p://download.ewido.net/ewidoOnlineScan.cab
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Intel(R) NMS (NMSSvc) - Intel Corporation - C:\WINDOWS\System32\NMSSvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: SuperProServer - Unknown owner - C:\Programme\SentinelSuperProServer\spnsrvnt.exe

irrlicht 11.07.2006 10:10
Hallo Mirac,
Zitat:
Was sind Post-SP2 Updates?
Alle nachfolgenden Update`s nach Service Pack 2.
Aber du hast ja noch immer
Zitat:
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Da wirst du in ,geschätzt ,einer Woche wieder da sein :headbang:
Die hier war in deinem alten Log nicht vorhanden :
Zitat:
C:\WINDOWS\temp\u3spwd.exe
Prüfung bei Virustotal ?
Zitat:
PLSRemote.exe ist eh nicht mehr vorhanden gewesen.
Sicher ?
Dateien sichtbar gemacht ? Richtig gesucht ?
Nur weil HJT ein "file missing" ausgibt ? Könnte auch ein Bug sein,wäre nicht das erste Mal,speziell bei Nichtmicrosoft-Diensten.
Zitat:
C:\Programme\SentinelSuperProServer\spnsrvnt.exe
das kannst du nicht zuordnen ? Auch nicht unter "Eigenschaften" was zu erkennen ? Also Programme die ich nicht kenne und nicht zuordnen kann und in denen von Server die Rede ist,und die einem "unknown owner" haben.....:rolleyes:
Prüfung bei Virustotal ?
Irrlicht

Mirac 14.07.2006 09:06
Zitat:
Zitat von irrlicht
Hallo Mirac,

Aber du hast ja noch immer SP1

Irrlicht
Ich weis. Aber ich will erst eine vernünftige Sicherung haben, bevor ich
SP2 einspiele.

Den Rest prüfe ich noch und poste dann nochmal das Log.
Vielen Dank vorab.

Gruß,
Mirac


Alle Zeitangaben in WEZ +1. Es ist jetzt 05:21 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131