Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Rettungsversuch sinnvoll? (https://www.trojaner-board.de/31689-rettungsversuch-sinnvoll.html)

S.L. 26.08.2006 07:55
Rettungsversuch sinnvoll?
 
Hallo an die Profis unter Euch,

habe gerade einen Rettungsauftrag von einem guten Freund erhalten. Folgende Störung: Antivir meldete folgenden Wurm: C:\windows\system32\smsc.exe. Das scheint ja nach allem was ich so gelesen habe, ein richtiger Fiesling zu sein.
Den habe ich mittlerweile im abgesicherten Modus gelöscht, so dass er nicht mehr beim HJ-logfile auftaucht.
Ich bitte um eine kurze Bewertung. Hat nach Eurer Einschätzung eine Rettung des Systems Sinn, wenn ja was muss ich noch machen?

Logfile of HijackThis v1.99.1
Scan saved at 08:03:42, on 26.08.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Analog Devices\SoundMAX\SMTray.exe
C:\Programme\Brother\PaperPort\pptd40nt.exe
C:\Programme\Telekom\T-Eumex KommunikationsCenter\strtfx.exe
C:\Programme\Telekom\T-Eumex KommunikationsCenter\sndml.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Telekom\T-Eumex 520PC\Capictrl.exe
C:\Programme\Digital Image\Monitor.exe
C:\Programme\Brother\PaperPort\SmartUI\SmartUI.exe
C:\Dokumente und Einstellungen\Dolores\Eigene Dateien\Virus\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.web.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Falk Toolbar - {F1864DD1-3DC9-11D8-A015-00105ADD2ADA} - C:\Programme\Falk\Falk Toolbar\FalkBar.dll
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\Brother\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\Brother\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [strtfx] "C:\Programme\Telekom\T-Eumex KommunikationsCenter\strtfx.exe"
O4 - HKLM\..\Run: [sndml] "C:\Programme\Telekom\T-Eumex KommunikationsCenter\sndml.exe"
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: Digital Image Monitor.lnk = ?
O4 - Global Startup: SmartUI.lnk = ?
O8 - Extra context menu item: Als Start in Falk übernehmen - res://C:\PROGRA~1\Falk\FALKTO~1\FalkBar.dll/SetAsStart
O8 - Extra context menu item: Als Ziel in Falk übernehmen - res://C:\PROGRA~1\Falk\FALKTO~1\FalkBar.dll/SetAsDest
O8 - Extra context menu item: Falk Stadtplan anzeigen - res://C:\PROGRA~1\Falk\FALKTO~1\FalkBar.dll/GetMap
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Windows Binary Reader - Unknown owner - C:\WINDOWS\system32\smsc.exe (file missing)

Vielen Dank für Eure Mühen im Voraus.
mfg

Sunny 26.08.2006 13:14
Hallo,

ein Rettungsversuch in deinem Fall ist absolut sinnlos. Dieser Wurm war in deinem System aktiv -> W32/Sdbot-PH!!!

Ein Grund dafür das sich dieser Schädling überhaupt einschleichen konnte, ist das fehlende ServicePack2, sowie die anderen Sicherheitsupdates.
Setz dein System so schnell wie möglich neu auf, und achte darauf das du vor dem ersten Besuch im WWW alle Updates & ServicePack´s eingespielt hast. Sonst sehen wir uns bald wieder hier ... :party:

Gruß
Sunny

S.L. 26.08.2006 17:11
Vielen Dank für die schnelle Antwort.

Wie gesagt, der Rechner gehört nicht mir. Derjenige ist lediglich Computernutzer, besitzt aber sonst kein weiteres Hintergrundwissen. Deshalb wurden auch keine Updates eingespielt - der Rechner lief ja "einwandfrei".

Nun denn, frisch ans Werk gemacht. Allen Anderen noch ein schönes Wochenende, ohne die kleinen "Fießlinge" aus dem Netz.

mfg


Alle Zeitangaben in WEZ +1. Es ist jetzt 22:51 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131