Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Trojaner oder sowas (https://www.trojaner-board.de/32230-trojaner-sowas.html)

MarlboroMen 15.09.2006 18:16
Trojaner oder sowas
 
Hallo,
ich, besser meine tochter hat sich irgendwas nerven kostendes eingefangen !
symtom es pop't ein fenster auf 16-bit-ms-dos-teilsystem
in c:\windows\temp\win10t~1.exe die ntvdm-cpu hat einen ungültigen befehl entdeckt CS:06c4 OP:63 72 6f 3c 2f da gibts nur schließen und ignorieren habe schon alle temp gelöscht, systemwiederherstellung deaktiviert und neustart das ding kommt immer wieder mit neuen namen
kein scanner findet was hijack this log file :

Logfile of HijackThis v1.99.1
Scan saved at 20:07:47, on 14.09.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\Programme\Gemeinsame Dateien\STOPzilla!\SZServer.exe
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\SPOOLSV.EXE
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\WINDOWS\System32\alg.exe
C:\PROGRAMME\FRITZ!DSL\IGDCTRL.EXE
C:\WINDOWS\System32\oodag.exe
C:\PROGRA~1\TRENDM~1\INTERN~2\PCCTLCOM.EXE
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\TRENDM~1\INTERN~2\Tmntsrv.exe
C:\PROGRA~1\TRENDM~1\INTERN~2\TMPROXY.EXE
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\PROGRA~1\TRENDM~1\INTERN~2\TMPFW.EXE
C:\PROGRA~1\TRENDM~1\INTERN~2\PccGuide.exe
C:\WINDOWS\Explorer.EXE
C:\ATI-CPanel\atiptaxx.exe
C:\Programme\STOPzilla!\STOPzilla.exe
C:\Programme\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_Monitor.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\a2\a2guard.exe
C:\Programme\a-squared Anti-Dialer\a2adguard.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\Programme\HP\ALL\Digital Imaging\bin\hpqtra08.exe
C:\PROGRAMME\TREND MICRO\TMAS\TMAS.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\explorer.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\Daten\hijackthis\HijackThis.exe

O2 - BHO: Trend Micro Anti-Betrug-Symbolleiste - {06647158-359E-4D10-A8DE-E6145DA90BE9} - C:\PROGRA~1\TRENDM~1\INTERN~2\PccIeBar.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: IeCatch5 Class - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\PROGRA~1\FlashGet\jccatch.dll (file missing)
O2 - BHO: STOPzilla Browser Helper Object - {E3215F20-3212-11D6-9F8B-00D0B743919D} - C:\Programme\STOPzilla!\SZIEBHO.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Trend Micro Anti-Betrug-Symbolleiste - {871F91FD-3A92-4988-A842-16AB2CFF5AF1} - C:\PROGRA~1\TRENDM~1\INTERN~2\PccIeBar.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
O4 - HKLM\..\Run: [STOPzilla] C:\Programme\STOPzilla!\STOPzilla.exe /autostart
O4 - HKLM\..\Run: [CXMon] "C:\Programme\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_Monitor.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PDF3 Registry Controller] "C:\Programme\ScanSoft\OmniPage15.0\PDFConverter3\\RegistryController.exe"
O4 - HKLM\..\Run: [a-squared Anti-Dialer] "C:\Programme\a-squared Anti-Dialer\a2adguard.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [pccguide.exe] "C:\Programme\Trend Micro\Internet Security 14\pccguide.exe"
O4 - HKCU\..\Run: [a-squared] "C:\Programme\a2\a2guard.exe"
O4 - HKCU\..\Run: [a-squared Anti-Dialer] "C:\Programme\a-squared Anti-Dialer\a2adguard.exe"
O4 - Startup: Trend Micro Anti-Spyware.lnk = C:\Programme\Trend Micro\Tmas\Tmas.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\ALL\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Alles mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: PDF in Word öffnen (PDF Converter 3.0) - res://C:\Programme\ScanSoft\OmniPage15.0\PDFConverter3\IEShellExt.dll /500
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O12 - Plugin for .mid: C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - h**p://software-dl.real.com/19acf4dca72577c68d22/netzip/RdxIE601_de.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - h**p://ax.emsisoft.com/asquared.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C08561B6-52FB-4CBD-B179-F61393A22E7C}: NameServer = 192.168.178.1,124.25.0.125
O20 - Winlogon Notify: winrnt32 - C:\WINDOWS\SYSTEM32\winrnt32.dll
O21 - SSODL: incestuously - {03413bf7-e34c-445b-bfc0-a2b127255871} - C:\WINDOWS\System32\urroxtl.dll (file missing)
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\System32\oodag.exe
O23 - Service: Trend Micro Central Control Component (PcCtlCom) - Trend Micro Incorporated. - C:\PROGRA~1\TRENDM~1\INTERN~2\PcCtlCom.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: STOPzilla Local Service - International Software Systems Solutions - C:\Programme\STOPzilla!\szntsvc.exe
O23 - Service: STOPzilla Service (szserver) - Unknown owner - C:\Programme\Gemeinsame Dateien\STOPzilla!\SZServer.exe
O23 - Service: Trend Micro Real-time Service (Tmntsrv) - Trend Micro Incorporated. - C:\PROGRA~1\TRENDM~1\INTERN~2\Tmntsrv.exe
O23 - Service: Trend Micro Personal Firewall (TmPfw) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~2\TmPfw.exe
O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~2\tmproxy.exe

was nun ? ich weiß nimmer weiter

soll ich wie in diesem Posting weiter machen ?

http://www.trojaner-board.de/showthread.php?t=31897
mfg

MarlboroMen

Mellosun 15.09.2006 18:26
Moin,

kannst bitte mal folgende Datei bei Jotti und Virustotal auswerten lassen. Link in meiner SIG. Bin mir nicht sicher...hoffe, es ist net das was ich vermute!

C:\WINDOWS\SYSTEM32\winrnt32.dll


Poste das gesamte Ergebniss, einschließlich der dort angegebenen Größe der Datei!


Gruß Mellosun

MarlboroMen 15.09.2006 19:28
von virus total :
tivirus Version Update Result
AntiVir 7.2.0.16 09.15.2006 TR/PCK.Klone.G.42
Authentium 4.93.8 09.14.2006 no virus found
Avast 4.7.844.0 09.15.2006 Win32:Klone-N
AVG 386 09.15.2006 Generic2.ALS
BitDefender 7.2 09.15.2006 Trojan.Spy.Agent.AB
CAT-QuickHeal 8.00 09.15.2006 Trojan.Klone.g
ClamAV devel-20060426 09.15.2006 no virus found
DrWeb 4.33 09.15.2006 no virus found
eTrust-InoculateIT 23.72.126 09.15.2006 Win32/Nebuler!Trojan
eTrust-Vet 30.3.3078 09.15.2006 Win32/Nebuler.O
Ewido 4.0 09.15.2006 no virus found
Fortinet 2.82.0.0 09.15.2006 W32/BDoor.G!tr.bdr
F-Prot 3.16f 09.14.2006 no virus found
F-Prot4 4.2.1.29 09.15.2006 no virus found
Ikarus 0.2.65.0 09.15.2006 Trojan-Spy.Win32.Bancos.ha
Kaspersky 4.0.2.24 09.15.2006 Packed.Win32.Klone.g
McAfee 4853 09.15.2006 BackDoor-CVT
Microsoft 1.1560 09.15.2006 no virus found
NOD32v2 1.1758 09.15.2006 Win32/Zapchast
Norman 5.90.23 09.15.2006 W32/Smalldoor.HKB
Panda 9.0.0.4 09.15.2006 Adware/SuperSpider
Sophos 4.09.0 09.15.2006 Troj/Nebuler-F
Symantec 8.0 09.15.2006 no virus found
TheHacker 5.9.8.212 09.15.2006 no virus found
UNA 1.83 09.15.2006 no virus found
VBA32 3.11.1 09.14.2006 no virus found
VirusBuster 4.3.7:9 09.15.2006 no virus found


Aditional Information
File size: 18944 bytes
MD5: 6e0fd0c3d0a5638dd80fc864227a0946
SHA1: 5ec45d4fe4234bfa70828205ad1bbacafaa1853f
packers: PecBundle, PECompact

von Jotti:

Entdeckte Packprogramme: PE_PATCH.PECOMPACT, PECBUNDLE, PECOMPACT

AntiVir Trojan/PCK.Klone.G.42 gefunden
ArcaVir Trojan.Packed.Klone.G gefunden
Avast Win32:Klone-N gefunden
AVG Antivirus Generic2.ALS gefunden
BitDefender Trojan.Spy.Agent.AB gefunden
ClamAV Keine Viren gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet W32/BDoor.G!tr.bdr gefunden
Kaspersky Anti-Virus Packed.Win32.Klone.g gefunden
NOD32 Win32/Zapchast gefunden
Norman Virus Control W32/Smalldoor.HKB gefunden
UNA Keine Viren gefunden
VirusBuster Keine Viren gefunden
VBA32 Keine Viren gefunden


mfg

MM

Mellosun 15.09.2006 19:51
OK, also weiß net genau, was ich Dir jetzt Raten soll!

Mache bitte noch einen Escan...alles dazu gibts Hier mit Anleitung .
Lese sie genau durch und führe sie Schritt für Schritt aus! Vorallem Punkt 5 mit der Find.zip ist wichtig!
Poste das Ergebnis mit hilfe dieser!


Gruß Mellosun

MarlboroMen 16.09.2006 10:50
Sorry das ich mich erst heute melde,
das mit dem escan hat mir gestern alle scanner abgeschossen
da ich erst 100€ für trendmicro ausgegeben habe wollte ich den scanner auch weiter nutzen und escan hat sie breiter gemacht als n jumbo jet ;)
nach 5 std neuinstall ist etzt alle clean Big THX. übrigens escan hat entweder deletet oder nix im log da ich nur viren sehen wollte
für alle die das selbe prob haben alle sanner für die zeit mit escan ausmachen und hoffen das sie später wieder starten oder neuinstall


Mellosun:bussi: von meiner tochter &:knuddel:

Mellosun 16.09.2006 11:13
Hallo,

Zitat:
Zitat von MarlboroMen
das mit dem escan hat mir gestern alle scanner abgeschossen

Da hast du die Anleitung nicht richtig gelesen.
Du solltest nicht die Vollversion von eScann Installieren, sondern lediglich den On Demand Scanner Laden und im Abgesicherten Modus Ausführen.
Dann wäre das nicht pasiert!

Hast du Dein System nach Anleitung Neuaufgesetzt?
Es auch dementsprechend Abgesichert?
Ein Backup von einem Sauberen XP angelegt?


Gruß Mellosun


Alle Zeitangaben in WEZ +1. Es ist jetzt 22:50 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131