Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   LOG-File Überprüfung (https://www.trojaner-board.de/32303-log-file-uberpruefung.html)

G.KIM 18.09.2006 16:32
LOG-File Überprüfung
 
Meine Verehrung!

Wären Sie bitte so nett, mir Ihre Meinung zu meinem Logfile zu geben.
Mit bestem Dank für Ihre Mühe,
Gerald

Logfile of HijackThis v1.99.1
Scan saved at 17:11:16, on 18.09.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\WINDOWS\System32\Window2.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\AntiVir PersonalEdition Classic\avnotify.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\mmc.exe
C:\WINDOWS\System32\rsmsink.exe
C:\WINDOWS\system32\dmremote.exe
C:\WINDOWS\System32\dmadmin.exe
C:\Dokumente und Einstellungen\*-*\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aon.at/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = :
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [Application Layer Gateway Service] C:\WINDOWS\System32\algs.exe
O4 - HKLM\..\Run: [Windows modez Verifier] Window2.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\RunServices: [Windows modez Verifier] Window2.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{4FCB281F-1ADC-4B41-8E28-15E856984C88}: NameServer = 195.3.96.67 195.3.96.68
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

irrlicht 18.09.2006 17:24
Hallo,G.Kim,
freundlichst möchte ich mitteilen,das dieses hier völlig veraltet ist :
Zitat:
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Aktuell ist das Service Pack 2,seit ungefähr 2 Jahren.
Mit deinem ungepatchten System läufst du Gefahr, dich an jeder Ecke mit Übel zu infizieren.
Zu deinem Log :

Überprüfe bitte folgende Dateien bei :www.virustotal

C:\WINDOWS\System32\Window2.exe
C:\WINDOWS\system32\mmc.exe
C:\WINDOWS\System32\rsmsink.exe
C:\WINDOWS\system32\dmremote.exe
C:\WINDOWS\System32\dmadmin.exe
Irrlicht

nochdigger 18.09.2006 17:29
mOIn auch,

@Irrlicht
der währe auch interessant denk' ich:rolleyes:
O4 - HKLM\..\Run: [Application Layer Gateway Service] C:\WINDOWS\System32\algs.exe

MFG

Cleriker 18.09.2006 17:31
Hallo ihr 3,

Zitat:
O4 - HKLM\..\Run: [Application Layer Gateway Service] C:\WINDOWS\System32\algs.exe
Das müsste wohl der sein.

mfg Cleriker

irrlicht 18.09.2006 17:36
Jep,die Vermutung kiegt bei mir auch ganz vorne,hätte aber gern die Bestätigung durch Virustotal...:rolleyes:
Irrlicht

Cleriker 18.09.2006 17:41
mmhhh...

Zitat:
C:\WINDOWS\System32\Window2.exe
O4 - HKLM\..\Run: [Windows modez Verifier] Window2.exe
O4 - HKLM\..\RunServices: [Windows modez Verifier] Window2.exe
Ich denke durch die Zusammenstellung dieses Prozesses und der beiden Einträge
ist eine Überprüfung überflüssig. Jedoch muss ich gestehen, dass ich die zugehörige
Spyware bzw. den Wurm nirgends finden kann.
Hat da jemand einen Link?

mfg Cleriker

G.KIM 19.09.2006 21:57
Vielen Dank für Ihre hilfreichen Beiträge.
Nach Installation von SP 2 und dem Spy doctor, der hier empfohlen wurde, sieht mein Logfile wie folgt aus. Sind Sie der Meinung, dass ich jetzt Ruhe vor den Trojanern habe?

Ich ersuche Sie daher nochmals um Ihre Hilfe.
In Dankbarkeit,
Gerald


Logfile of HijackThis v1.99.1
Scan saved at 22:52:42, on 19.09.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Spyware Doctor\sdhelp.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Spyware Doctor\swdoctor.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\DOKUME~1\KIRCHM~1\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis[1].zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aon.at/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = :
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [Application Layer Gateway Service] C:\WINDOWS\System32\algs.exe
O4 - HKLM\..\Run: [Windows modez Verifier] Window2.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\RunServices: [Windows modez Verifier] Window2.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Spyware Doctor.lnk = C:\Programme\Spyware Doctor\swdoctor.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{4FCB281F-1ADC-4B41-8E28-15E856984C88}: NameServer = 195.3.96.67 195.3.96.68
O23 - Service: Gatewaydienst auf Anwendungsebene (ALG) - Unknown owner - C:\WINDOWS\System32\alg.exe (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe (file missing)
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Programme\Spyware Doctor\sdhelp.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Mellosun 19.09.2006 22:03
Hallo,


Zitat:
Zitat von irrlicht
Überprüfe bitte folgende Dateien bei :www.virustotal

C:\WINDOWS\System32\Window2.exe
C:\WINDOWS\system32\mmc.exe
C:\WINDOWS\System32\rsmsink.exe
C:\WINDOWS\system32\dmremote.exe
C:\WINDOWS\System32\dmadmin.exe
Irrlicht

Warum hast du das nicht gemacht?

Und das hier ist noch immer da:

O4 - HKLM\..\Run: [Application Layer Gateway Service] C:\WINDOWS\System32\algs.exe
O4 - HKLM\..\RunServices: [Windows modez Verifier] Window2.exe

Also, tue was man Dir nahe legt!
Beide Dateien Prüfen lassen und Ergebnis Posten...komplett auch die dort angegeben Größe!

Gruß Mellosun

G.KIM 19.09.2006 22:34
Ich hab die Dateien wie empfohlen checken lassen:

alg.exe war ein der nboot trojaner
windows2.exe ebenso

bei allen anderen Dateien ist mir der Computer während der Überprüfung abgestürzt. Wenn ich sie gelöscht hab waren sie binnen Sekunden wieder da. Nachdem ich sie mit Spydoctor in Quarantäne gesetzt hab, konnten sie im abgesicherten Modus gelöscht werden. Anschließend hab ich Windows SP 2 installiert.
Jetzt finde ich die Dateien in System32 nicht mehr. Daher kann ich sie auch nicht nochmals überprüfen lassen. Sind die jetzt noch immer da, oder sind die gelöscht?

Wie soll ich weiter vorgehen?

nochdigger 20.09.2006 05:25
mOIn auch:mad:

da algs.exe ein richtig übler Bösewicht ist, werden dir hier am Board alle sagen setzt die verdammte Kiste neu auf alles andere ist absolut Sinnfrei.
Neuaufsetzen


Alle Zeitangaben in WEZ +1. Es ist jetzt 11:38 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131