Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Wie hoch ist mein pc verseucht? (https://www.trojaner-board.de/32357-hoch-pc-verseucht.html)

Grayfox 20.09.2006 15:08
Wie hoch ist mein pc verseucht?
 
Hab wie schon gesagt ein pc problem und hier is mein pc ... ich denk das encuserextra.exe gehört net dahin .. ich kanns aber auch nicht löschen.

Ich soll sicherstellen das es nicht gerade verwendet wird oder nciht schreibgeschützt ist :(

hier mein HJT-logfile
----------

Logfile of HijackThis v1.99.1
Scan saved at 16:00:20, on 20.09.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS1\System32\smss.exe
C:\WINDOWS1\system32\winlogon.exe
C:\WINDOWS1\system32\services.exe
C:\WINDOWS1\system32\lsass.exe
C:\WINDOWS1\system32\svchost.exe
C:\WINDOWS1\System32\svchost.exe
C:\WINDOWS1\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS1\system32\RUNDLL32.EXE
C:\Programme\D-Link\AirPlus Xtreme G\AirPlusCFG.exe
C:\Programme\Alpha Networks\ANIWZCS Service\WZCSLDR.exe
C:\WINDOWS1\CTHELPER.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\MessengerPlus! 3\MsgPlus.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS1\system32\ctfmon.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS1\system32\nvsvc32.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
c:\progra~1\intern~1\iexplore.exe
C:\WINDOWS1\system32\taskmgr.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS1\System32\svchost.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
C:\WINDOWS1\EXPLORER.exe
c:\dokume~1\****~1.it-\anwend~1\waveoo~1\Encuserextra.exe
C:\Dokumente und Einstellungen\******.IT-90BE7138662F\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {E819A298-E338-D1CD-3A92-64205A77C3F4} - C:\DOKUME~1\IANTSC~1.IT-\ANWEND~1\FINDAU~1\manager heck.exe (file missing)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS1\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS1\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [D-Link AirPlus Xtreme G] C:\Programme\D-Link\AirPlus Xtreme G\AirPlusCFG.exe
O4 - HKLM\..\Run: [ANIWZCSService] C:\Programme\Alpha Networks\ANIWZCS Service\WZCSLDR.exe
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [Acid Wipe Delete Corn] C:\Dokumente und Einstellungen\All Users.WINDOWS1\Anwendungsdaten\Pollidleacidwipe\Idol Iso.exe
O4 - HKLM\..\Run: [pccguide.exe] "C:\Programme\Trend Micro\Internet Security 14\pccguide.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS1\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [WhenUSave] "C:\Programme\Save\Save.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [load lite] C:\DOKUME~1\'*****~1.IT-\ANWEND~1\WAVEOO~1\DefyGrimPlan.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1158354413593
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: MsgPlusLoader.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS1\system32\nvsvc32.exe
O23 - Service: Trend Micro Central Control Component (PcCtlCom) - Trend Micro Incorporated. - C:\PROGRA~1\TRENDM~1\INTERN~1\PcCtlCom.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared files\RichVideo.exe
O23 - Service: Trend Micro Real-time Service (Tmntsrv) - Trend Micro Incorporated. - C:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe
O23 - Service: Trend Micro Personal Firewall (TmPfw) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe
O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\tmproxy.exe

--------
danke schon im vorraus

ordell1234 20.09.2006 15:42
Prüfe folgende Dateien bei virustotal:
Zitat:
c:\dokume~1\****~1.it-\anwend~1\waveoo~1\Encuserextra.exe
C:\DOKUME~1\'*****~1.IT-\ANWEND~1\WAVEOO~1\DefyGrimPlan.exe
C:\Dokumente und Einstellungen\All Users.WINDOWS1\Anwendungsdaten\Pollidleacidwipe\Id ol Iso.exe
und sofern vorhanden
Zitat:
C:\DOKUME~1\IANTSC~1.IT-\ANWEND~1\FINDAU~1\manager heck.exe
Poste bitte die vollständigen logs. Was ist mit dem log von Antivir? Welche Trojaner wurden gefunden? Gruß

Grayfox 20.09.2006 21:13
also ich bin gerade nach hause gekommen und hier sind nun die folgenden ergebnisse

c:\dokume~1\****~1.it-\anwend~1\waveoo~1\Encuserextra.exe :
---------
Complete scanning result of "Encuserextra.exe", received in VirusTotal at 09.20.2006, 16:13:53 (CET).

Antivirus Version Update Result
AntiVir 7.2.0.16 09.20.2006 HEUR/Crypted
Authentium 4.93.8 09.20.2006 W32/Swizzor.BN@dl
Avast 4.7.844.0 09.19.2006 Win32:Swizzor-gen
AVG 386 09.19.2006 no virus found
BitDefender 7.2 09.20.2006 GenPack:Trojan.Downloader.Swizzor.CB
CAT-QuickHeal 8.00 09.20.2006 (Suspicious) - DNAScan
ClamAV devel-20060426 09.20.2006 no virus found
eTrust-InoculateIT 23.73.0 09.20.2006 no virus found
eTrust-Vet 30.3.3088 09.20.2006 Win32/Swizzor
DrWeb 4.33 09.20.2006 Trojan.LopAd
Ewido 4.0 09.20.2006 no virus found
Fortinet 2.82.0.0 09.20.2006 suspicious
F-Prot 3.16f 09.20.2006 security risk named W32/Swizzor.BN@dl
F-Prot4 4.2.1.29 09.20.2006 W32/Swizzor.BN@dl
Ikarus 0.2.65.0 09.20.2006 no virus found
Kaspersky 4.0.2.24 09.20.2006 Trojan-Downloader.Win32.Swizzor.fg
McAfee 4855 09.19.2006 Swizzor.gen
Microsoft 1.1560 09.19.2006 C2.Lop
NOD32v2 1.1764 09.20.2006 a variant of Win32/TrojanDownloader.Swizzor
Norman 5.80.02 09.20.2006 Swizzor.HC
Panda 9.0.0.4 09.20.2006 Adware/Lop
Sophos 4.09.0 09.20.2006 Troj/Swizz-Fam
Symantec 8.0 09.20.2006 no virus found
TheHacker 6.0.1.074 09.20.2006 Trojan/Downloader.Swizzor
UNA 1.83 09.20.2006 no virus found
VBA32 3.11.1 09.19.2006 Trojan-Downloader.Win32.Swizzor.cb
VirusBuster 4.3.7:9 09.20.2006 no virus found

Aditional Information
File size: 10498 bytes
MD5: 1efda085b2dd960163407c1ce92e803e
SHA1: 54d10c475f096ec40ec7e627a605752dac453428
Packers: UPC
packers: UPC

-------------------

von C:\DOKUME~1\'*****~1.IT-\ANWEND~1\WAVEOO~1\DefyGrimPlan.exe :

-------------------

Complete scanning result of "DefyGrimPlan.exe", received in VirusTotal at 09.20.2006, 21:48:45 (CET).

Antivirus Version Update Result
AntiVir 7.2.0.16 09.20.2006 HEUR/Crypted
Authentium 4.93.8 09.20.2006 no virus found
Avast 4.7.844.0 09.19.2006 Win32:Swizzor-gen
AVG 386 09.20.2006 Lop.M
BitDefender 7.2 09.20.2006 GenPack:Trojan.Downloader.Swizzor.FD
CAT-QuickHeal 8.00 09.20.2006 (Suspicious) - DNAScan
ClamAV devel-20060426 09.20.2006 no virus found
DrWeb 4.33 09.20.2006 Trojan.Isbar.457
eTrust-InoculateIT 23.73.0 09.20.2006 no virus found
eTrust-Vet 30.3.3088 09.20.2006 Win32/Swizzor
Ewido 4.0 09.20.2006 no virus found
Fortinet 2.82.0.0 09.20.2006 suspicious
F-Prot 3.16f 09.20.2006 no virus found
F-Prot4 4.2.1.29 09.20.2006 no virus found
Ikarus 0.2.65.0 09.20.2006 no virus found
Kaspersky 4.0.2.24 09.20.2006 not-a-virus:AdWare.Win32.Lop.be
McAfee 4856 09.20.2006 Swizzor.gen
Microsoft 1.1560 09.19.2006 C2.Lop
NOD32v2 1.1764 09.20.2006 a variant of Win32/TrojanDownloader.Swizzor
Norman 5.90.23 09.20.2006 no virus found
Panda 9.0.0.4 09.20.2006 Adware/Lop
Sophos 4.09.0 09.20.2006 Troj/Swizz-Fam
Symantec 8.0 09.20.2006 no virus found
TheHacker 6.0.1.074 09.20.2006 Trojan/Downloader.Swizzor
UNA 1.83 09.20.2006 no virus found
VBA32 3.11.1 09.19.2006 AdWare.Win32.Lop.be
VirusBuster 4.3.7:9 09.20.2006 no virus found

Aditional Information
File size: 207774 bytes
MD5: f9b8c6c80d32ee4e4685e0dac6b3832e
SHA1: 5dd540a721964ee7e3fc34d3e6fda62d98ddc133
packers: UPC

-------------------
und für C:\Dokumente und Einstellungen\All Users.WINDOWS1\Anwendungsdaten\Pollidleacidwipe\Id ol Iso.exe:

-------------------
Complete scanning result of "Idol_Iso.exe", received in VirusTotal at 09.20.2006, 21:56:10 (CET).

Antivirus Version Update Result
AntiVir 7.2.0.16 09.20.2006 HEUR/Crypted
Authentium 4.93.8 09.20.2006 no virus found
Avast 4.7.844.0 09.19.2006 Win32:Swizzor-gen
AVG 386 09.20.2006 Lop.K
BitDefender 7.2 09.20.2006 GenPack:Trojan.Swizzor.HH
CAT-QuickHeal 8.00 09.20.2006 (Suspicious) - DNAScan
ClamAV devel-20060426 09.20.2006 no virus found
DrWeb 4.33 09.20.2006 Trojan.Swizzor
eTrust-InoculateIT 23.73.0 09.20.2006 no virus found
eTrust-Vet 30.3.3088 09.20.2006 Win32/Swizzor
Ewido 4.0 09.20.2006 no virus found
Fortinet 2.82.0.0 09.20.2006 suspicious
F-Prot 3.16f 09.20.2006 no virus found
F-Prot4 4.2.1.29 09.20.2006 no virus found
Ikarus 0.2.65.0 09.20.2006 no virus found
Kaspersky 4.0.2.24 09.20.2006 not-a-virus:AdWare.Win32.Lop.bb
McAfee 4856 09.20.2006 Swizzor.gen
Microsoft 1.1560 09.19.2006 C2.Lop
NOD32v2 1.1764 09.20.2006 a variant of Win32/TrojanDownloader.Swizzor
Norman 5.90.23 09.20.2006 Swizzor.JG
Panda 9.0.0.4 09.20.2006 Adware/Lop
Sophos 4.09.0 09.20.2006 Troj/Swizz-Fam
Symantec 8.0 09.20.2006 no virus found
TheHacker 6.0.1.074 09.20.2006 Trojan/Downloader.Swizzor
UNA 1.83 09.20.2006 no virus found
VBA32 3.11.1 09.19.2006 Trojan-Downloader.Win32.Swizzor.fc
VirusBuster 4.3.7:9 09.20.2006 no virus found

Aditional Information
File size: 368586 bytes
MD5: 24f20a27257ee5c69e4d87b7e20c9c74
SHA1: 67f97e4df83d0f3232699036b76ab2728119f3f7
packers: UPC
----------------------

vom letzen hab ich leider keinen ordner gefunden der war einfach leer ... : /
leider
----------------------
der log vom virenscan beinhaltet ne menge dateien von skype die er nicht öffnen kann und diese 2 trojaner :

C:\Dokumente und Einstellungen\********.IT-90BE7138662F\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\file\Class1.class-2c257d00-33f4c40a.class
[FUND] Ist das Trojanische Pferd TR/Java.Small.A
[INFO] Die Datei wurde gelöscht.

----------------------
und:

C:\Dokumente und Einstellungen\********.IT-90BE7138662F\Lokale Einstellungen\Temp\mswin.exe
[FUND] Ist das Trojanische Pferd TR/SrchSpy.H

( dieser wurde anscheinend nicht gelöscht :balla: )
----------------------



Vielen dank für die mühe!

ordell1234 21.09.2006 14:22
Hallo,

Auf deinem Rechner hat sich einiges angesammelt. An deiner Stelle würde ich neuaufsetzen, nur so bist du auf der sicheren Seite. Dennoch halte ich eine Bereinigung nicht für völlig sinnlos. Wenn du bereinigen willst – wobei unklar ist, was die Malware im System zurücklässt – gehe wie folgt vor:

1. Lade dir Killbox, ccleaner, counterspy
2. Deinstalliere Messenger Plus 3.
3. Starte das setup von counterspy, verneine die automatischen Updates, den residenten Wächter und was da so kommt. Bringe counterspy auf den aktuellen Stand, ein Scan ist noch nicht notw.
3. Deaktiviere die Systemwiederherstellung
4. Wechsel in den abgesicherten Modus (beim Neustart F8) und fixe mit HJT folgende Einträge:
Zitat:
O2 - BHO: (no name) - {E819A298-E338-D1CD-3A92-64205A77C3F4} - C:\DOKUME~1\IANTSC~1.IT-\ANWEND~1\FINDAU~1\manager heck.exe (file missing)
O4 - HKLM\..\Run: [Acid Wipe Delete Corn] C:\Dokumente und Einstellungen\All Users.WINDOWS1\Anwendungsdaten\Pollidleacidwipe\Id ol Iso.exe
O4 - HKCU\..\Run: [WhenUSave] "C:\Programme\Save\Save.exe"
O4 - HKCU\..\Run: [load lite] C:\DOKUME~1\'*****~1.IT-\ANWEND~1\WAVEOO~1\DefyGrimPlan.exe
5. lösche mit der Killbox (delete on reboot) die Ordner
Zitat:
c:\dokume~1\****~1.it-\anwend~1\waveoo~1
C:\Dokumente und Einstellungen\All Users.WINDOWS1\Anwendungsdaten\Pollidleacidwipe
C:\DOKUME~1\IANTSC~1.IT-\ANWEND~1\FINDAU~1
und die Dateien
C:\Programme\Save\Save.exe
C:\Dokumente und Einstellungen\********.IT-90BE7138662F\Lokale Einstellungen\Temp\mswin.exe (falls vorhanden)

6. Suche im Ordner C:\Windows\Tasks alle *.job Dateien. Lösche diese mit Killbox (delete on reboot)

7. Suche im Registry-editor (Start-Ausführen-regedit) nach dem Eintrag
HKLM\Software\Microsoft\Windows\CurrentVersion\Run MSWin und lösche ihn, sofern vorhanden.

8. Starte erneut im abgesicherten Modus und führe ccleaner aus, Haken überall setzen, Rechner entmüllen.

9. Scanne ebenfalls noch im abgesicherten Modus mit counterspy, vollen Systemscan inkl. *.zip-Archive. Wähle remove, wenn counterspy fündig wird und poste das log sowie ein neues HJT-log.

9. Führe abschließend escan aus (achte dabei insb. darauf, die mwav.exe nicht direkt auszuführen, sondern sie wie beschrieben in c:\bases_x mit winrar zu entpacken). Poste auch das log der find.bat.

Gruß

Grayfox 21.09.2006 15:28
hallo ... wow, vielen dank für die mühe.
ich denke das neu aufsetzen macht mir dann weniger arbeit aber trozdem vielen dank für den tollen support auf der seite :O

ordell1234 21.09.2006 15:46
Gute Entscheidung. Vergiß nicht, sämtliche! Passwörter zu ändern, da du einen Keylogger im System hattest. Näheres hier


Gruß

edit: Finger weg von Messenger 3 Plus oder Netpumper

Grayfox 23.09.2006 11:58
ich bins wieder :D

da ich die windows-cd ungefähr in 4 tagen bekomme, hab ich mich beschlossen doch acuh das bereinigen zu versuchen ^^
ich hab nur ne frage. is der windows 3 messenger = msn?
ich find ihn nämlich in keinem ordner ..

danke

edit: ich habe jez counterspy installiert aber es das setup funktioniert nicht ...
außerdem hab ich bereits die datei WAVEOO1 gelöscht allerdings mit Spybot - search and destroy eben im abgesicherten modus.
und anschließend noch Antivir durchlaufen lassen mit keinem ergebnis :D


Alle Zeitangaben in WEZ +1. Es ist jetzt 03:59 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131