Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   "Virus Buster" war der Anfang... (https://www.trojaner-board.de/34599-virus-buster-war-anfang.html)

Highko 21.12.2006 19:07
"Virus Buster" war der Anfang...
 
Hallo,
(erstes Posting wohl zu prosaisch, hier noch mal neu)

Zunächst hatte ich mit dem blinkenden Dreieck und der "Security Warning" (Virus Buster) zu tun, hier konnte ich dank dieses und anderer Foren - und smitfraudfix - Abhilfe schaffen. Dann habe ich die NAV2007 Trial (angeblich in den ersten 2 Wochen voll funktionsfähig) geladen und installiert, einen Fullscan gemacht, einige Trojaner gefunden, isoliert und entfernt... mittlerweile ist die Trial abgelaufen und ich gehe auch schon seit diesem Unfall nicht mehr mit diesem Rechner online. Aber Clean ist er noch lange nicht...

Lange Rede, kurzer Sinn, hier das HijackThis-Logs:

Logfile of HijackThis v1.99.1
Scan saved at 18:29:03, on 21.12.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\ZoneLabs\vsmon.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\SOUNDMAN.EXE
D:\Programme\Java\jre1.5.0_06\bin\jusched.exe
D:\WINDOWS\System32\ismini.exe
D:\Programme\QuickTime\qttask.exe
D:\Programme\iTunes\iTunesHelper.exe
D:\WINDOWS\System32\RUNDLL32.EXE
D:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
D:\WINDOWS\System32\ctfmon.exe
D:\Programme\Messenger\msmsgs.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
D:\Programme\WinTV\Ir.exe
D:\Programme\CASIO\Photo Loader\Plauto.exe
D:\Programme\RALINK\RT2500 Wireless LAN Card\Installer\WINXP\RaConfig2500.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
D:\WINDOWS\System32\nvsvc32.exe
D:\Programme\iPod\bin\iPodService.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
D:\WINDOWS\System32\ishost.exe
D:\Programme\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Safety Bar - {fbea0445-4c4a-4136-864a-c72a4a182a84} - D:\Programme\Safety Bar\SafetyBar.dll (file missing)
O3 - Toolbar: Safety Bar - {18668683-731c-48fa-b1b9-ad013748fb00} - D:\Programme\Safety Bar\SafetyBar.dll (file missing)
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "D:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ElbyCheckElbyCDFL] "D:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [ccApp] "D:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "D:\Programme\Norton AntiVirus\osCheck.exe"
O4 - HKLM\..\Run: [DllRunning] rundll32.exe "D:\WINDOWS\System32\sxuqcsqd.dll",setvm
O4 - HKLM\..\Run: [Zone Labs Client] "D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\RunServices: [SchedulingAgent] D:\WINDOWS\System32\mstask.exe
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "D:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = D:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: AutoStart IR.lnk = D:\Programme\WinTV\Ir.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Photo Loader resident.lnk = D:\Programme\CASIO\Photo Loader\Plauto.exe
O4 - Global Startup: Ralink Wireless Utility.lnk = D:\Programme\RALINK\RT2500 Wireless LAN Card\Installer\WINXP\RaConfig2500.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/099dddd4...dxIE601_de.cab
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - D:\Programme\Haufe\HaufeReader\HRInstmon.dll
O23 - Service: Adobe LM Service - Unknown owner - D:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - D:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - D:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - D:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - D:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - D:\Programme\iPod\bin\iPodService.exe
O23 - Service: Symantec IS Kennwortprüfung (ISPwdSvc) - Symantec Corporation - D:\Programme\Norton AntiVirus\isPwdSvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - D:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - D:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR1\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - D:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR1\RpcSandraSrv.exe
O23 - Service: Symantec Core LC - Symantec Corporation - D:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - D:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - D:\WINDOWS\system32\ZoneLabs\vsmon.exe

Aufgrund einiger Umstände möchte ich eine Neuinstallation vermeiden (z.B. Dreamweaver-Sites, deren Zugangsdaten nicht mehr auffindbar sind u.ä.).

Ist da noch etwas zu retten? Was soll ich tun?

Vielen Dank!

Highko

Sunny 21.12.2006 20:09
Hallo.

Als Unfall kann man eigentlich nur die Absicherung deines Systems benennen:

Zitat:
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!
Wo ist der Internet Explorer, er ist Bestandteil deines Betriebssystems, warum hast du ihn entfernt/entfernen lassen? :confused:

Eindeutiger Fall für folgenden Link -> Kompromittierung durch fehlende Sicherheitsupdates

Sorry,
Sunny

Highko 21.12.2006 20:31
Meinen IE habe ich nicht deinstalliert, er funzt bei Bedarf auch noch, aber ich verwende eigentlich nur noch Firefox...

Ganz kurz - warum siehst Du keine andere Möglichkeit, als neu aufzusetzen? Wie ich schon angedeutet habe, ist das genau DAS, was ich eigentlich irgendwie vermeiden will.

Danke soweit,

Highko

Sunny 21.12.2006 20:56
Zitat:
Zitat von Highko (Beitrag 245082)
ist das genau DAS, was ich eigentlich irgendwie vermeiden will.
Was nützt mir (und dir!) wenn wir das System jetzt bereinigen, und in 10 Minuten hast du wieder neue Probleme da riesige Sicherheitslücken in deinem System klaffen?! Ohne ordentliche Absicherung, d.h. ohne Service Pack2 sowie alle nachfolgenden Updates, werde ich und niemand anderes hier im Forum Hilfe bei der Bereinigung geben.

Das wäre für uns verschenkte Zeit und Mühe, mehr dazu hier -> Kompromittierung durch fehlendes SP2

Sorry
Sunny

Highko 21.12.2006 21:08
Zitat:
Zitat von [Gc]Sunny (Beitrag 245089)
Was nützt mir (und dir!) wenn wir das System jetzt bereinigen, und in 10 Minuten hast du wieder neue Probleme da riesige Sicherheitslücken in deinem System klaffen?! Ohne ordentliche Absicherung, d.h. ohne Service Pack2 sowie alle nachfolgenden Updates, werde ich und niemand anderes hier im Forum Hilfe bei der Bereinigung geben.
Wie schon beschrieben, habe ich diesen Rechner offline genommen, die "Viren" können also nicht nach Hause telefonieren. Da wäre es doch denkbar, das System zu bereinigen und danach SP2, eine anständige AV SW etc. aufzuspielen, bevor er wieder an das Netz darf - und schon hätte ich das Neuaufsetzen umgangen, oder? :confused:

Ich will nicht nerven - nur verstehen...

Danke,

Highko

felix1 21.12.2006 22:11
Vergesse den Plan.
Tue, was Sunny Dir geraten hat.

Highko 21.12.2006 22:36
Nope, ich kann die Kiste nicht neu aufsetzen, wie beschrieben. Ich muss es anders versuchen. Ich weiß, das wird mühsam, aber ich weiß auch, dass es klappt - irgendwann... muss mir wohl ein anderes (ein "Gedulds-") Board suchen.

Tschüss

Highko


Alle Zeitangaben in WEZ +1. Es ist jetzt 13:00 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27