Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Kann mir jemand helfen?? (https://www.trojaner-board.de/38073-mir-jemand-helfen.html)

anne-kathrin 17.04.2007 15:56
Kann mir jemand helfen??
 
Hallo!, ich habe ein Problem ich bin mir ziemlich sicher, dass einmal lsass.exe, winlogon.exe und csrss.exe zu viel da sind... habe mir jetzt schon ein parr dinge durchgelesen und versucht - kriege die aber einfach nicht weg!
wenn irgendwer weiß, was das ist und wie ich die dinger wegbekomme, währe das echt toll
Grüße
Anne-kathrin

hier ist mein hijack log

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\DOKUME~1\LOCALS~1\csrss.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\RECYCLER\lsass.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\DOKUME~1\ADMINI~1\csrss.exe
C:\WINDOWS\System32\ZoneLabs\isafe.exe
C:\Dokumente und Einstellungen\LocalService\winlogon.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\HijackThis.exe

F3 - REG:win.ini: load=C:\RECYCLER\lsass.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe,C:\DOKUME~1\LOCALS~1\csrss.exe
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll (file missing)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - c:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - c:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O15 - Trusted Zone: *.musicmatch.com
O15 - Trusted Zone: *.musicmatch.com (HKLM)
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL
O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - C:\WINDOWS\System32\ZoneLabs\isafe.exe
O23 - Service: GoogleDesktopManager - Google - C:\Programme\Google\Google Desktop Search\GoogleDesktopManager.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: MsInfo Service (MsInfo) - Unknown owner - C:\RECYCLER\MsInfo\MsInfo.exe
O23 - Service: Temp Services (TempServices) - Unknown owner - %Temp%\Temp.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Sunny 17.04.2007 16:20
Hallo. :)

Das System ist aus meiner Sicht nach Kompromittiert, außerdem fehlt mir aber der Kopf des Hijacklogs, wo das Betriebssystem aufgeführt wird!
Poste bitte nochmal ein neues Logfile..

Abgesehen davon kannst du dir langsam die Windows-Installations-CD herauskramen, denn die wirst du brauchen. ;)

Sunny

erty 17.04.2007 18:15
editierte win.ini und system.ini sind nie gut...
würde mir die Mühe nicht machen und schnell wie vom [GC] sunny empfohlen die Win-Installation cd suchen und sp2 installieren.

anne-kathrin 18.04.2007 11:18
Hi!, hier ist das ganze mit Kopf.
Hoffe ihr könnt damit was anfangen?!:crazy:

Logfile of HijackThis v1.99.1
Scan saved at 12:18:47, on 18.04.2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\DOKUME~1\LOCALS~1\csrss.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\RECYCLER\lsass.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\DOKUME~1\ADMINI~1\csrss.exe
C:\WINDOWS\System32\ZoneLabs\isafe.exe
C:\Programme\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\LocalService\winlogon.exe
C:\WINDOWS\Explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\wuauclt.exe

F3 - REG:win.ini: load=C:\RECYCLER\lsass.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe,C:\DOKUME~1\LOCALS~1\csrss.exe
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll (file missing)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - c:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - c:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O15 - Trusted Zone: *.musicmatch.com
O15 - Trusted Zone: *.musicmatch.com (HKLM)
O17 - HKLM\System\CCS\Services\Tcpip\..\{1EE970CD-88D6-40E8-88DC-51E38BDA11AD}: NameServer = 213.191.74.11 213.191.92.82
O17 - HKLM\System\CS1\Services\Tcpip\..\{1EE970CD-88D6-40E8-88DC-51E38BDA11AD}: NameServer = 213.191.74.11 213.191.92.82
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL
O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - C:\WINDOWS\System32\ZoneLabs\isafe.exe
O23 - Service: GoogleDesktopManager - Google - C:\Programme\Google\Google Desktop Search\GoogleDesktopManager.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: MsInfo Service (MsInfo) - Unknown owner - C:\RECYCLER\MsInfo\MsInfo.exe
O23 - Service: Temp Services (TempServices) - Unknown owner - %Temp%\Temp.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe


Dankeschön!

MightyMarc 18.04.2007 11:36
Ich fürchte zwar auch, dass bei Dir nicht mehr viel zu retten ist, aber ich würde Dich gerne um etwas bitten:

Um Hilfesuchenden helfen zu können, benötigen wir u.a. eScan (ein Virenscanner). Da sich bei dem Programm aber einiges geändert hat, brauche ich Logfiles von Usern mit infizierten Rechnern. Wärst Du bereit, einen Scan mit eScan zu machen, die Logdatei bei file-upload.net hochzuladen und den Download für diese Datei hier zu posten (oder mir per PM zu senden)?
Ich würde dieses Log von Hand auswerten und das Ergebnis hier posten, aber um ehrlich zu sein, bin ich skeptisch, dass das Dir bei Deinem Problem helfen wird. Es wäre eher ein Dienst an der Allgemeinheit.

Die Anleitung für eScan findest Du hier.
Bitte lade die Auswertedatei nicht herunter und überspringe alle Punkte die mit der find.bat zu tun haben. Wichtig ist, dass bei der Installation Englisch als Sprache gewählt wird (ist die Standardeinstellung). Führe einfach den Scan wie beschrieben durch. Nach Beendigung suche bitte per Windowssuchfunktion die Datei mwav.log und lade sie bei file-upload.net hoch.

Danke und Gruß

Marc


Alle Zeitangaben in WEZ +1. Es ist jetzt 01:13 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27