Trojaner-Board
Seite 1 von 3 1 23
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Bitte mal nagucken (https://www.trojaner-board.de/40679-bitte-mal-nagucken.html)

tomasboy 06.07.2007 23:12
Bitte mal nagucken
 
Hatte das Problem mit dem MSN Virus und habe danach System neu installiert.
Wollte nur fragen ob mein pc jetzt frei von viren ist




Logfile of HijackThis v1.99.1
Scan saved at 00:11:08, on 7.7.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\PROGRA~1\Arcor\backweb\5141527\Program\SERVIC~1.EXE
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\Programme\Arcor\Anti-Virus\fsgk32st.exe
C:\Programme\Arcor\backweb\5141527\program\fsbwsys.exe
C:\Programme\Arcor\Anti-Virus\FSGK32.EXE
C:\Programme\Arcor\Common\FSMA32.EXE
C:\Programme\Arcor\Anti-Virus\fssm32.exe
C:\Programme\Arcor\Common\FSMB32.EXE
C:\Programme\Arcor\Common\FCH32.EXE
C:\Programme\Arcor\Anti-Virus\fsqh.exe
C:\Programme\Arcor\Common\FAMEH32.EXE
C:\Programme\Arcor\FWES\Program\fsdfwd.exe
C:\Programme\Arcor\Anti-Virus\fsrw.exe
C:\Programme\Arcor\FSPC\fspc.exe
C:\Programme\Arcor\Anti-Virus\fsav32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE
C:\Programme\Arcor\Common\FSM32.EXE
C:\Programme\Arcor\FSGUI\ispnews.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\PROGRA~1\Arcor\ANTI-S~1\fsaw.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Arcor\FSGUI\fsguidll.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Arcor\backweb\5141527\Program\fspex.exe
C:\Programme\T-Com\Sinus 154 data II\TS154USB.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Arcor\FSGUI\fsavgui.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programme\AntiVir PersonalEdition Classic\avscan.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Dokumente und Einstellungen\Besitzer\Desktop\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: MS Explorer - {9B5A95FA-DFAF-31AB-A1AF-8A9FA7F8A98E} - (no file)
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\Arcor\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\Arcor\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [F-Secure Startup Wizard] "C:\Programme\Arcor\FSGUI\FSSW.EXE" /reboot
O4 - HKLM\..\Run: [News Service] "C:\Programme\Arcor\FSGUI\ispnews.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKLM\..\RunServices: [winlog] winlog.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Arcor Sicherheitspaket.lnk = C:\Programme\Arcor\backweb\5141527\Program\fspex.exe
O8 - Extra context menu item: Dieses Popup &blockieren - C:\Programme\Arcor\Anti-Spyware\blockpopups.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Webfilter - {200DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Programme\Arcor\FSPC\fspcmsie.dll
O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - C:\Programme\Arcor\FSPC\fspcmsie.dll
O9 - Extra 'Tools' menuitem: Webfilter - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - C:\Programme\Arcor\FSPC\fspcmsie.dll
O9 - Extra button: IE-Schutzschild - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Programme\Arcor\Anti-Spyware\ieshield.dll
O9 - Extra 'Tools' menuitem: IE-Schutzschild... - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Programme\Arcor\Anti-Spyware\ieshield.dll
O9 - Extra button: PacificPoker - {94EDF7B4-4272-4af3-8F8B-4E2F68E225B7} - C:\PROGRA~1\PACIFI~1\pacificpoker.exe
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\Partypoker\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\Partypoker\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'winsflt.dll' missing
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Arcor Sicherheitspaket (BackWeb Plug-in - 5141527) - F-Secure Corp. - C:\PROGRA~1\Arcor\backweb\5141527\Program\SERVIC~1.EXE
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Programme\Arcor\Anti-Virus\fsgk32st.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: FSBWSYS - F-Secure Corp. - C:\Programme\Arcor\backweb\5141527\program\fsbwsys.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Programme\Arcor\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure HTTP Server (fshttps) - F-Secure Corporation - C:\Programme\Arcor\FSPC\fshttps\fshttps.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Programme\Arcor\Common\FSMA32.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

myrtille 06.07.2007 23:21
Hi,
das sieht nicht wirklich gut aus. :o

Suche folgende Datein bitte (Dateien sichtbar machen) und lass sie mal bei virustotal auswerten:
Zitat:
winlog.exe
winsflt.dll
lg myrtille

EDIT: Außerdem sieht es so aus als hättest du 2 Antivirenprogramme am laufen. Da sind weitere Probleme praktisch vorprogrammiert

tomasboy 06.07.2007 23:24
In welchem Ordner sind denn die Dateien?

myrtille 06.07.2007 23:27
Deswegen sollst du sie ja suchen. :kloppen: Ich weiß nicht wo die Dateien sind. ;)


Stelle bitte alles so ein, wie in dem Link "Dateien sichtbar machen" und benutze dann die Suchfunktion um sie zu finden.

(Wahrscheinlich windows- oder system32ordner)

lg myrtille

tomasboy 06.07.2007 23:29
Ich habe die winsflt.dll datei 2 mal gefunden.

1: System 32
2: Programme/Arcor/FSPC

myrtille 06.07.2007 23:32
lass die ausm system32ordner mal auswerten, auch wenn sie sehr wahrscheinlich gutartig ist. :)
Die winlog hast du nicht gefunden? :(

lg myrtille

tomasboy 06.07.2007 23:35
ISt noch am Suchen. Aber mein Anti Virus Programm hat heute einen Alarm angezeigt

Beschreibung: Inbound Malware probe
remote adresse:84.130.203.9

myrtille 06.07.2007 23:41
Zitat:
Zitat von tomasboy (Beitrag 278088)
ISt noch am Suchen. Aber mein Anti Virus Programm hat heute einen Alarm angezeigt
Deswegen darf man Antivirenprogrammen nicht immer trauen. :blabla:
Zitat:
Beschreibung: Inbound Malware probe
remote adresse:84.130.203.9
Das ist der böse "Deutsche Telekom"-Trojaner, der dich da attackiert hat.
Da kannst du noch sooft windows neuinstallieren, er wird trotzdem wiederkommen und obendrein lässt du ihn monatlich Geld von deinem Konto abbuchen. :blabla:

Im Ernst, das dürfte dein Provider sein. :D Bei solchen Meldungen ist es immer gut, den "Angreifer" zu ermitteln, hier also "84.130.203.9", das geht zb auf dieser Seite: klick.
In den meisten Fällen handelt es sich um Fehlalarme.

lg myrtille

tomasboy 06.07.2007 23:47
Das sind ja mal gute Neuigkeiten.
Habe die Datei winlog.exe auf der Festplatte c suchen lassen , sie wurde aber nicht gefunden.

STATUS: FINISHEDComplete scanning result of "winsflt.dll", received in VirusTotal at 07.07.2007, 00:39:22 (CET).

Antivirus Version Update Result
AhnLab-V3 2007.7.7.0 07.06.2007 no virus found
AntiVir 7.4.0.39 07.06.2007 no virus found
Authentium 4.93.8 07.06.2007 no virus found
Avast 4.7.997.0 07.06.2007 no virus found
AVG 7.5.0.476 07.06.2007 no virus found
BitDefender 7.2 07.07.2007 no virus found
CAT-QuickHeal 9.00 07.06.2007 no virus found
ClamAV devel-20070416 07.06.2007 no virus found
DrWeb 4.33 07.06.2007 no virus found
eSafe 7.0.15.0 07.06.2007 no virus found
eTrust-Vet 30.8.3769 07.07.2007 no virus found
Ewido 4.0 07.06.2007 no virus found
FileAdvisor 1 07.07.2007 no virus found
Fortinet 2.91.0.0 07.06.2007 no virus found
F-Prot 4.3.2.48 07.06.2007 no virus found
F-Secure 6.70.13260.0 07.06.2007 no virus found
Ikarus T3.1.1.8 07.06.2007 no virus found
Kaspersky 4.0.2.24 07.07.2007 no virus found
McAfee 5069 07.06.2007 no virus found
Microsoft 1.2704 07.06.2007 no virus found
NOD32v2 2383 07.06.2007 no virus found
Norman 5.80.02 07.06.2007 no virus found
Panda 9.0.0.4 07.07.2007 no virus found
Sophos 4.19.0 07.06.2007 no virus found
Sunbelt 2.2.907.0 07.06.2007 no virus found
Symantec 10 07.06.2007 no virus found
TheHacker 6.1.6.143 07.05.2007 no virus found
VBA32 3.12.0.2 07.06.2007 no virus found

myrtille 06.07.2007 23:56
Meines Erachtens dürfte die Datei im System32-Ordner sitzen. Du kannst also mal versuchen, die Datei einfach mit dem Pfad bei virustotal hochzuladen:
Zitat:
C:\WINDOWS\System32\winlog.exe

tomasboy 07.07.2007 00:04
ist es vll. diese hier?

WindowsLogon.manifest

myrtille 07.07.2007 00:12
Eher nicht. Das sieht nach ner "normalen" Datei aus. Hast du den Pfad mal ins weiße Fenster von virustotal eingegeben? Wie hat virustotal reagiert?

Eine Idee zur Überprüfung hab ich noch, wir schauen nach den Registryschlüsseln:

Dann suche bitte folgende Registrierungsschlüssel (Start->Ausführen->rededit->suchen):
Wenn du diese findest:
Zitat:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
Windows Login = winlog.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\
Windows Login = winlog.exe
besitzt du ihn hier: klick

Wenn du folgende findest:
Zitat:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\RunServices
Winlog = "winlog.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
winlog = "winlog.exe"

HKEY_CURRENT_USER\Software\Microsoft\OLE
Winlog = "winlog.exe"
Dann hast du das gewonnen: klick

In beiden Fällen müsstest du neuaufsetzen.
Findest du keins von beiden, dann würde ich dich noch ein paar Analysetools drüberjagen lassen und evtl noch wen um Hilfe fragen.
Aber bisher deutet alles daraufhin, dass das Malware ist! Sorry. :o

lg myrtille

tomasboy 07.07.2007 00:14
Habe doch noch ezw. gefunden
die datei heißt _winlog1FB0


liegt im ordner c:dokummente und einstellunden/AllUsrers/Anwendungsdaten/Sectaskman

myrtille 07.07.2007 00:21
Die Datei liegt sicher im System32-Ordner, gib bitte bei Virustotal ins weiße Fenster folgendes ein:
Zitat:
C:\WINDOWS\System32\winlog.exe
und poste das Ergebnis hier!
EDIT: Hast du den Securitytaskamanger installiert?

lg myrtille

tomasboy 07.07.2007 00:24
es kommt leider nur diese meldung

0 bytes size received / Se ha recibido un archivo vacio


und wenn ich rededit eingebe erscheint eine Fehlermeldung beim ausführen


Alle Zeitangaben in WEZ +1. Es ist jetzt 17:04 Uhr.
Seite 1 von 3 1 23
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131