Trojaner-Board
Seite 1 von 3 1 23
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Bitte LogFile überprüfen! (https://www.trojaner-board.de/41327-bitte-logfile-ueberpruefen.html)

eftekhari 26.07.2007 10:40
Bitte LogFile überprüfen!
 
Hallo,
mein Rechner stürzt seit einiger Zeit grundlos ab und lädt lange wenn man Programme aufmachen will. Ich würde jmd. bitten, meine Logfile auszuwerten. Vielen dank!

MFG
Efte

Logfile of HijackThis v1.99.1
Scan saved at 11:29:41, on 26.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
c:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
c:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
c:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\scvhost\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Dit.exe
C:\HP\KBD\KBD.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ADS Tech\INSTANT TV DVB-T\Scheduled.exe
C:\WINDOWS\vsnpstd3.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkCalRem.exe
C:\WINDOWS\DitExp.exe
C:\Programme\Sun\StarOffice 8\program\soffice.exe
C:\Programme\Sun\StarOffice 8\program\soffice.BIN
C:\Programme\MSN Messenger\usnsvc.exe
C:\Dokumente und Einstellungen\*\Desktop\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://de8.hpwis.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://srch-de8.hpwis.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://srch-de8.hpwis.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://srch-de8.hpwis.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://de8.hpwis.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://srch-de8.hpwis.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://srch-de8.hpwis.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://srch-de8.hpwis.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://de8.hpwis.com/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://de8.hpwis.com/
F2 - REG:system.ini: UserInit=userinit.exe,C:\WINDOWS\system32\scvhost\svchost.exe,wuauserv.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - c:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - c:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [UpdateManager] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [ccApp] "c:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [DTVR Agent] C:\Programme\ADS Tech\INSTANT TV DVB-T\Scheduled.exe
O4 - HKLM\..\Run: [snpstd3] C:\WINDOWS\vsnpstd3.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [WM Ticket Alert] "C:\Programme\MedienTeam66\WM Ticket Finder Plus\WM_Ticket_Finder_plus.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - Startup: StarOffice 8.lnk = C:\Programme\Sun\StarOffice 8\program\quickstart.exe
O4 - Startup: WKCALREM.LNK = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkCalRem.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: iFinger - {936E5D60-596C-11D3-BB96-00600816DF55} - C:\WINDOWS\System32\SHDOCVW.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://de7.hpwis.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - h**p://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - h**p://idunai.spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - h**p://software-dl.real.com/221d29e3d480c03b2605/netzip/RdxIE601.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1151782624328
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - The Firebird Project - C:\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - c:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: NBService - Nero AG - D:\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - c:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

Mobius07 26.07.2007 11:04
Folgende Pfad dieses Systemprozesses (Svchost.exe ist ein generischer Hostprozessname für Dienste und sollte im %SystemRoot%\System32 Ordner zu finden sein) ist mir rätselhaft:
C:\WINDOWS\system32\scvhost\svchost.exe

Lass daher diese Datei bitte bei Virustotal , bzwe. bei Jotti überprüfen:
VirusTotal - Free Online Virus and Malware Scan
Online malware scan
Datei ins weisse Fensterchen kopieren, auf "send/submit" klicken. Dauert so ca. zwei Minuten.

EDIT: Moin nochdigger

nochdigger 26.07.2007 11:06
Hallo

mach zuerst alle versteckten Dateien und Ordner sichtbar und dann lass bitte diese Datei(en)
(genau den Pfad beachten!)
C:\WINDOWS\system32\scvhost\svchost.exe
C:\WINDOWS\system32\scvhost\wuauserv.exe
hier Virustotal
oder hier Jotti
überprüfen (kann einige Minuten dauern),
poste die Ergebnisse mit der Angabe der größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben,
bitte auch wenn nichts gefunden wurde.

MFG

Moin Mobius

myrtille 26.07.2007 11:09
Hi,
das scheint dieser Junge zu sein: busyboy

Der Wurm verbreitet sich über USB-Sticks, leihe deine Sticks deswegen vorerst nicht mehr aus und schließ keine fremden Sticks an deinen Rechner an.

lg myrtlle

eftekhari 26.07.2007 13:28
Hi,
danke für eure Hilfe. Leider kann ich unter scvhost keine Dateien sehen, da sie versteckt sind. Und wenn ich das unter "Ordneroptionen" änder wird die Einstellung automatisch wieder auf "versteckt" gesetzt.

MFG
Efte

irrlicht 26.07.2007 15:49
Hallo,
versuche mit "Blacklight" und "Silent Runner" ,Licht ins Dunkle zu bringen...:rolleyes: Google sagt dir wo du sie findest...
Poste beide Logfiles hier .
Irrlicht

myrtille 26.07.2007 16:05
Ich bleib bei meiner Einschätzung und würde dir empfehlen Neuaufzusetzen und alle Passörter zu wechseln, da sillyboy tastaturfolgen mitschreiben kann.

Wenn du die Datei vorher noch auswerten willst kannst du folgendes tun:
1)
Einfach den Pfad "C:\WINDOWS\system32\scvhost\svchost.exe" in das weiße Feld bei Virustotal schreiben und schauen ob er die Datei auswerten kann.
2)
Die Dateien mit avenger löschen und danach auswerten lassen:
Zitat:
1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:

http://virus-protect.org/artikel/bilder/avanger.png

2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein:

Zitat:
Files to delete:
C:\WINDOWS\system32\scvhost\svchost.exe
C:\WINDOWS\system32\scvhost\wuauserv.exe

3.) Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.

http://virus-protect.org/artikel/bilder/avenger4.png

4.) Danach das System unverzüglich neu starten lassen
5.) Lass eScan nochmal laufen, erstelle und poste ein neues Logfile.
Poste ausserdem den Inhalt der C:\avenger.txt Datei.

*Mit einem großen Dankeschön an Sunny für dieses schöne Anleitung!*
Danach befinden sich die Dateien im Ordner C:\avenger\ und du kannst sie von dort aus hochladen. :)

lg myrtille

EDIT: Viel zu langsam. :p Servus irrlicht! :)

eftekhari 26.07.2007 17:06
So, ich hab bei Virustotal mal "C:\WINDOWS\system32\scvhost\svchost.exe" eingeben und der hat mir das ausgespruckt:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.7.27.0 2007.07.26 Win32/Xema.worm.10240
AntiVir 7.4.0.50 2007.07.26 Worm/VB.DZ.58
Authentium 4.93.8 2007.07.25 W32/Worm.HS
Avast 4.7.997.0 2007.07.26 Win32:VB-BGC
AVG 7.5.0.476 2007.07.26 Worm/Generic.BBL
BitDefender 7.2 2007.07.26 Win32.Worm.VB.DZ
CAT-QuickHeal 9.00 2007.07.25 Worm.VB.dz
ClamAV 0.91 2007.07.26 Worm.VB-275
DrWeb 4.33 2007.07.26 BackDoor.Generic.1526
eSafe 7.0.15.0 2007.07.24 Win32.VB.dz
eTrust-Vet 31.1.5004 2007.07.25 Win32/Bactera.A
Ewido 4.0 2007.07.26 Worm.VB.dz
FileAdvisor 1 2007.07.26 High threat detected
Fortinet 2.91.0.0 2007.07.26 W32/Busboy.A!worm
F-Prot 4.3.2.48 2007.07.25 W32/Worm.HS
F-Secure 6.70.13030.0 2007.07.26 Worm.Win32.VB.dz
Ikarus T3.1.1.8 2007.07.26 Worm.Win32.VB.dz
Kaspersky 4.0.2.24 2007.07.26 Worm.Win32.VB.dz
McAfee 5084 2007.07.26 W32/Bactera.worm!p2p
Microsoft 1.2704 2007.07.26 Worm:Win32/Backterra.F
NOD32v2 2423 2007.07.26 Win32/VB.NIS
Norman 5.80.02 2007.07.26 W32/VBWorm.NLZ
Panda 9.0.0.4 2007.07.26 W32/Bactera.L.worm
Rising 19.33.32.00 2007.07.26 Trojan.VB.vta
Prevx1 V2 2007.07.26 WORM.VB.DZ
Sophos 4.19.0 2007.07.26 W32/Busboy-A
Sunbelt 2.2.907.0 2007.07.26 -
Symantec 10 2007.07.26 W32.Bactera
TheHacker 6.1.7.154 2007.07.26 -
VBA32 3.12.2.1 2007.07.24 Worm.Win32.VB.dz
VirusBuster 4.3.26:9 2007.07.26 Worm.VB.YLD
Webwasher-Gateway 6.5.3 2007.07.26 Worm.VB.DZ.58
weitere Informationen
File size: 30720 bytes
MD5: db710fbaf5a13b06d17999cb3eba1a2d
SHA1: 11e721257e69ffd5c40b69d54ff3130f7adb875a
packers: UPX
packers: UPX
packers: UPX
Bit9 info: h**p://fileadvisor.bit9.com/services/extinfo.aspx?md5=db710fbaf5a13b06d17999cb3eba1a2d
packers: UPX
Prevx info: h**p://fileinfo.prevx.com/fileinfo.asp?PX5=86F8B0590036D24F78D500B2916D1300F03179E1

Bei f-secure Blacklight konnte er nichts finden!

Für C:\WINDOWS\system32\scvhost\wuauserv.exe konnte mir Virustotal nicht gefährliches liefern.

Soll ich das alles nochmal mit Avenger durchlaufen lassen?
MFG
Efte

eftekhari 27.07.2007 16:34
kann keiner helfen?

Sunny 27.07.2007 17:09
Zitat:
Zitat von eftekhari (Beitrag 282493)
Für C:\WINDOWS\system32\scvhost\wuauserv.exe konnte mir Virustotal nicht gefährliches liefern.
Lade die Datei trotzdem nochmal hoch bei Virustotal, und kopiere nach der Auswertung das gesamte Ergebnis ab, auch den unteren Teil zur Größenangabe HASH etc.

Zitat:
Soll ich das alles nochmal mit Avenger durchlaufen lassen?
MFG
Efte
Nein, brauchst du nicht.

Auf deinem System hat sich ein Wurm installiert, welcher folgende Eigenschaften hat:

Zitat:
-stiehlt Informationen (Betriebssystem, eventuell keylogger)
-installiert sich tief in die Registrierung
-liest Netzwerkverbindungen aus und kann sie beeinflussen
Mein Rat an dich wäre eine Neuinstallation des Betriebssystems, eine Bereinigung ist zwar nicht unmöglich, jedoch sehr langwierig und aufwendig.

Du solltest nach der Neuinstallation alle deine Passwörter im Internet ändern. ;)

Gruß
Sunny

eftekhari 27.07.2007 17:16
Danke für die Infos! Also wenn der eine Wurm schon so gefährlich ist reicht das aus! Soll ich jetzt die ganzen Festplatten (Ich habe 4 Partitionen) Löschen oder reicht es die Partition, auf der das Betriebssystem installiert ist zu löschen? Denn ich habe viele Dateien und programme die ich ungern löschen möchte.

Vielen danke für eure antwort im voraus!

MFG
Efte

Sunny 27.07.2007 17:21
Zitat:
Zitat von eftekhari (Beitrag 282739)
Danke für die Infos! Also wenn der eine Wurm schon so gefährlich ist reicht das aus! Soll ich jetzt die ganzen Festplatten (Ich habe 4 Partitionen) Löschen oder reicht es die Partition, auf der das Betriebssystem installiert ist zu löschen? Denn ich habe viele Dateien und programme die ich ungern löschen möchte.

Sehr vernünftig! :daumenhoc

Es reicht aus, wenn du nur deine Systempartition löschst, also Partition C.
Die anderen Partitionen bleiben unberührt, lass sie auf jeden Fall, bevor du die Neuinstallation in Angriff nimmst, hier überprüfen:

Trend Micro HouseCall - Start

Nicht das auf einer der Partitionen weitere Schädlinge vorhanden sind und nach der Neuinstallation das "Spiel" von vorne beginnt. ;)

Hier auch mal ein LINK wie du am besten formatierst und anschliessend dein System absicherst. Denn ein Anti-Virenscanner ist heute nicht mehr ausreichend und schützt dich nur bedingt.

http://www.trojaner-board.de/12154-a...sicherung.html


Gruß :daumenhoc
Sunny

eftekhari 27.07.2007 17:29
hi,
nun hab ich auch meinen Andren PC überprüft. Auch da ist
C:\WINDOWS\system32\scvhost\svchost.exe drauf! Und wenn ich das mit virustotal überprüfe liefert er mir:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.7.28.0 2007.07.27 Win32/Xema.worm.10240
AntiVir 7.4.0.50 2007.07.27 Worm/VB.DZ.58
Authentium 4.93.8 2007.07.27 W32/Worm.HS
Avast 4.7.997.0 2007.07.27 Win32:VB-BGC
AVG 7.5.0.476 2007.07.27 Worm/Generic.BBL
BitDefender 7.2 2007.07.27 Win32.Worm.VB.DZ
CAT-QuickHeal 9.00 2007.07.26 Worm.VB.dz
ClamAV 0.91 2007.07.27 Worm.VB-275
DrWeb 4.33 2007.07.27 BackDoor.Generic.1526
eSafe 7.0.15.0 2007.07.24 Win32.VB.dz
eTrust-Vet 31.1.5008 2007.07.26 Win32/Bactera.A
Ewido 4.0 2007.07.27 Worm.VB.dz
FileAdvisor 1 2007.07.27 High threat detected
Fortinet 2.91.0.0 2007.07.27 W32/Busboy.A!worm
F-Prot 4.3.2.48 2007.07.27 W32/Worm.HS
F-Secure 6.70.13030.0 2007.07.27 Worm.Win32.VB.dz
Ikarus T3.1.1.8 2007.07.27 Worm.Win32.VB.dz
Kaspersky 4.0.2.24 2007.07.27 Worm.Win32.VB.dz
McAfee 5084 2007.07.26 W32/Bactera.worm!p2p
Microsoft 1.2704 2007.07.27 Worm:Win32/Backterra.F
NOD32v2 2425 2007.07.27 Win32/VB.NIS
Norman 5.80.02 2007.07.27 W32/VBWorm.NLZ
Panda 9.0.0.4 2007.07.27 W32/Bactera.L.worm
Prevx1 V2 2007.07.27 WORM.VB.DZ
Rising 19.33.42.00 2007.07.27 Trojan.VB.vta
Sophos 4.19.0 2007.07.26 W32/Busboy-A
Sunbelt 2.2.907.0 2007.07.26 -
Symantec 10 2007.07.27 W32.Bactera
TheHacker 6.1.7.155 2007.07.27 -
VBA32 3.12.2.1 2007.07.27 Worm.Win32.VB.dz
VirusBuster 4.3.26:9 2007.07.27 Worm.VB.YLD
Webwasher-Gateway 6.0.1 2007.07.27 Worm.VB.DZ.58
weitere Informationen
File size: 30720 bytes
MD5: db710fbaf5a13b06d17999cb3eba1a2d
SHA1: 11e721257e69ffd5c40b69d54ff3130f7adb875a
packers: UPX
packers: UPX
packers: UPX
Bit9 info: http://fileadvisor.bit9.com/services/extinfo.aspx?md5=db710fbaf5a13b06d17999cb3eba1a2d
packers: UPX
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=86F8B0590036D24F78D500B2916D1300F03179E1

Logfile of HijackThis v1.99.1
Scan saved at 18:20:48, on 27.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\scvhost\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\ATI Technologies\ATI HYDRAVISION\HydraDM.exe
E:\Programme\DAEMON Tools\daemon.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.EXE
C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Java\jre1.5.0_06\bin\jucheck.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\Programme\Mozilla Firefox\firefox.exe
E:\Programme\Opera\Opera.exe
E:\Programme\eMule\Incoming\www.torrents-and-more.to.DVDRip.XviD\hijackthis\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
F2 - REG:system.ini: UserInit=userinit.exe,C:\WINDOWS\system32\scvhost\svchost.exe,wuauserv.exe
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [HydraVisionDesktopManager] C:\Programme\ATI Technologies\ATI HYDRAVISION\HydraDM.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [DAEMON Tools] "e:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [WM Ticket Alert] "e:\Programme\MedienTeam66\WM Ticket Finder Plus\WM_Ticket_Finder_plus.exe"
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O8 - Extra context menu item: An vorhandenes PDF anfügen - res://E:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://E:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://E:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://E:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://E:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://E:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://E:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://E:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - e:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - e:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - h**p://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - h**p://www.adobe.com/products/acrobat/nos/gp.cab
O16 - DPF: {FEE1002D-90A5-4A5D-AABE-01803FFBCF7A} (pCastPanel Class) - h**p://ps.itv.mop.com/dn/files/pCastCtl_1.0.0.84_20060511.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{16D25536-4C8A-43BA-90A7-96B0A5C9CF6B}: NameServer = 192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{16D25536-4C8A-43BA-90A7-96B0A5C9CF6B}: NameServer = 192.168.0.1
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NBService - Nero AG - C:\nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

myrtille 27.07.2007 17:36
Hi,
das wird daran liegen, dass sich der Wurm nicht nur über Netzwerk sondern auch über USB-Sticks uÄ (externe Festplatten, Mp3player, Disketten etc.) verbreitet. Wenn du also damit in letzter Zeit Daten übertragen hast, dürftest du ihn so angesteckt haben.

Deswegen bitte auch auf jedenfall deine USB-Sticks etc. formatieren, sonst hast du den Übeltäter gleich wieder drauf. :)
(Wie du das am besten tust, weiß ich allerdings nicht. Vermutlich wird sich der Übeltäter in der Autorun.inf verstecken, das heißt du wirst infiziert sobald du den Stick in den Rechner tust. Am sichersten wäre es dementsprechend, wenn du die Sticks mit nem anderen Betriebssystem löschst und formatierst.)

Lg myrtille

EDIT: Servus Sunny! :party:

Sunny 27.07.2007 17:39
Siehst du, und genau da ist das Problem. :balla:

Der Trojaner hat deine Netzwerkverbindung "ausgenutzt" um sich weiter zu verbreiten, ohne das du davon "Wind" bekommen hast!
Dies ermöglichte ihm eine sogenannte Backdoor (Hintertür), über diese kommuniziert er ins Internet bzw. im Netzwerk.
Dies sollte Grund genug sein schnellstmöglich den Rechner vom Netz zu nehmen und zu formatieren. ;)


Alle Zeitangaben in WEZ +1. Es ist jetzt 06:17 Uhr.
Seite 1 von 3 1 23
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131