Trojaner-Board
Seite 1 von 3 1 23
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   bitte um hilfe (https://www.trojaner-board.de/42188-bitte-um-hilfe.html)

juic3 15.08.2007 07:50
bitte um hilfe
 
Hallo, hab nen Anruf von der Bank bekommen das ich wohl nen Trojaner hätte. Nach 2 tage googlen bin ich langsam am Ende und wende euch mit dem Log an euch. Problem is das das ganze noch nen Firmen PC is und ein neuaufsezten sich sehr schwierig gestalten wird :/

Hoffe ihr könnt helfen

vielen dank!

Logfile of HijackThis v1.99.1
Scan saved at 08:35:29, on 15.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\UltraVNC\WinVNC.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe
C:\PROGRA~1\ADP\EPCINT~1\BHEPCInt.exe
C:\PROGRA~1\BHPS\Epci3\bin\epc_srv.exe
C:\Programme\Hewlett-Packard\HP Business Inkjet 1000\Toolbox\mpm.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Microsoft Office\Office\FINDFAST.EXE
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\PROGRA~1\BHPS\Epci3\bin\epc_srv.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\PowerArchiver\POWERARC.EXE
C:\Dokumente und Einstellungen\****\Desktop\aa\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://partner***.int.rit.*m.com/****/extern/partn***.nsf
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = h**p://apc.channe***.eds.com/single.pac
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = microweb
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [WinVNC] "C:\Programme\UltraVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [EPC Integration] C:\PROGRA~1\ADP\EPCINT~1\BHEPCInt.exe
O4 - HKLM\..\Run: [HPWT myPrintMileage Agent] C:\Programme\Hewlett-Packard\HP Business Inkjet 1000\Toolbox\mpm.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_7 -reboot 1
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe
O4 - Startup: ADP.lnk = C:\TUN\EMUL\emul32.exe
O4 - Startup: EPC 3.lnk = bin\ShortcutLauncher.exe
O4 - Startup: Microsoft Outlook.lnk = C:\Programme\Microsoft Office\Office\OUTLOOK.EXE
O4 - Startup: Outlook Express.lnk = C:\Programme\Outlook Express\msimn.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{107E05B1-424E-4614-B840-E4710F29C06D}: NameServer = 205.249.19.65,199.228.170.43
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = de1004.autoconnect.de,autoconnect.de,dcs.eds.com
O17 - HKLM\System\CS1\Services\Tcpip\..\{107E05B1-424E-4614-B840-E4710F29C06D}: NameServer = 205.249.19.65,199.228.170.43
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = de1004.autoconnect.de,autoconnect.de,dcs.eds.com
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Programme\UltraVNC\WinVNC.exe" -service (file missing)

Rene-gad 15.08.2007 07:54
@juic3
Zitat:
Hallo, hab nen Anruf von der Bank bekommen das ich wohl nen Trojaner hätte.
Und es ist wirklich so:
Zitat:
O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe
Bitte Windows so schnell, wie möglich, neu aufsetzen und alle Passwörter ändern.http://www.trojaner-board.de/12154-a...sicherung.html

juic3 15.08.2007 08:00
hmm gibts keine möglichkeit ihn zuentfernen? pws hab ich schon von nem andern "sauberen" PC geändert. Nur kann ich den PC net einfach neuinstallieren da unsere IT-Firma urlaub hat etc...nebenbei wird mein chef sich darüber nicht freuen :(

Rene-gad 15.08.2007 08:10
Zitat:
Zitat von juic3 (Beitrag 287324)
hmm gibts keine möglichkeit ihn zuentfernen? pws hab ich schon von nem andern "sauberen" PC geändert. Nur kann ich den PC net einfach neuinstallieren da unsere IT-Firma urlaub hat etc...nebenbei wird mein chef sich darüber nicht freuen :(
1. Es gibt keine andere Möglichkeit
2. Wenn die alle im Urlaub sind, gibt es bestimmt einen anderen sauberen PC zur Verfügung :daumenhoc
3. Dass du schon die PWs geändert hast, ist "für die Katz' ", denn dieser PC hat einen Backdoor, über die alle PWs und Inhalte von Dritten empfangen werden können.

juic3 15.08.2007 08:17
zu 3:) ich benütze den pc natürlich auch nichtmehr und gebe die neuen pws auch nicht ein :)

aber danke für deine hilfe und in dem fall wirds wohl so sein :/

Rene-gad 15.08.2007 08:21
Zitat:
Zitat von juic3 (Beitrag 287327)
zu 3:) ich benütze den pc natürlich auch nichtmehr und gebe die neuen pws auch nicht ein :)/
Das ist schon gut :)
Zitat:
nebenbei wird mein chef sich darüber nicht freuen
noch weniger würde dein Chef sich freuen, wenn sein Bankkonto von Weiß-der-Herr-Wem geknackt würde ;).
PS: Wenn du Zeit hast, kannst du noch das Empfohlene unterm Link AVZ4 aus meiner Signatur versuchen. Das Verfahren ist etwas umständlich und gibt nach wie vor keine 100%-ge Garantie.

juic3 15.08.2007 09:48
okay mache ich danke dir

juic3 15.08.2007 09:54
hmm leider geht die Anmeldung auf virusinfo.info nicht da ich keinen letterbox angezeigt bekomme und somit die buchstaben/zahlenreinfolge nicht eingeben kann:/

gibts dafür auch ne lösung bzw is das durch den virus entstandne?

Rene-gad 15.08.2007 10:03
Zitat:
Zitat von juic3 (Beitrag 287339)
hmm leider geht die Anmeldung auf virusinfo.info nicht da ich keinen letterbox angezeigt bekomme
Schicke mir die erstellten nach der Anleitung 3 Logfiles per E-Mail. Die Adresse bekommst du über private Nachrichten. Ich werde die heute Abend anschauen.

juic3 15.08.2007 10:18
okay habe ich dir gerade gemailt. vielen dank!

Rene-gad 15.08.2007 10:25
Zitat:
Zitat von juic3 (Beitrag 287346)
okay habe ich dir gerade gemailt. vielen dank!
EDIT:
Führe im AVZ den folgenden Script aus:
Zitat:
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
BC_DeleteFile('C:\WINDOWS\system32\ntos.exe');
BC_Activate;
RebootWindows(true);
end.
Nach dem Neustart erstelle den neuen HJT_log

juic3 15.08.2007 10:35
so script ausgeführt und hjt-log nach neustart erstellt


Logfile of HijackThis v1.99.1
Scan saved at 11:31:29, on 15.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programme\UltraVNC\WinVNC.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\FreePDF_XP\fpassist.exe
C:\PROGRA~1\ADP\EPCINT~1\BHEPCInt.exe
C:\Programme\Hewlett-Packard\HP Business Inkjet 1000\Toolbox\mpm.exe
C:\PROGRA~1\BHPS\Epci3\bin\epc_srv.exe
C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe
C:\PROGRA~1\BHPS\Epci3\bin\epc_srv.exe
C:\WINDOWS\system32\userinit.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\Microsoft Office\Office\FINDFAST.EXE
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\MAPISP32.EXE
C:\Dokumente und Einstellungen\***\Desktop\aa\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h***p://partne***.int.rit.gm.com/**l/extern/***rn*t.nsf
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = h***p://a*c.**eds.com/si***e.pac
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = microweb
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [WinVNC] "C:\Programme\UltraVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [EPC Integration] C:\PROGRA~1\ADP\EPCINT~1\BHEPCInt.exe
O4 - HKLM\..\Run: [HPWT myPrintMileage Agent] C:\Programme\Hewlett-Packard\HP Business Inkjet 1000\Toolbox\mpm.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_7 -reboot 1
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe
O4 - Startup: ADP.lnk = C:\TUN\EMUL\emul32.exe
O4 - Startup: EPC 3.lnk = bin\ShortcutLauncher.exe
O4 - Startup: Microsoft Outlook.lnk = C:\Programme\Microsoft Office\Office\OUTLOOK.EXE
O4 - Startup: Outlook Express.lnk = C:\Programme\Outlook Express\msimn.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{107E05B1-424E-4614-B840-E4710F29C06D}: NameServer = 205.249.19.65,199.228.170.43
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = de1004.autoconnect.de,autoconnect.de,dcs.eds.com
O17 - HKLM\System\CS1\Services\Tcpip\..\{107E05B1-424E-4614-B840-E4710F29C06D}: NameServer = 205.249.19.65,199.228.170.43
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: SearchList = de1004.autoconnect.de,autoconnect.de,dcs.eds.com
O17 - HKLM\System\CS3\Services\Tcpip\..\{107E05B1-424E-4614-B840-E4710F29C06D}: NameServer = 205.249.19.65,199.228.170.43
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = de1004.autoconnect.de,autoconnect.de,dcs.eds.com
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Programme\UltraVNC\WinVNC.exe" -service (file missing)

Rene-gad 15.08.2007 10:49
Zitat:
Zitat von juic3 (Beitrag 287351)
O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe
Fixe das und wiederhole den Script und nach dem Reboot den Log, wobei ich an den Erfolg nicht mehr glaube.

juic3 15.08.2007 10:58
ähm wie fixe ich das?

Rene-gad 15.08.2007 11:00
Zitat:
Zitat von juic3 (Beitrag 287357)
ähm wie fixe ich das?
http://www.trojaner-board.de/17493-a...ijackthis.html


Alle Zeitangaben in WEZ +1. Es ist jetzt 05:29 Uhr.
Seite 1 von 3 1 23
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131