Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Trojaner/Backdoor? (https://www.trojaner-board.de/44809-trojaner-backdoor.html)

meppel 19.10.2007 11:06

Trojaner/Backdoor?
 
Hallo,

Bin hier neu,und komme auch gleich mit nem Problem zu euch:rolleyes:

Folgendes ich betreibe Online Banking...als ich mich gestern einloggen wollte,kam ne Meldung das ich meine Daten falsch eingegeben habe,was aber logischerweise falsch ist.Also habe ich es später nochmal probiert,selbiges Problem wieder...nun hab ich mir natürlich sorgen gemacht.Hab Antivir durchlaufen lassen,Ad-ware etc..alles auf Aktuellen stand.Bin normal nicht der dümmste in Sachen Pc was aber auch nicht heißt das ich alles kann/weiß.

Anbei meine Hijack log..hoffe ihr könnt mir helfen..

Logfile of HijackThis v1.99.1
Scan saved at 12:01:15, on 19.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
E:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
E:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
E:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
H:\Programme\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
F2 - REG:system.ini: UserInit=userinit.exe,C:\WINDOWS\system32\ntos.exe,
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: VIPTToolbarManager Class - {1A2641AE-2C42-4C51-A05F-8ECEC3FDC94D} - e:\Programme\Visual IP Trace 2007\VisualIPTraceIE.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: Visual IP Trace - {E70C26AE-DFF1-40A8-8D37-19180F56F0AA} - e:\Programme\Visual IP Trace 2007\VisualIPTraceIE.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "E:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = E:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0835BC90-6ABC-4F52-A103-4FC3A61F2C33} (A18X Control) - http://www.albatross18.com/season2/cabs/A18X.ocx
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - E:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - E:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Wildlife Park 2 AddOn3 Marine Park Drivers Auto Removal (pr2alucb) (pr2alucb) - Koch Media - C:\WINDOWS\system32\pr2alucb.exe




mfg meppel

raven 19.10.2007 11:42

Also ich sehe im Log auf den ersten Blick nichts.

Ruf aber zur Sicherheit bei deiner Bank an und lass Online Banking vorübergehend sperren. Lass dir dann in einer Filiale einen neuen PIN/Passwort ausstellen. Und natürlich solltest du deine Kontoauszüge sofort überprüfen.

Vorher überprüfe aber bitte ob du nicht versehentlich Caps-Lock aktiviert hattest und lösch die Cookies und den Cache deines Browsers.

meppel 19.10.2007 11:49

Hallo Raven,also den Cache und cookies löch ich immer Manual,und mit Hilfe von Steganos..

Das Konto ist schon gespeert,die Bank kümmert sich drum,der Sache evtl auf den Grund zu gehen,so die Aussage am Telefon vor ner guten Stunde.

Mir ist der log ein Eintrag aufgefallen,Ntos.exe...schätze mal das wird nicht normal sein...

mfg meppel

Edit: Den Eintrag meinte ich:
F2 - REG:system.ini: UserInit=userinit.exe,C:\WINDOWS\system32\ntos.exe

raven 19.10.2007 11:59

Hoppla,

hatte heute noch nicht meinen zweiten Kaffee, den Eintrag hab ich doch glatt übersehen.

ntos.exe ist ein Trojaner. Warum Antivir den nicht gefunden bzw. abgewehrt hat ist interessant.

Anleitung zum Entfernen folgt in Kürze.

DocBrown 19.10.2007 12:12

Troj/Dloadr-AWJ
Troj/Dloadr-AWJ Trojaner
Übersicht
Übersicht Erläuterung
Wiederherstellung
Erweitert
Verbreitung: niedrig hoch
Name Troj/Dloadr-AWJ
Typ Trojaner

Anfällige Betriebssysteme Windows

Nebeneffekte Installiert sich in der Registrierung

Schutz Download der Virenkennungsdatei (IDE)

Schutz verfügbar seit 28 März 2007 13:32:50 (GMT)
Erkannt von Alle Versionen von Sophos Anti-Virus
In unserem Produkt enthalten ab Mai 2007 (4.17)
Weitere Informationen über IDE-Dateien Was sind IDE-Dateien?
Verwendung von IDE-Dateien
Neueste IDE-Dateien


Erläuterung
Übersicht
Erläuterung Wiederherstellung
Erweitert
Dieser Bereich erläutert sein Verhalten
Troj/Dloadr-AWJ ist ein Trojaner für die Windows-Plattform.


Troj/Dloadr-AWJ kann ein Attachment von Spam-Mails sein und weitere ausführbare Codes herunterladen.

Wiederherstellung
Übersicht
Erläuterung
Wiederherstellung Erweitert
Dieser Bereich erläutert, wie Sie diesen Virus desinfizieren.
Bitte folgen Sie den Hinweisen zum Entfernen von Trojanern.

Erweitert
Übersicht
Erläuterung
Wiederherstellung
Erweitert Dieser Bereich ist für technische Experten vorgesehen, die detaillierte Informationen über diesen Virus wünschen.
Troj/Dloadr-AWJ ist ein Trojaner für die Windows-Plattform.


Troj/Dloadr-AWJ kann ein Attachment von Spam-Mails sein und weitere ausführbare Codes herunterladen.


Sobald Troj/Dloadr-AWJ installiert wird, können folgende Dateien erstellt werden:


<System>\ntos.exe
<System>\wsnpoem\audio.dll
<System>\wsnpoem\video.dll


Die Datei ntos.exe wird auch erkannt als Troj/Dloadr-AWJ.


Der folgende Registrierungseintrag wird erstellt, um ntos.exe beim Start auszuführen:


HKCU\Software\Microsoft\Windows\CurrentVersion\Run
userinit
<System>\ntos.exe


Der folgende Registrierungseintrag wird geändert, um ntos.exe beim Start auszuführen:


HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Userinit
<System>\userinit.exe,<System>\ntos.exe,

meppel 19.10.2007 12:25

Hallo nochmal,wollte mein Post editieren,aber nachdem ich mit der Bank eben telefoniert habe,wollte ich es extra schreiben,undzwar die Kollegin von der Bank hat gesagt es liegt am Trojaner,wodurch mein Konto gesperrt wurde.Also Meine Bank hat quasi sonn Sicherheitsprogramm oder ähnliches auf der Hp wodurch mir (beim Virusbefall) der Zugang zum Konto nicht gewährt wird..sie hat auch gesagt wie er heißt



wsnpoem das hat die am Telefon eben gesagt,jetzt stellt sich mir die Frage,alles neu drauf spielen,oder evtl doch den längeren Weg gehen?
Es muß natürlich dann 100% Clean sein,wenn nicht bleibt mir nur doch das Neuaufsetzen.Danke euch

mfg meppel

Edit: dieser wsnpoem wird von Antivir nicht erkannt..?

nochdigger 19.10.2007 21:27

Moin

Zitat:

wsnpoem das hat die am Telefon eben gesagt,jetzt stellt sich mir die Frage,alles neu drauf spielen,oder evtl doch den längeren Weg gehen?
Neu machen (meine Meinung)


Zitat:

Edit: dieser wsnpoem wird von Antivir nicht erkannt..?
sieht so aus, könnte aber auch an den Rootkittechniken liegen die dieser Schädling verwendet und aus diesem Grund rate ich dir,
setz die Kiste neu auf nach dieser Anleitung --> Neuaufsetzen des Systems und anschliessende Absicherung!
Ändere nach der Neuinstallation unbedingt alle deine Pass- und Kennwörter.

MFG

meppel 20.10.2007 14:08

Mahlzeit zusammen...also ich habe mein System neu aufgesetzt..

Programme Installed

System: Sp2 (Updatet)
Spy: Spybot,Adware
Virus: Antivir
Explorer: Mozilla Firefox 2.0
Email: Thunderbird
Internet: Steganos Internet Security (Verlauf Cookies löschen etc)
System:Tuneup 2007,Windows Dienste abschalten (Thx für die Anleitung @nochdigger)

Habe bereits nen Spy wie auch Virusscan gemacht...bisher alles Clean.Anbei meine Hijack von eben..hoffe natürlich das sie Sauber ist ;)



Logfile of HijackThis v1.99.1
Scan saved at 15:08:36, on 20.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
E:\Programme\Steganos Internet Trace Destructor 7\ITD7.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avscan.exe
E:\Programme\Mozilla Firefox\firefox.exe
H:\Programme\HijackThis.exe

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - e:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ITD7] "E:\Programme\Steganos Internet Trace Destructor 7\ITD7.exe" -boot
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - e:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - e:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Thx für die schnellen Antworten ! :party:


Alle Zeitangaben in WEZ +1. Es ist jetzt 22:33 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131