Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Trojaner vorhanden? (https://www.trojaner-board.de/46284-trojaner-vorhanden.html)

K4m1k4tz3 25.11.2007 18:02
Trojaner vorhanden?
 
Hi,

eine Freundin hat gerade ein paar Probleme mit ihrem Rechner und da habe ich schnell mal ein HJT-Log erstellt. Da ich mich aber zu schlecht auskenne poste ich es hier.

Zitat:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:52:39, on 25.11.2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINNT\system32\svchost.exe
C:\Programme\NetLimiter 2 Pro\nlsvc.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\Programme\NetLimiter 2 Pro\NLClient.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\VVSN\VVSN.exe
C:\Programme\Gemeinsame Dateien\*\Update_OB\realsched.exe
C:\WINNT\system32\lssas.exe
C:\WINNT\system32\winamp.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Dokumente und Einstellungen\*\Startmenü\Programme\Autostart\winvnc.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\WinRAR\WinRAR.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\WINNT\system32\notepad.exe
E:\HijackThis.exe

O2 - BHO: (no name) - {08A9EB4F-793D-4633-95D0-320D87689D9D} - C:\WINNT\system32\msrclr41.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [VVSN] C:\Programme\VVSN\VVSN.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Local Security Authority Service] C:\WINNT\system32\lssas.exe
O4 - HKLM\..\Run: [Winamp Agent] C:\WINNT\system32\winamp.exe
O4 - HKLM\..\Run: [Advanced DHTML Enable] C:\WINNT\system32\elob.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O4 - Startup: winvnc.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINNT\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINNT\bdoscandel.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - h**p://www.bitdefender.de/scan_de/scan8/oscan8.cab
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: NetLimiter (nlsvc) - Locktime Software - C:\Programme\NetLimiter 2 Pro\nlsvc.exe

--
End of file - 4098 bytes
AV-Antivir hat mal vor einer gewissen Zeit einen TR/PCK.Klone.K.20 und TR/Proxy-Agent-MF.72 erkannt. Mitlerweile zeigt er aber nichts mehr an. Bin mir aber nicht sicher ob diese Trojaner nicht doch noch irgendwo zu finden sind.

Seitsef 25.11.2007 18:25
Hi,
Also sie sollte folgende Sachen bei Virustotal durchlaufen lassen (virustotal.com.de) Und die auswertung hier Posten.

Zitat:
C:\Programme\VVSN\VVSN.exe

Zitat:
C:\WINNT\system32\lssas.exe
Fixen sollte sie folgendes:



Zitat:
O4 - HKLM\..\Run: [VVSN] C:\Programme\VVSN\VVSN.exe
(Fixen und anschließend den Ordner Manuell löschen!

Zitat:
O4 - HKLM\..\Run: [Local Security Authority Service] C:\WINNT\system32\lssas.exe
Zitat:
O4 - HKLM\..\Run: [Winamp Agent] C:\WINNT\system32\winamp.exe
Das sind ein paar Würmer glaube ich...
MFG Seitsef

cosinus 25.11.2007 23:50
Sry, aber an der Kiste lässt sich nichts mehr bereinigen, die ist kompromittiert, da laufen einige Backdoors, z.B.:

Code:
O4 - HKLM\..\Run: [Local Security Authority Service] C:\WINNT\system32\lssas.exe
O4 - HKLM\..\Run: [Winamp Agent] C:\WINNT\system32\winamp.exe
Das System muss neu aufgesetzt werden. Boote dazu von der W2k-CD.

Allgemein gilt, dass man offline möglichst viele Updates einspielen sollte und erst dann zum ersten Mal ins Internet geht. Bei W2k wären das das SP4 sowie das Update Rollup 1 fürs SP4 und weitere Hotfixes in Form eines Updatepakets. In dieser Reihenfolge sollten sie installiert werden, dazwischen jew. ein Neustart:

1.) SP4
2.) UR1
3.) Updatepaket

Die Updates/Service Packs musst du dir vorher von einem sauberen Rechner besorgen und auf CD brennen, damit der frisch aufgesetzte Rechner offline aktualisiert werden kann. Erst wenn diese Updates eingespielt sind, kannst du rel. gefahrlos eine Internetverbindung aufbauen - ist der W2k-Rechner aber nicht hinter einem Router, empfiehlt es sich nach dem Einspielen der Updates unnötige Dienste zu beenden, da W2k anders wie XP keine Windows-Firewall hat.

M.W. benötigt W2k auch noch eine Aktualisierung auf IE6 (IE7 läuft unter W2k nicht!), da es nur standardmäßig mit IE5 ausgestattet ist. Besuch dazu, wenn alle Maßnahmen zur Absicherung durchgeführt worden sind, die Windows-Update-Seite mit dem IE.

Richte aber als Standardbrowser eine sicherere Alternative ein, wie z.B. Opera oder Mozilla Firefox.

Falls du eine bebilderte Beschreibung für die Installation von W2k brauchst, findest du sie hier => Windows 2000 Pro Installation

K4m1k4tz3 26.11.2007 11:14
Danke für die Hilfe. Ich werde ihr jetzt raten das System neu aufzusetzen und dann werde ich ihr ein paar Updates drauf spielen. Ich habe mir eine CD gebrannt von einem Image, welches ich mit dem Offlineupdater von c't erstellt habe.

Ist bei dem Paket auch das Update Rollup dabei, bzw. downloaded er dies? Habe Servicepacks downloaden aktiviert.

Lohnt es sich unter Windows 2000 einen Admin Account und einen User Account einzurichten, oder bringt das mehr Probleme als es nützt, in Bezug auf Softwareverträglichkeit?

cosinus 26.11.2007 19:25
Zitat:
Ich habe mir eine CD gebrannt von einem Image, welches ich mit dem Offlineupdater von c't erstellt habe.
Ist bei dem Paket auch das Update Rollup dabei, bzw. downloaded er dies? Habe Servicepacks downloaden aktiviert.
Das sollte so auch gehen. M.W. lädt der c't-Offlineupdater alle Updates seit Erscheinen der jew. Windowsversion herunter, also müsste er folglich das letzte Service Pack (beiW2k SP4) und auch das UR1 herunterladen, sowie weitere kleinere Hotfixes. Schau aber genauer nach, ob der IE6 auch mit dabei ist.

Zitat:
Lohnt es sich unter Windows 2000 einen Admin Account und einen User Account einzurichten, oder bringt das mehr Probleme als es nützt, in Bezug auf Softwareverträglichkeit?
Einen Administrator hast du unter Windows immer. Auch unter W2k nennt sich das vordefinierte Standard-Adminkonto Administrator, du kannst aber beliebig viele weitere Adminkonten hinzufügen.

Ich würde auf jeden Fall empfehlen, deiner Freundin ein eingeschränktes Konto einzurichten, damit kann sie wesentlich weniger Schaden anrichten. In den meisten Fällen gar keinen, da heutige PC-Bazillen fast nur auf Systembereiche aus sind, auf die einfache Benutzer aber nur Leserechte haben.
Voraussetzung ist dafür aber unbedingt das NTFS-Dateisystem! Formatiere daher schon im Setup die Systempartition mit NTFS. Gib ihr aber keine Hauptbenutzerrechte, denn der Hauptbenutzer hat fast so viele Rechte wie ein Admin!

Einige Programme benötigen Adminrechte, das müsstest ihr mal sehen was für Programme sie da verwendet. Zum Surfen, Mailen etc. weren aber defintiv keine Adminrechte benötigt. Allerdings wenn sie welche Installieren will braucht sie idR Adminrechte, aber eben nicht immer, weil auch viele Programme als Zip-Datei angeboten werden, die man nur entpacken muss und danach starten kann.


Alle Zeitangaben in WEZ +1. Es ist jetzt 13:47 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19