Trojaner-Board - Auswertung nach steam stealer/backdoor ty

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Auswertung nach steam stealer/backdoor ty (https://www.trojaner-board.de/53511-auswertung-steam-stealer-backdoor-ty.html)

Auswertung nach steam stealer/backdoor ty

hi an alle

also koenntet ihr bitte mal so nett sein und mein log file checken pls weil ich einen trojaner drauf hatte der bei meiner HalfLife2.exe und an der halflife.exe war. Habe nun angst um den/die steam account(s) :schmoll:

HAbe a squared free durchlaufen lassen auf dicksten scanxD und der hat auch 2backdoor gefunden, habe dann alle gelöscht und neu gescannt mit stinger(aber alte version)

danke an alle

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 20:08:01, on 05.06.2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.20661)

Boot mode: Normal
 

Running processes:

C:\WINXP\System32\smss.exe

C:\WINXP\system32\winlogon.exe

C:\WINXP\system32\services.exe

C:\WINXP\system32\lsass.exe

C:\WINXP\system32\svchost.exe

C:\WINXP\System32\svchost.exe

C:\WINXP\system32\spoolsv.exe

d:\Programme\a-squared Free\a2service.exe

C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe

C:\WINXP\system32\nvsvc32.exe

C:\WINXP\system32\oodag.exe

C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe

C:\WINXP\Explorer.EXE

C:\WINXP\system32\wscntfy.exe

C:\WINXP\RTHDCPL.EXE

D:\Programme\Razer\Diamondback\razerhid.exe

C:\WINXP\system32\RUNDLL32.EXE

C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe

C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe

C:\WINXP\system32\ctfmon.exe

D:\Programme\SpeedFan\speedfan.exe

D:\Programme\Razer\Diamondback\razertra.exe

D:\Programme\Razer\Diamondback\razerofa.exe

D:\Programme\Mozilla Firefox\firefox.exe

D:\Program Files\Trend Micro\HijackThis\HijackThis.exe
 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.xxx/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.xxx/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.xxxmicrosoft\Internet Explorer\Main,Search Page = http://go.microsoft.xxx/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.xxx/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [OODefragTray] C:\WINXP\system32\oodtray.exe

O4 - HKLM\..\Run: [Diamondback] d:\Programme\Razer\Diamondback\razerhid.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINXP\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINXP\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"

O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINXP\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')

O4 - Startup: SpeedFan.lnk = D:\Programme\SpeedFan\speedfan.exe

O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm

O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - d:\Programme\ICQ6\ICQ.exe

O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - d:\Programme\ICQ6\ICQ.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{F4D38BCC-5D58-4FF1-8907-C6FC796581F8}: NameServer = 213.168.112.60 194.8.194.60

O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll

O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - d:\Programme\a-squared Free\a2service.exe

O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINXP\system32\nvsvc32.exe

O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINXP\system32\oodag.exe

O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINXP\System32\TuneUpDefragService.exe
 

--

End of file - 4896 bytes

kannst du auch selbst auswerten lassen:

hier:

HijackThis Logfileauswertung

Logfile reinkopieren, auf auswerten klicken, prozesse ansehen...

dann wirst du erkennen, daß du noch mist draufhast!

mach eine sicherung aller wichtiger dateien, am besten auf stick oder dvd.

platte platt machen, alles neu installieren und dann wieder logfile posten.

ich würde keine pf (personal firewall, zonelabs etc.) nutzen, nutz die windows interne, die filtert auch pakete...außerdem hast du doch bestimmt nen router /wlan router, der hat auch ne firewall, bitte die auch einschalten.

als virenscanner: avira, neuste ver. mit täglichen updates...sonst KEIN av scanner bitte.

jede zusätzlich installierte soft kann lücken aufweisen...bedeutet, je weniger sw, um so weniger potentielle lücken.

vergiss die xp sp updates nicht!

Zitat:

Zitat von saarschwenke (Beitrag 343563)

Logfile reinkopieren, auf auswerten klicken, prozesse ansehen...

dann wirst du erkennen, daß du noch mist draufhast!

mach eine sicherung aller wichtiger dateien, am besten auf stick oder dvd.

platte platt machen, alles neu installieren und dann wieder logfile posten.

Stop!

Erkläre bitte zuerst wieso du dem User eine Neuinstallation empfiehlst? :rolleyes:

Ich kann beim besten Willen nichts entdecken was diesen Schritt rechtfertigt! :teufel1:

O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')

Art Schädlich (2.97 / 5.00)

wurde von der logfileauswertung als schädlich erkannt. den prozess selbst kenne ich nicht, wird aber angeblich nur einmal ausgeführt (runonce)

und wurde hier im board schon öfters erwähnt.

grundsätzlich setze ich mein system komplett neu auf, wenn ich was finde...trau schau wem.

natürlich mit einem backup eines funktionierenden, sauberen systems mit aller software.

Zitat:

Zitat von saarschwenke (Beitrag 343604)

Art Schädlich (2.97 / 5.00)

wurde von der logfileauswertung als schädlich erkannt. den prozess selbst kenne ich nicht, wird aber angeblich nur einmal ausgeführt (runonce)

Wer sich zu 100% auf die automatische Auswertung verlässt hat meiner Ansicht nach "verloren"!

Jedoch kannst du nicht davon ausgehen das andere genauso agieren wie du:

Zitat:

grundsätzlich setze ich mein system komplett neu auf, wenn ich was finde...

Der Eintrag im Hijacklog gehört im übrigen hierzu -> NLite ? Wikipedia

@newshit

Malwarebytes' Anti-Malware

Lies dir die Entfernungsanleitung durch und lass alles entfernen was gefunden wurde:

Download von Malwarebytes' Anti-Malware

Kaspersky - Onlinescanner

Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware.

---> hier herunterladen => Online-Viren-Scanner
=> Hinweise zu älteren Versionen beachten!
=> Voraussetzung: Internet Explorer 6.0 oder höher
=> die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter
=> Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken
=> Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als
=> Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten
=> Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen

ich verlasse mich auch nicht zu 100 % auf automaten ;-)

hm, natürlich gibts auch user, die ihr system nicht sichern, wel sie es schlichtweg nicht können...aber wie man seine wichtigen dateien auf cd / dvd oder stick zieht, sollte mittlerweile eigentlich fast 90 % der "user" wissen.

evtl. hat sich der "befallene" rechner ja nlite von einer quelle runtergeladen, die NICHT sicher war, oder aber programme die durch nlite installiert wurden waren nicht sauber..?

jedenfalls setze ich wie bereits gesagt mein system neu auf, wenn infektionen bekannt werden.

Ist selten...

Nachdem das befallene System neuinstalliert wurde, würde ich an deiner Stelle mal mehr Acht auf deine Sicherheit geben(Autostart Einträge prüfen,Kompletter Virenschutz)