Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Trojaner? Windowsausführungen (cmd, taskmgr,...) gesperrt (zurücksetzen scheitert) (https://www.trojaner-board.de/54109-trojaner-windowsausfuehrungen-cmd-taskmgr-gesperrt-zuruecksetzen-scheitert.html)

Takeo 16.06.2008 22:47
Trojaner? Windowsausführungen (cmd, taskmgr,...) gesperrt (zurücksetzen scheitert)
 
Hallo TB-Team,
Ich habe folgendes Problem:
Alle ausführungen wie cmd, taskmgr, etc. wurden angeblich vom Administrator gesperrt.
Durch TuneUp Utilities 2007 konnte ich die Registrationsdatei editieren und die Werte von "disablecmd" und den vom taskmgr auf 0 setzen, so dass ich diese benutzen konnte.
Doch nach einem Neustart waren diese wieder auf 1 gesetzt.
Aufgrund des Verdachtes auf einen Trojaner habe ich sofort mit Norton Internet Security 2008 einen virenscan durchführen wollen (mache ich jeden sonntag). Doch anscheinend hat dieser Trojaner auch Norton angegriffen... Nun bekomme ich die Meldung, dass meine Lizens nicht original (gültig) sei.
Alternativ habe ich versucht, mit dem Onlinescanner von Kaspersky meinen PC zu durchsuchen, vergebens.

Nun wollte ich fragen, ob ihr in meinen Hijack-log anschauen könntet.
Info:
Ich bin im Besitz von Microsoft Windows XP Home Edition.

Hoffentlich findet ihr was:

Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:29:39, on 16.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Symantec\LiveUpdate\AluSchedulerSvc.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Java\jre1.6.0_06\bin\jusched.exe
C:\Programme\VIA\RAID\raid_tool.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\sm56hlpr.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Ahmet\Lokale Einstellungen\Temp\jkos-Ahmet\binaries\ScanningProcess.exe
C:\Programme\FLV Player\flvplayer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http:///
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\scvhost.exe
F3 - REG:win.ini: load=C:\WINDOWS\system32\scvhost.exe
F3 - REG:win.ini: run=C:\WINDOWS\system32\scvhost.exe
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Programme\FlashGet\jccatch.dll
O2 - BHO: NCO 2.0 IE BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\2.0\coIEPlg.dll
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\PROGRA~1\GEMEIN~1\SYMANT~1\IDS\IPSBHO.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Programme\FlashGet\getflash.dll
O3 - Toolbar: Norton-Symbolleiste anzeigen - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\2.0\CoIEPlg.dll
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_06\bin\jusched.exe"
O4 - HKLM\..\Run: [RaidTool] C:\Programme\VIA\RAID\raid_tool.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Programme\Norton Internet Security\osCheck.exe"
O4 - HKLM\..\Run: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe
O4 - HKLM\..\RunServices: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKLM\..\Policies\Explorer\Run: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\FlashGet.exe
O23 - Service: Automatisches LiveUpdate - Scheduler (Automatic LiveUpdate Scheduler) - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\AluSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\VAScanner\comHost.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\LuComServer_3_4.EXE
O23 - Service: LiveUpdate Notice - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\PROGRA~1\GEMEIN~1\SYMANT~1\CCPD-LC\symlcsvc.exe

--
End of file - 6657 bytes
EDIT: ich habe nochmal mit kaspersky abgesucht...
4 fehler gefunden (Bitte um Ratschlag, ob ich diese Löschen soll bzw weiteres Vorgehen):
Code:

--------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER 7 REPORT
 Monday, June 16, 2008
 Operating System: Microsoft Windows XP Home Edition Service Pack 2 (build 2600)
 Kaspersky Online Scanner 7 version: 7.0.25.0
 Program database last update: Monday, June 16, 2008 20:33:01
 Records in database: 874421
--------------------------------------------------------------------------------

Scan settings:
        Scan using the following database: extended
        Scan archives: yes
        Scan mail databases: yes

Scan area - Folder:
        C:\

Scan statistics:
        Files scanned: 73683
        Threat name: 2
        Infected objects: 4
        Suspicious objects: 0
        Duration of the scan: 01:13:31


File name / Threat name / Threats count
C:\WINDOWS\system32\2M7bisPblN.ini        Infected: Backdoor.Win32.Ciadoor.13        1
C:\WINDOWS\system32\Bifrost\Riski.exe        Infected: Trojan.Win32.Midgare.drn        1
C:\WINDOWS\system32\scvhost.exe        Infected: Backdoor.Win32.Ciadoor.13        1
C:\WINDOWS\system32\wsock32.sys        Infected: Backdoor.Win32.Ciadoor.13        1

The selected area was scanned.

Silent sharK 16.06.2008 22:56
Hi
du hast einen Backdoor drauf, die scvhost.exe. (NICHT svchost.exe)

Ich würde raten, dringend: http://www.trojaner-board.de/12154-a...sicherung.html
mfg

Ps. Sämtliche Kennwörter/Passwörter von einem cleanen Zweitrechner ändern!

Takeo 17.06.2008 14:11
Das is ja ganz toll...
Ich muss also Windows neu aktivieren und mir einen neuen Norton Internet Security 2008 Key kaufen oder wie darf ich das verstehen?
Das Notebook ist grade mal einen Monat alt und der Preis der Produkte ist auch nicht immer billig :headbang:

Kann man nicht die aktivierung beibehalten? Windows Key geht ja noch... den hab ich bisher nur einmal benutzt, aber der Norton key ist so um die 40€ und das kann ich mir momentan nicht leisten :(

Eine andere möglichkeit gibt es wirklich nicht?

-SkY- 17.06.2008 14:12
Zitat:
Zitat von Takeo (Beitrag 346630)
Das is ja ganz toll...
Ich muss also Windows neu aktivieren und mir einen neuen Norton Internet Security 2008 Key kaufen oder wie darf ich das verstehen?
Das Notebook ist grade mal einen Monat alt und der Preis der Produkte ist auch nicht immer billig :headbang:

Kann man nicht die aktivierung beibehalten? Windows Key geht ja noch... den hab ich bisher nur einmal benutzt, aber der Norton key ist so um die 40€ und das kann ich mir momentan nicht leisten :(

Eine andere möglichkeit gibt es wirklich nicht?
Du hast den Key auf der Schachtel o_0

Takeo 17.06.2008 14:55
und wie oft gedenkst du, kann man den key verwenden? O_o

Heike 17.06.2008 15:02
Zitat:
Zitat von Takeo (Beitrag 346630)
...., aber der Norton key ist so um die 40€ und das kann ich mir momentan nicht leisten :(
Wenn Du 2 Trojaner auf dem PC hast, dann frage Dich lieber, ob Norton den Preis überhaupt wert ist. :rolleyes:
Sollte Dich Norton nicht schützen? :confused:

BataAlexander 17.06.2008 15:05
@Heike Wie kommt den der Bifrost dahin
Zitat:
C:\WINDOWS\system32\Bifrost\Riski.exe
;)
Solange die Maschinen ID gleich bleibt kannst Du XP und Norton oft genug aktivieren.
Ansonsten gibt es auch noch kostenfreie Lösungen.

Heike 17.06.2008 15:14
Zitat:
Zitat von BataAlexander (Beitrag 346649)
@Heike Wie kommt den der Bifrost dahin
;)
ich war es nicht. :teufel3:

durch selbst installieren oder klicken, wie immer. :)

Takeo 17.06.2008 15:23
Zitat:
Zitat von BataAlexander (Beitrag 346649)
Ansonsten gibt es auch noch kostenfreie Lösungen.

und welche?

BataAlexander 17.06.2008 15:30
kostenlose antivirenprogramme - Google Search
Kann mein google mehr als Deins?
Heike, war ja nicht so geiemt :party:

Takeo 17.06.2008 15:41
Zitat:
Zitat von BataAlexander (Beitrag 346659)
kostenlose antivirenprogramme - Google Search
Kann mein google mehr als Deins?
Heike, war ja nicht so geiemt :party:

dass es kostenlose antivirenprogramme gibt, dass weiß ich ja...
aber ist dieser backdoor denn einfach so zu löschen? oder kann ich die partition (in meinem fall die platte) gleich neu formatieren?

BataAlexander 17.06.2008 15:44
Zitat:
oder kann ich die partition (in meinem fall die platte) gleich neu formatieren?
ICh dachte das wär schon geklärt, Neuaufsetzen ist hier unumgänglich.

Takeo 17.06.2008 15:55
dann werde ich nicht drum rumkommen können :(

mal sehn, wann ich das dann machen kann >.<

ich bedanke mich herzlich bei euch und hoffe mal, dass es möglichst keinen mehr gibt, der wie ich endet :heilig:

für mich ist das topic :closed:


Alle Zeitangaben in WEZ +1. Es ist jetzt 18:14 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19