Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Bitte guckt Euch mein HJT log-file an!Hab nen Trojaner! (https://www.trojaner-board.de/62072-bitte-guckt-euch-hjt-log-file-hab-nen-trojaner.html)

VolkerT 14.10.2008 17:50
Bitte guckt Euch mein HJT log-file an!Hab nen Trojaner!
 
Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:36:29, on 14.10.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\ibmpmsvc.exe
C:\Programme\TRACEBoard\TRACEBoardSrv.exe
C:\Programme\ThinkPad\Utilities\TpKmapMn.exe
C:\Programme\ThinkPad\Utilities\TpKmapMn.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\System32\QCONSVC.EXE
C:\WINDOWS\System32\RegSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\TRACEBoard\TRACEBoardSrv.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\ThinkPad\ConnectUtilities\QCWLICON.EXE
C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
C:\Programme\ThinkPad\Utilities\TpKmapMn.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\IBM\Messages By IBM\ibmmessages.exe
C:\Programme\ThinkPad\PkgMgr\HOTKEY\TPONSCR.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\brastk.exe
C:\Programme\ThinkPad\PkgMgr\HOTKEY_1\TpScrex.exe
C:\WINDOWS\system32\svqfwdcd.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Winamp\winamp.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\Dokumente und Einstellungen\Ich selbst\Desktop\HiJackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://www.internetcologne.de/
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [QCWLICON] C:\Programme\ThinkPad\ConnectUtilities\QCWLICON.EXE
O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
O4 - HKLM\..\Run: [TPKMAPMN] C:\Programme\ThinkPad\Utilities\TpKmapMn.exe
O4 - HKLM\..\Run: [TP4EX] tp4ex.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ibmmessages] C:\Programme\IBM\Messages By IBM\ibmmessages.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [brastk] C:\WINDOWS\system32\brastk.exe
O4 - HKLM\..\Run: [XP Antispyware 2009] "C:\Programme\XP_AntiSpyware\XP_AntiSpyware.exe" /hide
O4 - HKCU\..\Run: [ibmmessages] C:\Programme\IBM\Messages By IBM\ibmmessages.exe
O4 - HKCU\..\Run: [stradm] C:\WINDOWS\system32\svqfwdcd.exe
O4 - HKCU\..\Run: [brastk] C:\WINDOWS\system32\brastk.exe
O4 - HKCU\..\Run: [dscutilui] C:\WINDOWS\system32\wvsxadwb.exe
O4 - HKCU\..\Run: [mntwin] C:\WINDOWS\system32\mvsxwlct.exe
O4 - HKLM\..\Policies\Explorer\Run: [eJ93tltCSZ] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\qfybuhiz\wjudmnej.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O16 - DPF: {22E5D91F-89E6-4405-AD9C-0AF27BA6F06B} (HidInputMonitorX Control) - file://D:\components\hidinputmonitorx.ocx
O16 - DPF: {4F63D44B-6274-4D60-8AB1-CAA7116B8AF3} (A9Helper.A9) - file://D:\components\A9.ocx
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1188142372444
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1223909648154
O16 - DPF: {7030CC6C-1A88-4591-BB5A-651B9F7F0C30} (WMVHDRatingCtrl Class) - file://D:\components\wmvhdrating.ocx
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O21 - SSODL: ActCfgInfo - {621483C7-EF15-1660-0E71-00BE5E159BBC} - C:\Programme\lxgaheb\ActCfgInfo.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\System32\ibmpmsvc.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: PLSRemote Service (PLSRemoteSvc) - Unknown owner - C:\WINDOWS\SYSTEM32\PLSRemote.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: QCONSVC - Unknown owner - C:\WINDOWS\System32\QCONSVC.EXE
O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\System32\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation  - C:\WINDOWS\System32\S24EvMon.exe
O23 - Service: TRACEBoard_Service - TRACEBoard - C:\Programme\TRACEBoard\TRACEBoardSrv.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 6787 bytes
Ich hoffe mal, dass ich alles richtig gepostet habe. Weitere Informationen finden sich auch hier.

http://www.trojaner-board.de/61930-mein-compi-ist-infiziert-mit-tr-fakeav-baj-2-a.html#post381716

Hatte das nämlich hier schon 2x gepostet, aber leider hat sich noch keiner gemeldet.
Vielen Dank für die Hilfe

Gruß Volker

Computergeni 14.10.2008 18:42
Code:
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Download IE 7
Code:
C:\Programme\TRACEBoard\TRACEBoardSrv.exe
C:\WINDOWS\system32\brastk.exe  <- 100% schädlich
C:\WINDOWS\system32\svqfwdcd.exe
C:\Programme\XP_AntiSpyware\XP_AntiSpyware.exe" /hide
C:\WINDOWS\system32\wvsxadwb.exe
C:\WINDOWS\system32\mvsxwlct.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\qfybuhiz\wjudmnej.exe
C:\Programme\lxgaheb\ActCfgInfo.dll
C:\WINDOWS\SYSTEM32\PLSRemote.exe
Diese Dateien bei VirusTotal hochladen, analysieren lassen und komplette Ergebnisse posten.

Falls sich einige dieser Dateien nicht finden lassen gehe so vor:

Start->Systemsteuerung->Extras->Ordernoptionen->Zum Reiter ''Ansicht'' wechseln
->Hacken bei ''Erweiterungen bei bekannten Dateitypen ausblenden'' entfernen
->Hacken bei ''Geschützte Systemdateien ausblenden(empfohlen)'' entfernen
->Hacken bei ''Inhalte von Systemordern anzeigen''machen
->Punkt bei ''Alle Dateien und Ordner anzeigen''machen.

Dann die Windowssuche öffnen(Start->Suchen)
Dann öffnet sich ein Fenster mit dem Titel ''Suchergebnisse''
Dort klickst du auf ''Bevorzugte Einstellungen ändern''
Dann klickst du auf ''Datei- und Ordnersuchverhalten ändern''
Dann markierst du dort Erweitert und drückst auf OK
Jetzt klickst du auf weitere Optionen und machst dort einen Hacken bei:
-Systemordner durchsuchen
-Versteckte Elemente durchsuchen
-Unterordner dursuchen
Dann gibst du bei bei ''Gesamter oder Teil des Dateinamens:'' xxxxxx ein
''Ein Wort oder ein Begriff innerhalb der Datei:'' lässt du frei.
Bei ''Suchen in:'' wählst du Arbeitsplatz aus
Dann klickst du auf Suchen und wartest ab bis eventuell etwas gefunden wird, falls das der Fall ist ladest du diese Datei bei VirusTotal hoch.

Mein persönlicher Tipp ist bei diesem infizierten System allerdings Daten per Live-CD sichern, formatieren aller Partitionen und dann den Rechner Neuaufzusetzen, nicht nur wegen deiner eigenen Sicherheit, sondern der Sicherheit aller anderen Surfer. Dein PC kann z.B.oder ist schon in einem Bot-Netz eingegliedert und kann oder wurde schon für SPAM-Missbrauch benutzt und kann für Distributed Denial of Service-Attacken auf andere Server benutzt werden, die dadurch lahmgelegt werden.

Gruß

VolkerT 14.10.2008 18:59
Vielen Dank für die fixe Antwort. Da ich leider nicht so bewandert bin was Computer angeht, habe ich mich entschieden, das System zu plätten. Dann habe ich das alles wenigstens hinter mir und ich glaube, das krieg ich noch hin.
Dein Vorschlage mit der LIve-CD....Habe mal im Internet geguckt, aber für mich leider keine befriedigende Anleitung gefunden. Kann ich die Daten auch alle auf eine externe Festplatte kopieren? Oder ist die dann auch verseucht von dem Trojaner?
Wie sicher ich meine Daten?
Vielen Dank
Gruß Volker

Computergeni 14.10.2008 19:34
Zitat:
Kann ich die Daten auch alle auf eine externe Festplatte kopieren? Oder ist die dann auch verseucht von dem Trojaner?
Nein, deswegen benutzt du ja eine Live-CD. Linux kennt fast keine Malware.

Eine Live-CD sollte von einem sauberen PC erstellt werden
So erstellst du eine Live-CD:
1. Download Ubuntu
2. Brenne die ISO-Datei als Image auf CD
3. Ändere die Bootreihenfolge deines verseuchten PC's im BIOS auf 1.CD-ROM
4. Boote deinen verseuchten PC von der CD
5. Drücke nun F2 um die Sprache(Deutsch) auszuwählen
6. Klick auf Ubuntu testen
7. Warte bis sich der Ubuntudesktop komplett geladen hat.
8. Kopiere die wichtigen Daten auf deine externe Festplatte, außer ausführbare Dateien (.com; .ese; .bat; .cmd; .pif; .scf; .scr usw.)

Ich finde es sehr fürsorglich, dass du dich für das ''Plätten'' entschieden hast.

Gruß


Alle Zeitangaben in WEZ +1. Es ist jetzt 06:28 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131