Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   nimda & karna.dat (https://www.trojaner-board.de/65953-nimda-karna-dat.html)

plaidt 06.12.2008 20:55
nimda & karna.dat
 
Seit ein paar Wochen habe ich ein Problem und zwar immer wenn ich Windows starte kommt ein Benuterkonto das Nimda heißt wenn ich es lösche kommt es nach dem 2.Start wieder.
Ich habe noch ein Problem in C:\WINDOWS ist eine Datein die heißt karna.dat und wenn ich sie lösche kommt sie nach 5-10 Sekunden wieder

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:15:20, on 06.12.2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\S24EvMon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\isam.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\1XConfig.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Launch Manager\LaunchAp.exe
C:\Programme\Launch Manager\HotkeyApp.exe
C:\Programme\Launch Manager\CtrlVol.exe
C:\Programme\Launch Manager\Wbutton.exe
C:\Programme\avmwlanstick\wlangui.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Samsung\Samsung Media Studio 5\SMSTray.exe
C:\Programme\MarkAny\ContentSafer\MAAgent.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\HighKey\HighKey1.exe
C:\Programme\Mousometer\mousometer.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype\Plugins\Plugins\E12C95FCBD1240FEAE314D89676CA6F8\LieDetector.exe
C:\Programme\Opera\opera.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\System32\winras.exe,
O2 - BHO: (no name) - {11C88C61-43A0-4C8B-B126-B3A945B872F4} - C:\WINDOWS\System32\card.dll (file missing)
O2 - BHO: (no name) - {3b2cd0a8-449f-44b5-8dfb-687ba4bbae22} - C:\WINDOWS\System32\ruzomivu.dll
O2 - BHO: (no name) - {4ED1CE4D-71FE-7B2E-8C4D-2AC0705683CF} - C:\WINDOWS\System32\sjyygkrl.dll (file missing)
O2 - BHO: (no name) - {4F84C91D-21AD-272A-8C4D-2AC07056D6CE} - C:\WINDOWS\System32\pukwtou.dll (file missing)
O2 - BHO: bannerstyles15 browser enhancer - {504EE583-FA43-A99A-AB9D-C6141F04587C} - C:\WINDOWS\System32\yipntmsntzwrv.dll (file missing)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: adsoftinc - {fcbaa724-44aa-3b90-204e-59bcfdde9238} - C:\WINDOWS\System32\nsq2ED.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Programme\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Programme\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Programme\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [BearShare] "H:\Program Files\Programme\BearShare\BearShare.exe" /pause
O4 - HKLM\..\Run: [Windows Logon Applicationedc] C:\Dokumente und Einstellungen\praxis\winlogon.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [SMSTray] C:\Programme\Samsung\Samsung Media Studio 5\SMSTray.exe
O4 - HKLM\..\Run: [MAAgent] C:\Programme\MarkAny\ContentSafer\MAAgent.exe
O4 - HKLM\..\Run: [CPM130e7d23] Rundll32.exe "c:\windows\system32\goradoja.dll",a
O4 - HKLM\..\Run: [wutihodewu] Rundll32.exe "C:\WINDOWS\System32\neresazi.dll",s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [VnrBlock20] "C:\Programme\VnrBlock\VnrBlock20.exe"
O4 - HKCU\..\Run: [VnrBlock21] "C:\Programme\VnrBlock\VnrBlock21.exe"
O4 - HKCU\..\Run: [HighKey1] C:\Programme\HighKey\HighKey1.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: dscm.lnk = C:\Medistar\prg4\dscm.exe
O4 - Startup: Mousometer.lnk = C:\Programme\Mousometer\mousometer.exe
O4 - Global Startup: MOVIESTAR Schnittstellenprogramm.lnk = C:\Programme\MOVIESTAR\MS\MovLX.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{186899BD-8D2C-4364-88A4-C9D39F030D63}: NameServer = 192.168.100.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\WINDOWS\karna.dat
O20 - Winlogon Notify: yvpauk - C:\WINDOWS\
O21 - SSODL: SSODL - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\goradoja.dll (file missing)
O22 - SharedTaskScheduler: STS - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\goradoja.dll (file missing)
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: MEDISTAR ISAM - Unknown owner - C:\WINDOWS\SYSTEM32\isam.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\NCS\Sync\NetSvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\System32\S24EvMon.exe

--
End of file - 7963 bytes

Lucky 07.12.2008 09:06
Sichere deine Daten und installiere das System neu. Das ist über und über mit Malware verseucht.

Zitat:
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Auf einen PC/Notebook gehört XP SP3 und wenn der IE6 dann bitte auch mit allen Updates.

Zitat:
Zitat von plaidt
]F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDO WS\System32\winras.exe,
O2 - BHO: (no name) - {11C88C61-43A0-4C8B-B126-B3A945B872F4} - C:\WINDOWS\System32\card.dll (file missing)
O2 - BHO: (no name) - {3b2cd0a8-449f-44b5-8dfb-687ba4bbae22} - C:\WINDOWS\System32\ruzomivu.dll
O2 - BHO: (no name) - {4ED1CE4D-71FE-7B2E-8C4D-2AC0705683CF} - C:\WINDOWS\System32\sjyygkrl.dll (file missing)
O2 - BHO: (no name) - {4F84C91D-21AD-272A-8C4D-2AC07056D6CE} - C:\WINDOWS\System32\pukwtou.dll (file missing)
O2 - BHO: bannerstyles15 browser enhancer - {504EE583-FA43-A99A-AB9D-C6141F04587C} - C:\WINDOWS\System32\yipntmsntzwrv.dll (file missing)

O4 - HKLM\..\Run: [BearShare] "H:\Program Files\Programme\BearShare\BearShare.exe" /pause
O4 - HKLM\..\Run: [Windows Logon Applicationedc] C:\Dokumente und Einstellungen\praxis\winlogon.exe

O4 - HKCU\..\Run: [VnrBlock20] "C:\Programme\VnrBlock\VnrBlock20.exe"
O4 - HKCU\..\Run: [VnrBlock21] "C:\Programme\VnrBlock\VnrBlock21.exe"
O4 - HKCU\..\Run: [HighKey1] C:\Programme\HighKey\HighKey1.exe

O4 - HKLM\..\Run: [CPM130e7d23] Rundll32.exe "c:\windows\system32\goradoja.dll",a
O4 - HKLM\..\Run: [wutihodewu] Rundll32.exe "C:\WINDOWS\System32\neresazi.dll",s

O20 - AppInit_DLLs: C:\WINDOWS\karna.dat
O20 - Winlogon Notify: yvpauk - C:\WINDOWS\
O22 - SharedTaskScheduler: STS - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\goradoja.dll (file missing)
So ich glaube das war alles, bin mir aber nicht sicher.


Eine Frage die mich interessiert, warum hast du neben der internen WLAN Karte noch einen USB Stick für WLAN?


Alle Zeitangaben in WEZ +1. Es ist jetzt 14:32 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131