Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   hijJckThis bericht (https://www.trojaner-board.de/70466-hijjckthis-bericht.html)

illy 27.02.2009 14:57
hijJckThis bericht
 
Hallo Leute,

Ich hab wohl einige vieren auf meinem neuen laptop bekommen, allerdings besitze ich noch kein antivirusprogramm und weiss nicht wie ich das anstellen sollte, damit es wieder läuft.
Windows läuft nur unter abgesicherter modus, im normalen modus wird folgenede meldung gezeigt :"Persönliche Einstellungen einrichten für...." und funktioniert kein explorer, nicht mal der taskmaneger.

Ich wäre sehr dankbar wenn mir jemanden ein paar tips geben könnte



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:55:06, on 27.02.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Safe mode with network support

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\TEMP\423F.tmp
C:\WINDOWS\system32\rundll32.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Temporary Internet Files\Content.IE5\ODMZ452R\HiJackThis[1].exe
C:\WINDOWS\system32\rundll32.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
F2 - REG:system.ini: Shell=Explorer.exe "C:\WINDOWS\nthost32.exe"
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,"C:\WINDOWS\nthost32.exe",
O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\system32\fccbXrSl.dll
O2 - BHO: (no name) - {88F52D84-C6A7-41C8-996A-F3FB48AD1E5B} - C:\WINDOWS\system32\byXOHwWo.dll
O2 - BHO: C:\WINDOWS\system32\hhs3ijndfd.dll - {c5bf49a2-94f3-42bd-f434-3604812c8955} - C:\WINDOWS\system32\hhs3ijndfd.dll
O2 - BHO: {0987e674-44bc-149b-8a44-3665a4941afd} - {dfa1494a-5663-44a8-b941-cb44476e7890} - C:\WINDOWS\system32\mabyru.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [EDS] C:\Programme\Samsung\Samsung EDS\EDSAgent.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [BatteryManager] C:\Programme\Samsung\Samsung Battery Manager\BatteryManager.exe
O4 - HKLM\..\Run: [MagicKeyboard] C:\Programme\SAMSUNG\MagicKBD\PreMKBD.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [ACU] "C:\Programme\Atheros WLAN Client\ACU.exe" -nogui
O4 - HKLM\..\Run: [jsf8uiw3jnjgffght] C:\DOKUME~1\XXXXX~1\LOKALE~1\Temp\winlognn.exe
O4 - HKLM\..\Run: [00928a36] rundll32.exe "C:\WINDOWS\system32\lfsojgsg.dll",b
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [settings] C:\WINDOWS\nthost32.exe
O4 - HKLM\..\Policies\Explorer\Run: [xccinit] C:\WINDOWS\system32\inf\rundll33.exe C:\WINDOWS\xccdf16_090131a.dll xccd16
O4 - HKCU\..\Policies\Explorer\Run: [settings] C:\WINDOWS\nthost32.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: VPN Client.lnk = ?
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = rz.uni-karlsruhe.de
O20 - AppInit_DLLs: mabyru.dll
O20 - Winlogon Notify: crypt - C:\WINDOWS\SYSTEM32\crypts.dll
O20 - Winlogon Notify: fccbxrsl - C:\WINDOWS\SYSTEM32\fccbXrSl.dll
O22 - SharedTaskScheduler: jgzfkj9w38rksndfi7r4 - {C5BF49A2-94F3-42BD-F434-3604812C8955} - C:\WINDOWS\system32\hhs3ijndfd.dll
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe

--
End of file - 4174 bytes

john.doe 27.02.2009 15:44
Hallo und :hallo:

Du hast da einen ganzen Zoo an Schädlingen, deshalb lasse ich dich auch nicht unsere Liste abarbeiten.

Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:
Code:
C:\WINDOWS\nthost32.exe
C:\WINDOWS\SYSTEM32\crypts.dll
C:\WINDOWS\SYSTEM32\fccbXrSl.dll
C:\WINDOWS\system32\hhs3ijndfd.dll
C:\WINDOWS\system32\mabyru.dll
C:\WINDOWS\xccdf16_090131a.dll
C:\WINDOWS\system32\lfsojgsg.dll
C:\DOKUME~1\XXXXX~1\LOKALE~1\Temp\winlognn.exe
C:\WINDOWS\system32\byXOHwWo.dll
Sollte die Meldung kommen, dass die Dateien bereits analysiert wurden, dann klicke trotzdem auf Analysieren. Sollte die Datei nicht zu finden sein, dann markiere hier eine Zeile, kopiere, wechsel auf Virustotal, klicke in das lange weiße Feld und füge ein. Sollte sie sich nicht hochladen lassen, so nehme die nächste in der Liste.

Vielleicht solltest du deine Zeit lieber sparen und hier mal vorbeischauen:
http://www.trojaner-board.de/51262-a...sicherung.html

ciao, andreas

illy 27.02.2009 16:22
hallo andreas,

vielen dank für die tips. Ich würde schon gerne ein systemwiederherstellung mchn, da der laptop gerade 1 tag alt ist und es sogut wie ichts drauf gibt, allerdings ist so, dass ich ein samsung nc10 habe und er hat kein laufwerk um von der cd zu booten.
Ich werde noch probieren die datein system cd auf ein usb stick zu packn und von dort zu booten. Dazu habe ich auch noch eine frage, im abgesichertn modus ist es so dass keine usbgeräte erkannt werden, ist dies bei der systemwiredrherstellung egal, da es noch davor(vor der auswahl einer bestimmten modus) stattfindet, und wie ist es eigentlich mit einem externen laufwerk mit usb anschluss????
Die andere Altrative wäre jtzt noch zu versucen ein externer laufwerk zu besorgen.


Wieso soll es einfach sein, wenn es auch viel komplizierter gehet :balla:


Lg
illy

john.doe 27.02.2009 18:53
Lade dir die Anleitung von da. Ab Seite 161 ist beschrieben, wie neuinstalliert wird.

Zitat:
wie ist es eigentlich mit einem externen laufwerk mit usb anschluss?
Im Handbuch steht etwas von externem ODD-Laufwerk. Hast du soetwas?

ciao, andreas

illy 27.02.2009 20:25
hi,

Es hat geklappt :taenzer:
Zwar habe ich dafür ein dvd laufwerk gekauft, den bringe ich aber morgen wieder zurück. Jetzt habe ich sogar antivieren program in keine vieren mehr hura :singsing:


kann mich mcafee auch beim instalieren vom gekrackten software vor vieren schützen, was muss man dabei beachten?

Danke für die hilfe

Sunny 27.02.2009 20:30
Zitat:
Zitat von illy (Beitrag 416910)
kann mich mcafee auch beim instalieren vom gekrackten software vor vieren schützen, was muss man dabei beachten?
Wie bitte? :koch: :aufsmaul:

Das wundert mich dann auch nicht:

Zitat:
..da der laptop gerade 1 tag alt ist und es sogut wie ichts drauf gibt..
Kein Wunder das du in kürzester Zeit das gesamte System verseucht hast!

EOD,

http://www.hth-c.com/images/smilies/thread_closed.gif


Alle Zeitangaben in WEZ +1. Es ist jetzt 07:20 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131