Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   trojaner bei öffnen von firefox oder IE (https://www.trojaner-board.de/72578-trojaner-oeffnen-firefox-ie.html)

helmut mayer 29.04.2009 12:51
trojaner bei öffnen von firefox oder IE
 
werte kollegen, nach dem ersten start des tages erhalte ich beim öffnen des firefox oder des IE von mcaffee virus scan enterprise 8.5i die meldung, dass sich die datei d3dsjhhf.dll in ordner c:\windows\system32 als generic pws.y trojanisches pferd eingeschlichen hätte. betroffen wäre die datei c:\programme\mozilla firefox\firefox.exe
ich bekomm die meldung jeeedesmal wenn ich nach einem neustart den firefox öffne.
ich habs schon mit googlen versucht, bin aber jedesmal auf eurem board gelandet.. :-)

anbei findet ihr den editierten highjack zur freundlichen analyse. für hilfe, wie ich das problem loswerde, wäre ich dankbar. helmut.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:14:21, on 29.04.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\CAS-Software\Server\GWADSyncService.exe
C:\Programme\bsAG\BMA\bma.exe
C:\WINDOWS\system32\BFCRX.exe
C:\WINDOWS\system32\bmwebcfg.exe
C:\Programme\Gemeinsame Dateien\CAS-Software\Server\CASServerService.exe
C:\WINDOWS\system32\dgrpencx.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\McAfee\Common Framework\FrameworkService.exe
C:\Programme\McAfee\VirusScan Enterprise\mcshield.exe
C:\Programme\McAfee\VirusScan Enterprise\vstskmgr.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\ncple\ncprwsnt.exe
C:\WINDOWS\ncple\ncpsec.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\ncple\rwsrsu.exe
C:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\firma\CommNodeSvr\CommNodeSvr.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\hkcmd.exe
C:\Programme\bsAG\BMA\BMSTrayNotifier.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\igfxsrvc.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis1.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\McAfee\VirusScan Enterprise\SHSTAT.EXE
C:\Programme\Fujitsu\Application Panel\QuickTouch.exe
C:\Programme\Fujitsu\BtnHnd\BtnHnd.exe
C:\Programme\Fujitsu\FUJ02E3\FUJ02E3.exe
C:\Programme\Gemeinsame Dateien\CAS-Software\Server\gwserviceprog.exe
C:\WINDOWS\ncple\ncpbudgt.exe
C:\WINDOWS\ncple\ncpmon.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\McAfee\Common Framework\udaterui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\Microsoft ActiveSync\wcescomm.exe
C:\dokumente und einstellungen\name\lokale einstellungen\anwendungsdaten\mmeeq.exe
C:\Programme\Fujitsu\BtnHnd\BtnHndHkb.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\McAfee\Common Framework\McTray.exe
C:\PROGRA~1\MICROS~2\rapimgr.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe
C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_clipbook.exe
C:\WINDOWS\system32\dllhost.exe
C:\Programme\Inquiero Client\inquiero.exe
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Programme\HP\Digital Imaging\bin\hpqbam08.exe
C:\Programme\HP\Digital Imaging\bin\hpqgpc01.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\dllhost.exe
C:\Programme\Java\jre1.6.0_07\bin\jucheck.exe
C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Programme\CAS-Software\CAS genesisWorld\Client\pGCAxOutlookAddIn.exe
C:\Programme\CAS-Software\CAS genesisWorld\Client\Genesis.exe
C:\Programme\CAS-Software\CAS genesisWorld\Client\GenesisSessions.exe
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\name\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://192.168.0.16/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p:\\192.168.0.16\
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 10.1.3.18:380
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Programme\McAfee\VirusScan Enterprise\scriptcl.dll
O2 - BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [pdfFactory Dispatcher v1] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis1.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\McAfee\VirusScan Enterprise\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [LoadFujitsuQuickTouch] C:\Programme\Fujitsu\Application Panel\QuickTouch.exe
O4 - HKLM\..\Run: [LoadBtnHnd] C:\Programme\Fujitsu\BtnHnd\BtnHnd.exe
O4 - HKLM\..\Run: [LoadFUJ02E3] C:\Programme\Fujitsu\FUJ02E3\FUJ02E3.exe
O4 - HKLM\..\Run: [CASServerManager] "C:\Programme\Gemeinsame Dateien\CAS-Software\Server\gwserviceprog.exe" -minimize
O4 - HKLM\..\Run: [NcpBudget] "C:\WINDOWS\ncple\ncpbudgt.exe"
O4 - HKLM\..\Run: [NcpPopup] "C:\WINDOWS\ncple\ncppopup.exe" noerrmsg
O4 - HKLM\..\Run: [NcpMonitor] "C:\WINDOWS\ncple\ncpmon.exe" autorun
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [hpqSRMon] C:\Programme\HP\Digital Imaging\bin\hpqSRMon.exe
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\McAfee\Common Framework\udaterui.exe" /StartedFromRunKey
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [mmeeq] "c:\dokumente und einstellungen\name\lokale einstellungen\anwendungsdaten\mmeeq.exe" mmeeq
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Bluetooth Manager.lnk = ?
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Inquiero Client.lnk = C:\Programme\Inquiero Client\_INQUIERO.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: HP Intelligente Auswahl - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: bmnet.dll
O10 - Unknown file in Winsock LSP: bmnet.dll
O10 - Unknown file in Winsock LSP: bmnet.dll
O14 - IERESET.INF: START_PAGE_URL=h**p:\\192.168.0.16\
O16 - DPF: {E6ACF817-0A85-4EBE-9F0A-096C6488CFEA} (NTR ActiveX 1.1.8) - h**p://www.inquiero.com/nv/inquiero/mod/setup/ntractivex118_28.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = simons-voss.local
O17 - HKLM\Software\..\Telephony: DomainName = simons-voss.local
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = simons-voss.local
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = simons-voss.local
O23 - Service: CAS Active Directory Synchronisation Service (ADSSyncService) - CAS Software AG - C:\Programme\Gemeinsame Dateien\CAS-Software\Server\GWADSyncService.exe
O23 - Service: baramundi Management Agent (BARAAGNT) - baramundi software AG - C:\Programme\bsAG\BMA\bma.exe
O23 - Service: BFC Remote Executor (BFCRX) - baramundi software AG - C:\WINDOWS\system32\BFCRX.exe
O23 - Service: Bytemobile Web Configurator (bmwebcfg) - Bytemobile, Inc. - C:\WINDOWS\system32\bmwebcfg.exe
O23 - Service: CAS Server Manager (CASServerManager) - CAS Software AG - C:\Programme\Gemeinsame Dateien\CAS-Software\Server\CASServerService.exe
O23 - Service: Digi RealPort Network Service (DgRpEncx) - Digi International Inc. - C:\WINDOWS\system32\dgrpencx.exe
O23 - Service: itdPNSService - itdesign GmbH - C:\Programme\Gemeinsame Dateien\itdesign\Services\PitdPNSService.exe
O23 - Service: McAfee Framework-Dienst (McAfeeFramework) - McAfee, Inc. - C:\Programme\McAfee\Common Framework\FrameworkService.exe
O23 - Service: McAfee McShield (McShield) - McAfee, Inc. - C:\Programme\McAfee\VirusScan Enterprise\mcshield.exe
O23 - Service: McAfee Task Manager (McTaskManager) - McAfee, Inc. - C:\Programme\McAfee\VirusScan Enterprise\vstskmgr.exe
O23 - Service: ncprwsnt - Unknown owner - C:\WINDOWS\ncple\ncprwsnt.exe
O23 - Service: NcpSec - Unknown owner - C:\WINDOWS\ncple\ncpsec.exe
O23 - Service: RwsRsu (rwsrsu) - Unknown owner - C:\WINDOWS\ncple\rwsrsu.exe
O23 - Service: firma CommNode Server (SVCommNodeSvr) - Unknown owner - C:\Programme\firma\CommNodeSvr\CommNodeSvr.exe
O23 - Service: TOSHIBA Bluetooth Service - TOSHIBA CORPORATION - C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe

--
End of file - 10954 bytes

helmut mayer 06.05.2009 07:59
naja.. war mal ein versuch, hier hilfe zu bekommen.. hat wohl nicht geklappt.. :-(

Angel21 06.05.2009 08:05
Hallo,

du hast Navipromo drauf.
Zitat:
O4 - HKCU\..\Run: [mmeeq] "c:\dokumente und einstellungen\name\lokale einstellungen\anwendungsdaten\mmeeq.exe" mmeeq
Hier sind Infos dazu: Navipromo ist zurück

Mache folgendes: Navilog
Starte navilog1.exe und installiere die Anwendung, eventuelle Fehlermeldungen Deines
Virescanners sind zu ignorieren (Anwendung erlauben!)
Alle anderen Anwendungen bitte beenden!
Danach sollte navilog automatisch starten, sonst per Doppelklick dem Desktop starten.
Im Sprachmenü bitte Englisch auswählen.
Wähle 1 im nächsten Menü um "Suche" auszuwählen. Bestätige mit Enter.
Während der Suche nichts am Rechner machen, nur auf Programmaufforderung!
Nach dem Durchlauf sollte sich der Editor mit dem Log (fixnavi.txt) öffnen,
Inhalt kopieren und in Thread einfügen.
Das Log findest Du auch im Hauptverzeichnis (z.B.: "C:\").
http://pagesperso-orange.fr/il.mafio...x/Navilog1.exe


Lade die betroffene Date mal bei uns gemäß dieser Anleitung http://www.trojaner-board.de/54791-a...ner-board.html hoch.
Dort wird es dann ausgewertet.

Ghost1975 06.05.2009 08:21
Edit:

Da Angel21 schneller war darf SIE sich mit deinem Schädling rumprügeln



MfG

Ghost1975



Edit:Text abgeändert ,siehe Angels Post..

Angel21 06.05.2009 08:39
Ich bin eine Sie xD

Ghost1975 06.05.2009 08:42
Zitat:
Ich bin eine Sie xD

Da habe ich mich zum :affe: gemacht ....:uglyhammer:


Fettes Sorry...

MfG

Ghost1975


Alle Zeitangaben in WEZ +1. Es ist jetzt 11:03 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55