Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Stam hilfe (https://www.trojaner-board.de/73343-stam-hilfe.html)

kauchris 21.05.2009 08:06
Stam hilfe
 
hi ich habe heute morgen steam angemacht und er nimmt mein alter passwort nicht mehr an. ich wollt dann mal wissen ob ich ein keylogger drauf hab.
bitte helft mir.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:04:29, on 21.05.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Unlocker\UnlockerAssistant.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\programme\valve\steam\steam.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WinSys2] C:\WINDOWS\System32\winsys2.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programme\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [ISUSPM] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" -scheduler
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [xe] C:\Windows\system32\nvscv32.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "c:\programme\valve\steam\steam.exe" -silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} - http://go.microsoft.com/fwlink/?linkid=39204
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - Unknown owner - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe (file missing)
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

--
End of file - 6227 bytes

KarlKarl 21.05.2009 18:10
Hi,

ob's ein Keylogger ist, kann ich nicht wissen, aber ich weiß, das es sehr ungesund ist:
Zitat:
C:\Windows\system32\nvscv32.exe
Ab damit zu VirusTotal, nachsehen was es ist.

Gruß, Karl

kauchris 21.05.2009 20:44
hat nichts angezeigt.
Aber ich hate schon mal den trojaner xpre drauf un der is sehr schädlig.
ich hatte auch mal die meldung das nvsvc32.exe beedet werden musste.
ich musste auch schon mit avenger nvsvc32.exe entfernen ich glaube das teil kommt immer wieder

Kaos 22.05.2009 02:46
Hast du auch die richtige Datei hochgeladen?

Zitat:
Zitat von KarlKarl
C:\Windows\system32\nvscv32.exe
Also die nvscv32.exe und nich die nvsvc32.exe

mfg, Kaos

kauchris 22.05.2009 08:41
ich habe 3 mal system32 durchgeguckt und auch die suchfuktion benutzt.
das einzige was es angezeigt hat war das im ordner
Code:
C:\Avenger\backup.zip\avenger\
da war das drin aber mit avenger hatte ich mal den trojaner xpre weg gemacht.
und da musste ich nvscv32.exe entfernen!

und in den ordner is ja jetzt das teil !?!

kauchris 22.05.2009 08:47
ich hab nun das mal testen lassen un da kam folgendes:

Code:
Antivirus          Version          letzte aktualisierung          Ergebnis
a-squared        4.0.0.101        2009.05.22        -
AhnLab-V3        5.0.0.2        2009.05.21        -
AntiVir        7.9.0.168        2009.05.21        -
Antiy-AVL        2.0.3.1        2009.05.21        -
Authentium        5.1.2.4        2009.05.21        -
Avast        4.8.1335.0        2009.05.22        -
AVG        8.5.0.339        2009.05.21        -
BitDefender        7.2        2009.05.22        -
CAT-QuickHeal        10.00        2009.05.22        -
ClamAV        0.94.1        2009.05.21        -
Comodo        1157        2009.05.08        -
DrWeb        5.0.0.12182        2009.05.22        -
eSafe        7.0.17.0        2009.05.21        -
eTrust-Vet        31.6.6517        2009.05.21        -
F-Prot        4.4.4.56        2009.05.21        -
F-Secure        8.0.14470.0        2009.05.22        -
Fortinet        3.117.0.0        2009.05.22        -
GData        19        2009.05.22        -
Ikarus        T3.1.1.49.0        2009.05.22        -
K7AntiVirus        7.10.741        2009.05.21        -
Kaspersky        7.0.0.125        2009.05.22        -
McAfee        5622        2009.05.21        -
McAfee+Artemis        5622        2009.05.21        -
McAfee-GW-Edition        6.7.6        2009.05.22        -
Microsoft        1.4701        2009.05.22        -
NOD32        4095        2009.05.22        -
Norman        6.01.05        2009.05.20        -
nProtect        2009.1.8.0        2009.05.22        -
Panda        10.0.0.14        2009.05.21        -
PCTools        4.4.2.0        2009.05.21        -
Prevx        3.0        2009.05.22        -
Rising        21.30.40.00        2009.05.22        -
Sophos        4.42.0        2009.05.22        -
Sunbelt        3.2.1858.2        2009.05.22        Trojan.Win32.VB.pch
Symantec        1.4.4.12        2009.05.22        -
TheHacker        6.3.4.3.331        2009.05.22        -
TrendMicro        8.950.0.1092        2009.05.22        -
VBA32        3.12.10.5        2009.05.21        -
ViRobot        2009.5.22.1746        2009.05.22        -

kauchris 22.05.2009 10:41
so ich wei das das teil unsichtbar ist und es 100% gefärlich ist.
ich hab es jetzt mit hijackthis "GETÖTET"
was kann ich jetzt am besten noch machen?

KarlKarl 22.05.2009 19:07
Zu dem Dateinamen habe ich einige Einträge gefunden, dass es vermutlich ein Backdoorserver war. Gibt auch andere Möglichkeiten, aber solange nicht das Gegenteil bewiesen ist, sollte man vom schlimmsten ausgehen. Dazu gehört auch, dass jemand den Fernzugriff genutzt hat, um dein System zu manipulieren, dass dir jetzt das Passwort für deinen Steam-Account geklaut wird, ist ein deutlicher Hinweis. Um sich nun garantierte Sicherheit zu verschaffen, kann ich nur eine Neuinstallation empfehlen.

Ich suche ja nicht wegen jedem Beitrag hier alte Threads raus, aber diesmal habe ich es getan: http://www.trojaner-board.de/73117-xpre.html Meine Befürchtungen haben sich recht schnell bestätigt.

john.doe 22.05.2009 19:23
Hier siehst du, wie es aussieht, wenn jemand alle deine Kennwörter klaut:
http://www.trojaner-board.de/437237-post10.html

Falls du anderen noch einen Gefallen tun möchtest, dann lade die Datei:
Code:
C:\Avenger\backup.zip
bei einem Filehoster (z.B. www.materialordner.de) hoch und schicke mir den Link als PN. Ich werde dafür sorgen, dass die AVP-Hersteller die Datei erhalten und sie somit erkennen.

Lies dir doch einmal den ganzen Thread durch: http://www.trojaner-board.de/73329-v...geloescht.html

ciao, andreas

kauchris 24.05.2009 10:07
wenn ich mal alles neu mache brauch ich nochmal hilfe.
also ich würde nähmlich alle daten auf meinen rechner noch behalten.
und könnte ich dan auch windows 7 RC daruf machen?

space23 24.05.2009 10:16
Ich misch mich da mal schnell ein:

Zitat:
also ich würde nähmlich alle daten auf meinen rechner noch behalten.
Auf keinen Fall ausführbare Daten backupen aber ein Risiko besteht bei allen Daten.

Zitat:
und könnte ich dan auch windows 7 RC daruf machen?
Wieso solltest du nicht? ;)
Aber ich glaub kaum das sachen wie Steam da schon drauf laufen.


Alle Zeitangaben in WEZ +1. Es ist jetzt 13:40 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131