Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Tr/FraggleRock.155 (https://www.trojaner-board.de/7625-tr-fragglerock-155-a.html)

Schubkraft 17.09.2004 20:45
Tr/FraggleRock.155
 
Hallo !

Bin neu hier und habe ein Problem und zwar so ein Virus er heißt Tr/FraggleRock.155, habt ihr ein Rat wie ich denn wieder los bekomme?
Ich hab auch nicht die Kohle mir ein teuren Virencanner zu kaufen deshalb frage ich hier!

mfg Schubkraft

*Christian* 17.09.2004 20:50
Poste mal ein HijackThis-Log: http://filepony.de/download-hijackthis/

Schubkraft 17.09.2004 22:42
Danke für die schnelle Antwort habe das Programm kann aber nichts damit anfangen hab nich die große Ahnung!

mfg Schubkraft

Schubkraft 17.09.2004 23:28
so etwa...?

Logfile of HijackThis v1.98.2
Scan saved at 00:28:07, on 18.09.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\System32\CTHELPER.EXE
D:\Programme\AVPersonal\AVGNT.EXE
D:\WINDOWS\System32\REGSRV32.EXE
D:\WINDOWS\System32\ms32cfg.exe
D:\WINDOWS\System32\ms32cfg.exe
D:\Programme\Logitech\MouseWare\system\em_exec.exe
D:\Programme\AVPersonal\AVGUARD.EXE
D:\Programme\AVPersonal\AVWUPSRV.EXE
D:\WINDOWS\System32\nvsvc32.exe
D:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis1982.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.startsmart.tv/search
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {4399242A-D9B8-4AED-9588-EBEEF53475A7} - D:\WINDOWS\System32\iaxufux.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] D:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] D:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Reg Service] REGSRV32.EXE
O4 - HKLM\..\Run: [Microsoft Features] ms32cfg.exe
O4 - HKLM\..\RunServices: [Reg Service] REGSRV32.EXE
O4 - HKLM\..\RunServices: [Microsoft Features] ms32cfg.exe
O4 - HKCU\..\Run: [MsnMsgr] "D:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Microsoft Features] ms32cfg.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - D:\Programme\IrfanView\Ebay\Ebay.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\MSMSGS.EXE

Cidre 17.09.2004 23:52
Dein System ist derart mit Backdoor Trojaner kompromittiert, daß nur ein Neuaufsetzen deines Systems als sichere Lösung in Frage kommt.
http://faq.underflow.de/#SECTION000120000000000000000
http://oschad.de/wiki/index.php/Kompromittierung

Der Grund allen Übels liegt an deinem ungepatchten System!
Durch diese eklatanten Sicherheitslücken, die du nicht geschlossen hast, konnten sie sich problemlos einen Zugang zu deinem System verschaffen.

Zitat:
D:\WINDOWS\System32\REGSRV32.EXE
http://www.sophos.de/virusinfo/analyses/w32rbotgm.html
Zitat:
D:\WINDOWS\System32\ms32cfg.exe
http://www.trendmicro.com/vinfo/viru...BOT.HO&VSect=T

Nach dem Neuaufsetzen und vor der ersten Internet Verbindung solltest du folgende Punkte abarbeiten:

1. Eingeschränktes Benutzerkonto erstellen und zum Surfen benutzen
2. Internetverbindungsfirewall aktivieren http://www.computerhilfe-euskirchen....xp/tipp16.html
3. NT- Dienste sicher konfigurieren http://www.ntsvcfg.de/
4. dein System updaten und stets aktuell halten http://v5.windowsupdate.microsoft.co...r/default.aspx
5. IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm
6. Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org/
7. Deine Passwörter ändern
8. Image deiner Systempartition erstellen mit z.B. Acronis True Image 7
9. Surfverhalten überdenken

Info zur Installation von Win XP findest du hier:
http://8ung.at/chemikers-home/SETUP.html
und
http://chip-faq.rufisplanet.ch/installation.html

Für die Zukunft:
http://www.mathematik.uni-marburg.de...ompromise.html

Schubkraft 18.09.2004 10:02
Moin!

Danke für die schnelle Hilfe werde es so machen alles platt und dann neu machen und patchen.

mfg Schubkraft

Schubkraft 19.09.2004 09:38
Hallo!

So habe alles platt gemacht und nach der Neuinstallation ist immer noch der selbe Tr/FraggleRock.155 Trojaner da obwohl ich auch updates gemacht hab siehe Logfile:

Logfile of HijackThis v1.98.2
Scan saved at 10:37:04, on 19.09.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\explorer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis1982.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1095548786000
O17 - HKLM\System\CCS\Services\Tcpip\..\{AE0ECFE3-8635-4D98-90D8-671A317E95BE}: NameServer = 145.253.2.75 195.50.140.250


hoffe ihr könnt mir helfen.

mfg Schubkraft

MountainKing 19.09.2004 10:09
Wo genau wird dieser Virus gefunden und von welchem Programm? Ich meine, das Antivir da mal einen Fehlalarm brachte.

Dein System ist NICHT vollständig gepatched, du brauchst ALLE als kritisch eingestuften Patches, sowohl für das Betriebssystem als auch für den IE. Besorge dir das Service Pack 2 (auf einer Magazin-CD oder per Download und installiere das gleich nach der Installation von XP). Hast du die XP-Firewall aktiviert vor den Updates, die du gemacht hast?

In deinem Log ist allerdings im Moment nichts Gefährliches zu erkennen.
Wichtig ist auch noch, dass du die Programme die du früher installiert hast noch mal überprüfst, speziell, wenn sie keine Originalsoftware waren und aus Downloads stammen, das sind beliebte Virenträger.

Schubkraft 19.09.2004 10:32
Hallo!

wenn ich ich mit av dursuche dann findet er den oben genannten Trojaner
:mad:
Service pack 2 lade ich gerade werds denn noch mal überprüfen danke erst mal.

mfg Schubkraft

Schubkraft 19.09.2004 10:34
Ähm die internetfirewall hatte ich nicht an beim updaten kann ich das jetzt noch tun oder muß ich jetzt alles wieder von vorn machen?

mfg Schubkraft

MountainKing 19.09.2004 11:12
WO findet er den Trojaner, in welcher Datei?
Du musst die Anleitung schon so umsetzen, wie sie dasteht, sonst hat das alles keinen Sinn. Hol dir also das Service Pack als Vollinstallation (also nicht per windowsupdate über den IE), dann kannst du neu installieren und das gleich danach drüberspielen. FW aktivieren und update besuchen, dürfte nun aber nicht mehr viel sein.


Alle Zeitangaben in WEZ +1. Es ist jetzt 13:13 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27