Trojaner-Board
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Trojaner Befall! z.B Backdoor.win32.Agent.ich (https://www.trojaner-board.de/81295-trojaner-befall-z-b-backdoor-win32-agent.html)

Madlin01 05.01.2010 17:10
Trojaner Befall! z.B Backdoor.win32.Agent.ich
 
Ich vermute mal das ich Viren und Trojaner auf dem Laptop habe. Auf einmal funktioniert Antivir nicht mehr und andauernd kommt da etwas wo High-Risk steht und mich dazu fordert ein Programm(Security Center Alert) zu kaufen. Wie gesagt funktioniert Antivir nicht mehr und ist auch völlig weg vom laptop.
Auf anderen Foren habe ich die HijackThis programm empfohlen bekommen und habe es auch ausgeführt nun bräuchte ich einen Profi der mir mein Logfile anguckt und bescheid sagt was ich dort löschen muss.
Ich danke schonmal im Vorraus und liebe Grüße.

Logfile of Trend Micro HijackThis v2.0.3 (BETA)
Scan saved at 16:36:43, on 05.01.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\TEMP\settdebugx.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\TEMP\wscsvc32.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\msiexec.exe
C:\Programme\TrendMicro\HiJackThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (file missing)
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Programme\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [settdebugx.exe] C:\WINDOWS\TEMP\settdebugx.exe
O4 - HKCU\..\Run: [Malware Defense] "C:\Programme\Malware Defense\mdefense.exe" -noscan
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_01] rundll32 advpack.dll,LaunchINFSection nlite.inf,nLiteReg (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_02] rundll32 advpack.dll,LaunchINFSection nlite.inf,S (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nlpo_01] rundll32 advpack.dll,LaunchINFSection nlite.inf,nLiteReg (User 'NETZWERKDIENST')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe

--
End of file - 5335 bytes





Es wäre super nett von euch wenn das schnell ginge.

undoreal 05.01.2010 21:03
Hallli hallo.

Poste bitte zwei AVZ logs.

Madlin01 06.01.2010 00:31
Hey danke dir dass du mir hilfst :D
Hab alles gemacht in den Zip-Ordnern sind html und xml Dateien wenn ich drauf klicke kommt in Internetexplorer eine Tabelle. Wie poste ich dir alles? rüber?

Bin ganz neu hier musst du verstehen. Frauen und Technik das wird schon.

undoreal 06.01.2010 06:32
In der Anleitung unter Punkt #9 wird beschrieben wie du die beiden .zip Archive an deinen nächsten Post anhängen kannst.

Madlin01 07.01.2010 00:32
Hier ist das was du von mir wolltest. Hoffe es bringt dich weiter. ;)

undoreal 07.01.2010 10:21
Führe bitte folgendes Skript mit AVZ aus:

Zitat:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask('%Tmp%', '*.*', true);
DeleteFileMask('c:\windows\temp', '*.*', true);
DeleteFile('\\?\globalroot\systemroot\system32\h8srtserf.dll');
DeleteFile('\\?\globalroot\systemroot\system32\H8SRTxqoirmtdrx.dll');
RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{8FFBE65D-2C9C-4669-84BD-5829DC0B603C}');
DelCLSID('{5E2121EE-0300-11D4-8D3B-444553540000}');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSVC('H8SRTd.sys');
BC_Activate;
RebootWindows(true);
end.
Poste danach bitte ein gmer log und zwei frische avz logs.

Madlin01 07.01.2010 17:18
sorry ich steig da nicht durch. ich brauche schritte wie ich das ausführen soll :S

undoreal 07.01.2010 17:53
Steht in der Anleitung zu AVZ alles Schritt für Schritt drinn... ;)

Weiter unten unter Ausführen von Bereinigungs-Skripten.

Madlin01 09.01.2010 15:28
Diese eckligen Meldungen kommen nicht mehr. :D Ist mein Pc jetzt wieder rein von diesen ganzen Trojanern Würmern und Viren??

undoreal 09.01.2010 15:30
Starte den Rechner bitte neu und estelle zwei neue AVZ logs.

AVZ scheint sich da etwas verheddert zu haben....

EDIT führe bitte vorher noch dieses Skript aus:

Zitat:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask('%Tmp%', '*.*', true);
DeleteFileMask('c:\windows\temp', '*.*', true);
DelCLSID('{FAC3CBF6-8697-43d0-BAB9-DCD1FCE19D75}');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSVC('H8SRTd.sys');
BC_DeleteSVC('H8SRTd');
BC_Activate;
RebootWindows(true);
end.
Starte den Rechner danach nocheinmal neu und räume mit dem cCleaner auf.

Danach poste zwei frische AVZ logs.

Madlin01 09.01.2010 16:48
okay hab alles gemacht was du gesagt hast hier die logs

undoreal 09.01.2010 16:53
Das sieht besser aus aber das log gefällt mir nicht. Da ist immer noch was nicht ganz sauber.

Poste bitte ein gmer log.

Madlin01 09.01.2010 18:51
hier hat etwas lange gedauert:

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-01-09 18:42:15
Windows 5.1.2600 Service Pack 3
Running: gvgekjnz.exe; Driver: C:\WINDOWS\TEMP\pxtdypow.sys


---- System - GMER 1.0.15 ----

SSDT B3A4BA86 ZwCreateKey
SSDT B3A4BA7C ZwCreateThread
SSDT B3A4BA8B ZwDeleteKey
SSDT B3A4BA95 ZwDeleteValueKey
SSDT B3A4BA9A ZwLoadKey
SSDT B3A4BA68 ZwOpenProcess
SSDT B3A4BA6D ZwOpenThread
SSDT B3A4BAA4 ZwReplaceKey
SSDT B3A4BA9F ZwRestoreKey
SSDT B3A4BA90 ZwSetValueKey
SSDT B3A4BA77 ZwTerminateProcess

---- Devices - GMER 1.0.15 ----

AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys@group file system
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@H8SRTd \\?\globalroot\systemroot\system32\drivers\H8SRTpvbubndjnl.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@H8SRTc \\?\globalroot\systemroot\system32\H8SRTgwujnkrfuf.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@H8SRTsrcr \\?\globalroot\systemroot\system32\H8SRTordrmskklt.dat
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@h8srtserf \\?\globalroot\systemroot\system32\H8SRTxqoirmtdrx.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@h8srtbbr \\?\globalroot\systemroot\system32\H8SRTtbstmjcjao.dll
Reg HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys@group file system
Reg HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys\modules (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys\modules@H8SRTd \\?\globalroot\systemroot\system32\drivers\H8SRTpvbubndjnl.sys
Reg HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys\modules@H8SRTc \\?\globalroot\systemroot\system32\H8SRTgwujnkrfuf.dll
Reg HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys\modules@H8SRTsrcr \\?\globalroot\systemroot\system32\H8SRTordrmskklt.dat
Reg HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys\modules@h8srtserf \\?\globalroot\systemroot\system32\H8SRTxqoirmtdrx.dll
Reg HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys\modules@h8srtbbr \\?\globalroot\systemroot\system32\H8SRTtbstmjcjao.dll
Reg HKCU\Software\Microsoft\Windows Live\Communications Clients\Shared\3267048888\Groups@\x00b0AiLeM\xb0 1
Reg HKCU\Software\Microsoft\Windows Live\Communications Clients\Shared\3267048888\Groups@\x00b0ArKiLeR\xb0 0

---- EOF - GMER 1.0.15 ----

undoreal 09.01.2010 20:21
Öffne bitte gmer.

Oben links findest du einen Reiter der etwa so aussieht:
Zitat:
>>>>
Klicke den an und es werden weitere Reiter erscheinen.
Wähle den Reiter cmd aus.

Dann kopiere bitte in das schwarze obere Feld folgendes rein:
Zitat:
gvgekjnz.exe -del service H8SRTd.sys
gvgekjnz.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys"
gvgekjnz.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys"
gvgekjnz.exe -reboot
Klicke danach auf Run!

Der Rechner startet neu. Räume mit dem cCleaner auf und poste ein frisches gmer log.

Madlin01 10.01.2010 09:13
Hier ist der neue Gmer Log

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-01-10 09:04:57
Windows 5.1.2600 Service Pack 3
Running: gvgekjnz.exe; Driver: C:\WINDOWS\TEMP\pxtdypow.sys


---- System - GMER 1.0.15 ----

SSDT B4237E2E ZwCreateKey
SSDT B4237E24 ZwCreateThread
SSDT B4237E33 ZwDeleteKey
SSDT B4237E3D ZwDeleteValueKey
SSDT B4237E42 ZwLoadKey
SSDT B4237E10 ZwOpenProcess
SSDT B4237E15 ZwOpenThread
SSDT B4237E4C ZwReplaceKey
SSDT B4237E47 ZwRestoreKey
SSDT B4237E38 ZwSetValueKey
SSDT B4237E1F ZwTerminateProcess

---- Devices - GMER 1.0.15 ----

AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)

---- Registry - GMER 1.0.15 ----

Reg HKCU\Software\Microsoft\Windows Live\Communications Clients\Shared\3267048888\Groups@\x00b0AiLeM\xb0 1
Reg HKCU\Software\Microsoft\Windows Live\Communications Clients\Shared\3267048888\Groups@\x00b0ArKiLeR\xb0 0

---- EOF - GMER 1.0.15 ----


Alle Zeitangaben in WEZ +1. Es ist jetzt 15:26 Uhr.
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131