Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Brauche Hilfe! (https://www.trojaner-board.de/8568-brauche-hilfe.html)

uses 18.10.2004 16:46
Brauche Hilfe!
 
Hallo!

Ich glaub ich hab nen Virus.
Wäre nett wenn jemand mal schauen könnte.

Logfile of HijackThis v1.98.2
Scan saved at 17:38:24, on 18.10.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\wanmpsvc.exe
C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
C:\WINDOWS\System32\cnnr.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\AOL 8.0\aoltray.exe
E:\HijackThis.exe

O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Programme\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL
O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Programme\MyWebSearch\bar\1.bin\MWSBAR.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: My &Web Search - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Programme\MyWebSearch\bar\1.bin\MWSBAR.DLL
O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
O4 - HKLM\..\Run: [Update Machine] winm.exe
O4 - HKLM\..\Run: [Sygate Personals] cnnr.exe
O4 - HKLM\..\RunServices: [Update Machine] winm.exe
O4 - HKLM\..\RunServices: [Sygate Personals] cnnr.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: MyWebSearch Email Plugin.lnk = C:\Programme\MyWebSearch\bar\1.bin\MWSOEMON.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: AOL 8.0 Tray-Symbol.lnk = C:\Programme\AOL 8.0\aoltray.exe
O4 - Global Startup: MyWebSearch Email Plugin.lnk = C:\Programme\MyWebSearch\bar\1.bin\MWSOEMON.EXE
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZSzeb029
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache...tup1.0.0.8.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{44A17417-8638-41EB-8089-67D30411B08E}: NameServer = 141.70.124.1,129.143.2.4
O17 - HKLM\System\CCS\Services\Tcpip\..\{E89BDCDB-1BF8-4634-A7AF-F26E13FEC01E}: NameServer = 141.70.124.1,129.143.2.4

cacatoa 18.10.2004 18:02
Hallo, uses!

Ich denke mal, Dein größtes Problem ist die [microsoft update machine].
Dahinter verbirgt sich ein Wurm (RBot-Familie), der Dein System kompromittiert hat. Das heißt, es ist nicht mehr vertrauenswürdig, da durchaus viele oder alle Anwendungen verändert sein können, und du damit auch eine Gefahr für andere User bist. Obwohl ich kein Freund davon bin, würde ich Dir raten, Dein System nur von sicherster Quelle aus neu aufzusetzen. Bedenke, daß auch eventuelle Sicherheitskopien von Datenbanken oder Anwendungen durchaus schon befallen sind. Wenn Du Dir nicht ganz sicher bist, daß dies nicht der Fall ist, wirst Du wahrscheinlich ganz von vorne anfangen müssen.
HJT hat außerdem noch weitere 14 Böse gefunden, die aber nach dem Neuaufsetzen des Systems eh weg sind.
Vorher würde mich aber noch interessieren, was unsere anderen Mitglieder denken.
Gruß cacatoa

chaosman 18.10.2004 18:09
@uses

cacatoa hat recht
http://www.sophos.de/virusinfo/analyses/w32rbothu.html
chaosman

Shadowdance 18.10.2004 22:05
Hallo uses,
@ cacatoa & @ chaosman

auch wenn es möglicherweise der längere Weg ist, möchte ich doch gerne ganz sicher gehen, dass wir auch wirklich alle Möglichkeiten ausgeschöpft haben, bevor wir einem User empfehlen, sein System zu formatieren. Der User kann mit bloßem Augen nicht erkennen, dass er einen Wurm mit Backdoor-Eigenschaften auf dem System hat.

Ich empfehle daher zuerst den eScan, laut der Anweisung im Link, durchzuführen. Das Programm muss online geupdatet und offline im abgesicherten Modus durchgeführt werden. Alle Erläuterungen dazu sind im Link nachzulesen.

Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." Erstelle dann bitte ein neues Hijack This Logfile und poste es.

SD

uses 18.10.2004 22:31
Hi!

Danke für eure Hilfe.
Ich kann e-scan leider nicht updaten da ich kein Internet mehr habe.(wohne im Studentenwohnheim und mein Anschluss ist gesperrt, wenn ich bei wem anders versuche wird der auch geperrt)
Kann ich die Updates von wem anders kopieren?
Und Antivir hat bei mir aber nichts gefunden.

MFG
uses

MountainKing 18.10.2004 23:01
O4 - HKLM\..\RunServices: [Update Machine] winm.exe

Ist IMO in der Tat eindeutig ein Schädling, wie wohl auch:

O4 - HKLM\..\RunServices: [Sygate Personals] cnnr.exe

schon, weil du gar keine Sygate Firewall installiert hast.
Da zusätzlich:

Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

das System nicht gepatched ist, solltest du cacatoas Empfehlung folgen und anhand dieser Anleitung neu installieren:

http://board.protecus.de/showtopic.p...me=1097944155&

Von wo aus postest du, wenn du kein Netz hast? Wenn der Rechner nicht online gehen kann, wird das Updaten schon mal schwierig hmmm...oder du besorgst dir Service Pack 2 auf CD.

uses 18.10.2004 23:41
Hi!
Den Log hab ich über nen Freund reingestellt.
Aber bei dem kann ich halt nicht online gehen weil sonst dem sein Anschluss gesperrt wird. Ist halt ziemlich scheiße. Ich weiß. Aber ich versuche halt alles um nicht formatieren zu müssen.

MFG
uses

MountainKing 18.10.2004 23:52
Naja, wenn du mit deinem Rechner nicht online gehen kannst, ist auch erst mal kein Fernzugriff darauf durch diese Backdoors möglich. Soweit so gut, wichtig wäre trotzdem das Updaten.
Ich habe den Eindruck, dass dieses Logfile nicht ganz komplett ist, es fehlen die Startseiteneinträge, kann das sein?


Alle Zeitangaben in WEZ +1. Es ist jetzt 17:32 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19