Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Opfer von Malware / Script Datei *.vbs fehlt (https://www.trojaner-board.de/90793-opfer-malware-script-datei-vbs-fehlt.html)

matzematze 15.09.2010 08:20
Opfer von Malware / Script Datei *.vbs fehlt
 
Ich habe auf der Arbeit am Montag XP ganz frisch installiert, habe dann ein paar Stunden ohne Virenschutz gesurft und dann erst Symantec Endpoint Protection installiert was ein Fehler war :headbang: Ich bin wohl Malware zum Opfer gefallen. Kann mein C Laufwerk nicht mehr mit Doppelklick öffnen, es erscheint die Meldung dass die Script Datei *.vbs fehlt und es stand hacked by ***** oben im internet explorer (dieses problem habe ich mit hijackthis aber schon behoben).

Logfile:
HiJackthis Logfile:
Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:02:54, on 15.09.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Symantec\Symantec Endpoint Protection\Smc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Multimedia Mouse Driver\KMWDSrv.exe
C:\Programme\Symantec\Symantec Endpoint Protection\Rtvscan.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Symantec\Symantec Endpoint Protection\SmcGui.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Multimedia Mouse Driver\StartAutorun.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Multimedia Mouse Driver\KMConfig.exe
C:\Programme\Tobit InfoCenter\DVWIN32.EXE
C:\Programme\Multimedia Mouse Driver\KMProcess.exe
C:\Programme\MultiKeyboard Driver\KbdDrv.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\MHoh\Eigene Dateien\Downloads\HiJackThis.exe
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Hacked by EMSOL-F2A35AA7E
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O4 - HKLM\..\Run: [nwiz] C:\Programme\NVIDIA Corporation\nView\nwiz.exe /installquiet
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [KMCONFIG] C:\Programme\Multimedia Mouse Driver\StartAutorun.exe KMConfig.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: MutiKeyboard Driver.lnk = C:\Programme\MultiKeyboard Driver\KbdDrv.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: MutiKeyboard Driver.lnk = C:\Programme\MultiKeyboard Driver\KbdDrv.exe (User 'Default user')
O4 - Startup: MutiKeyboard Driver.lnk = C:\Programme\MultiKeyboard Driver\KbdDrv.exe
O4 - Global Startup: David Client.LNK = C:\Programme\Tobit InfoCenter\DVWIN32.EXE
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ***.local
O17 - HKLM\Software\..\Telephony: DomainName = ***.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{ACD3459C-D325-4448-9575-81D8B1FD0D12}: NameServer = ***
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ***.local
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Keyboard And Mouse Communication Service (KMWDSERVICE) - UASSOFT.COM - C:\Programme\Multimedia Mouse Driver\KMWDSrv.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Symantec Management Client (SmcService) - Symantec Corporation - C:\Programme\Symantec\Symantec Endpoint Protection\Smc.exe
O23 - Service: Symantec Endpoint Protection (Symantec AntiVirus) - Symantec Corporation - C:\Programme\Symantec\Symantec Endpoint Protection\Rtvscan.exe
 
--
End of file - 5429 bytes
--- --- ---

raman 15.09.2010 10:31
Dann bitte nochmal von Anfang an, sofern du nicht ein Image von der sauberen Installation gezogen hast. Passworte solltest du auch zusaetzlich alle aendern...

Bitte denke daran, nur Software aus sicherer Quelle einzusetzen!

matzematze 15.09.2010 12:06
Ich möchte nur einen Lösungsweg wie ich wieder auf mein Laufwerk zugreifen kann ohne Rechtsklick --> öffnen zu drücken

raman 15.09.2010 14:04
Ich glaube, wir reden aneinander vorbei. Du hattest/hast aktiven Malwarebefall.

Gehe davon aus, das diese Malware alle deine Passworte und aehnliches geklaut hat.

Das ist ein Firmenrechner! Wieviel Risiko bist du gewillt mit so einem infizierten Rechner einzugehen!?

Achso, du solltest die persoenlichen (Firmen) Dinge aus deinem Hijackthis Report entfernen!


Alle Zeitangaben in WEZ +1. Es ist jetzt 21:34 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131