Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Hilfe bei Hijacking (https://www.trojaner-board.de/9381-hilfe-hijacking.html)

tobis72 09.11.2004 14:20
Hilfe bei Hijacking
 
Hallo erstmal

Habe Probleme mit einem gejacktem Rechner. Hab die Logdatei schon automatisch auswerten lassen, bekomme aber einige unbekannte Einträge. Vielleicht könnt ihr was damit anfangen. Ich poste mal die Log und hoffe ihr könnt was damit anfangen. Ich habe die unbekannten Einträge mit drei Fragezeichen versehen (???). Vielen Dank im Vorraus!!!


Logfile of HijackThis v1.98.2
Scan saved at 09:47:02, on 09.11.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.51 SP2 (5.51.4807.2300)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\McAfee\McAfee VirusScan\Avsynmgr.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\d3zl32.exe <--- ???
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Programme\McAfee\McAfee VirusScan\VsStat.exe
C:\Programme\McAfee\McAfee VirusScan\Vshwin32.exe
C:\Programme\McAfee\McAfee VirusScan\Avconsol.exe
C:\Programme\McAfee\McAfee VirusScan\Webscanx.exe
C:\Programme\Gemeinsame Dateien\Network Associates\McShield\Mcshield.exe
C:\WINNT\Explorer.EXE
C:\WINNT\SOUNDMAN.EXE
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\McAfee\McAfee VirusScan\alogserv.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\WINNT\system32\ntsj.exe <---???
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\PROGRA~1\MICROS~2\Office\OUTLOOK.EXE
C:\Programme\STB\PowerArchiver\POWERARC.EXE <---???
C:\DOKUME~1\LOCALS~1\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\npchj.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\npchj.dll/sp.html#37049
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://npchj.dll/index.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://npchj.dll/index.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\system32\npchj.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\npchj.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\npchj.dll/sp.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://npchj.dll/index.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\npchj.dll/sp.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\npchj.dll/sp.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.etlnet.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von ETL
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 10.63.152.1:3128
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 10.63.152.1;<local>
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {5AEAA1A1-E1A4-6D25-2CDA-9CC2EFBD74E1} - C:\WINNT\system32\javazd32.dll <--- ???
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Alogserv] C:\Programme\McAfee\McAfee VirusScan\alogserv.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [ntsj.exe] C:\WINNT\system32\ntsj.exe <---???
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O14 - IERESET.INF: START_PAGE_URL=http://www.etlnet.de
O15 - Trusted Zone: *.etl.de
O15 - Trusted Zone: *.etlnet.de
O15 - Trusted Zone: *.eurodata.de
O15 - Trusted Zone: *.office-online.redmark.de



Die Einträge unten fixe ich (da bin ich mir sicher) aber bei denen mit <--- weiß ich net ganz genau:


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\npchj.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\npchj.dll/sp.html#37049
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://npchj.dll/index.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://npchj.dll/index.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\system32\npchj.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\npchj.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\npchj.dll/sp.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://npchj.dll/index.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\npchj.dll/sp.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\npchj.dll/sp.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.etlnet.de

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 10.63.152.1;<local> muss ich noch überprüfen die IP-Adresse

veilleicht könnt ihr mit dem Rest was anfangen???

tobis72 09.11.2004 17:20
???? :o ?????

tobis72 09.11.2004 21:33
Keiner ne Ahnung, ob diese beiden Prozesse böse sind?



C:\WINNT\d3zl32.exe
C:\WINNT\system32\ntsj.exe

chaosman 09.11.2004 21:37
@tobis72
lasse diese online überprüfen
C:\WINNT\d3zl32.exe
C:\WINNT\system32\ntsj.exe
C:\WINNT\system32\javazd32.dll
und zwar hier
http://virusscan.jotti.org/de

poste bitte das ergebnis
chaosman

cacatoa 09.11.2004 21:38
Hast du irgendein Spiel drauf?
Die C:\WINNT\system32\ntsj.exe
könnte dazu gehören, bin mir aber nicht sicher.
Deshalb: folge chaosman

tobis72 09.11.2004 21:41
Hm leider ist der Rechner nicht von mir und ich versuche das Problem per Telefondiagnose zu lösen, aber ich versuche trotzdem die dateien scannen zu lassen.

Aber so aus dem Stehgreif kommt sie euch auch nicht bekannt vor, oder?

tobis72 09.11.2004 21:43
...und noch ne Frage, muß ich zum fixen in den abgesicherten Modus ?

chaosman 09.11.2004 21:46
@tobis72
normal findest du viel über dateien in google, über diese dateien ist jedoch nichts zu finden. deswegen online überprüfen lassen, um sicher zu gehen.

Aber so aus dem Stehgreif kommt sie euch auch nicht bekannt vor, oder?
nee

chaosman

Cidre 09.11.2004 22:08
@ tobis72

Zitat:
muß ich zum fixen in den abgesicherten Modus ?
Wäre sinnvoller.

Zitat:
C:\WINNT\d3zl32.exe
C:\WINNT\system32\ntsj.exe
C:\WINNT\system32\javazd32.dll
sowie C:\WINNT\system32\npchj.dll sind zufällig generierte Dateinamen von TROJ_WINSHOW.AB und anderen.
Quelle: http://www.trendmicro.com/vinfo/viru...HOW.AB&VSect=T

Letztendlich wird nur die Überprüfung dieser Dateien uns Gewissheit darüber verschaffen.


Alle Zeitangaben in WEZ +1. Es ist jetzt 08:36 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19