Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Xp will ins Internet! (https://www.trojaner-board.de/9569-xp-will-ins-internet.html)

hw163 14.11.2004 12:13
Xp will ins Internet!
 
Werkann mal helfen?
Habe hier einen Rechner vom Kollegen!
Der versucht dauernd ins Internet zu kommen!
Habe schon mehrere programme gestartet wie z.b. Spybot, Stinger , aber keiner findet etwas!
Hijackthis hat hier mal ein lock:
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\mgabg.exe
C:\WINDOWS\SYSTEM\winlogon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\winclean.exe
C:\WINDOWS\System32\PDesk\PDesk.exe
C:\WINDOWS\System32\wuamgrd.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\host32.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\WINDOWS\System32\msiexec.exe
H:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.software-innovators.com
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINDOWS\System32\PDesk\PDesk.exe /Autolaunch
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [Microsoft Update] wuamgrd.exe
O4 - HKLM\..\Run: [Outlook Express] nyprf.exe
O4 - HKLM\..\Run: [Windows Registry Scan] regscan32.exe
O4 - HKLM\..\Run: [Windows Registry Cleaner] winclean.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\RunServices: [Microsoft Update] wuamgrd.exe
O4 - HKLM\..\RunServices: [EnableDCOM] N
O4 - HKLM\..\RunServices: [Outlook Express] nyprf.exe
O4 - HKLM\..\RunServices: [Windows Registry Scan] regscan32.exe
O4 - HKLM\..\RunServices: [Windows Registry Cleaner] winclean.exe
O4 - HKLM\..\RunServices: [Norton AntiVirus Sys] NAVsys32.exe
O4 - HKLM\..\RunServices: [Sygate Personal Firewall] host32.exe
O4 - HKCU\..\Run: [Windows Registry Cleaner] winclean.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Microsoft Update] wuamgrd.exe
O4 - HKLM\..\RunOnce: [Windows Registry Cleaner] winclean.exe
O4 - HKCU\..\RunOnce: [Windows Registry Cleaner] winclean.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_fi...da8f616b0d1788

Shadow 14.11.2004 12:18
[Windows Registry Cleaner] winclean.exe
Ist vermutlich Variante vom Spybot-Wurm
Datei suchen und überprüen
mehrere RunOnce-Aufrufe MÜSSEN schon mal falsch sein

eva 14.11.2004 12:22
sieht meines erachtens sauber aus (aber lieber noch 2. meinung einholen)
daß einiges unter win xp gerne plaudern würde, kenn ich aber auch. was genau welche anwendung sucht, ist mir auch nicht klar, faktum ist, daß auf einer von mir gewarteten xpsp2-maschine unmengen outbound-traffic ist, der sich allerdings stark verringert hat, seit keine office-anwendung und der auch nicht der media-player ins internet darf.

bitte, glaub nicht mir, glaub shadow! der versteht mehr davon! ich bin noch am lernen.......

hw163 14.11.2004 12:59
Hi shadow!

Winclean ist ein programm zum entrümpeln der registry und kann noch viel mehr!
Das prog sucht ebenfalls nach Würmenr und trojanern!
nennt sich win clean gold !

Ach ja!

Beim Start von windows kommt ein Fenster da steht :
Netzwerkverbindungen:Ein Programm hat informationen angefordert juhas.rr.nu ! Welche verbindung.möchten sie wählen!(2 internet zugänge!)

Cidre 14.11.2004 13:03
Wie schon Shadow bereits postete sind auch diese Einträge aus der hiesigen Rbot Familie:
O4 - HKLM\..\RunServices: [Microsoft Update] wuamgrd.exe
O4 - HKLM\..\RunServices: [EnableDCOM] N
O4 - HKLM\..\RunServices: [Outlook Express] nyprf.exe
O4 - HKLM\..\RunServices: [Windows Registry Scan] regscan32.exe
O4 - HKLM\..\RunServices: [Windows Registry Cleaner] winclean.exe
O4 - HKLM\..\RunServices: [Norton AntiVirus Sys] NAVsys32.exe
O4 - HKLM\..\RunServices: [Sygate Personal Firewall] host32.exe
O4 - HKCU\..\Run: [Windows Registry Cleaner] winclean.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Microsoft Update] wuamgrd.exe
O4 - HKLM\..\RunOnce: [Windows Registry Cleaner] winclean.exe
O4 - HKCU\..\RunOnce: [Windows Registry Cleaner] winclean.exe

Alles in allen ein Fall für ein Neuaufsetzen des System, siehe http://www.trojaner-board.de/showpos...28&postcount=2

@ hw163


Zitat:
Winclean ist ein programm zum entrümpeln der registry und kann noch viel mehr!
In diesem Fall, NEIN!


Alle Zeitangaben in WEZ +1. Es ist jetzt 12:27 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131