Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Ist mein PC gehackt worden? (https://www.trojaner-board.de/9623-pc-gehackt-worden.html)

boutrousg 15.11.2004 15:25
Ist mein PC gehackt worden?
 
Hallihallo!
Ich habe vor ein paar Tagen den TR/Dldr.Dyfuca.W auf meinem Rechner entdeckt und auf Anraten von Cronos (Danke!!! :-) diesen HiJackThis Log erstellt. Kann jemand das für mich "lesen"? Vielen Dank dafür im Voraus!
Boutrousg
===========
Logfile of HijackThis v1.98.2
Scan saved at 15:09:43, on 15.11.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\System32\locator.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\spupdsvc.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\MsPMSPSv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spupdw2k.exe
C:\WINNT\Explorer.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\MSN Apps\Updater\01.02.3000.1001\de\msnappau.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\The Cleaner\tca.exe
C:\Programme\The Cleaner\tcm.exe
C:\Programme\Microsoft Office\Office10\OUTLOOK.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINNT\Profiles\peter.000\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.de/0SEDEDE/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.spiegel.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.spiegel.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 172.16.200.42:82
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.02.3000.1002\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.3000.1001\de\msntb.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.3000.1001\de\msntb.dll
O4 - HKLM\..\Run: [hpppta] l:\scanner\PrecisionScan Pro\hpppta.exe /ICON
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [msnappau] "C:\Programme\MSN Apps\Updater\01.02.3000.1001\de\msnappau.exe"
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [tcactive] C:\Programme\The Cleaner\tca.exe
O4 - HKLM\..\Run: [tcmonitor] C:\Programme\The Cleaner\tcm.exe
O4 - HKCU\..\Run: [Update Service] "C:\Programme\Gemeinsame Dateien\Teknum Systems\update.exe" /startup
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm (file missing)
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm (file missing)
O13 - WWW. Prefix: http://
O16 - DPF: {02BED220-FBC7-4392-93A2-3A50B056F78E} - http://down.plaxo.com/down/release/instub.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/...sh/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = rcta.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{10FC6E63-F77D-40C8-AA97-0E9C54804B05}: Domain = rcta.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{10FC6E63-F77D-40C8-AA97-0E9C54804B05}: NameServer = 172.16.200.42
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = rcta.de
O17 - HKLM\System\CS1\Services\Tcpip\..\{10FC6E63-F77D-40C8-AA97-0E9C54804B05}: Domain = rcta.de
O17 - HKLM\System\CS1\Services\Tcpip\..\{10FC6E63-F77D-40C8-AA97-0E9C54804B05}: NameServer = 172.16.200.42

cacatoa 15.11.2004 15:56
Hallo,
fixe die folgenden im abgesicherten Modus:
C:\Programme\MSN Apps\Updater\01.02.3000.1001\de\msnappau.exe
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.02.3000.1002\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.3000.1001\de\msntb.dll
O4 - HKLM\..\Run: [msnappau] "C:\Programme\MSN Apps\Updater\01.02.3000.1001\de\msnappau.exe"
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm (file missing)
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm (file missing)
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52...meInstaller.exe

Lösche die folgenden DAteien manuell:
C:\Programme\MSN Apps\Updater\01.02.3000.1001\de\msnappau.exe
C:\Programme\MSN Apps\ST\01.02.3000.1002\en-xu\stmain.dll
C:\Programme\MSN Apps\MSN Toolbar\01.02.3000.1001\de\msntb.dll

WEnn Du sie nicht kennst, fixe die folgenden auch:
O16 - DPF: {02BED220-FBC7-4392-93A2-3A50B056F78E} - http://down.plaxo.com/down/release/instub.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = rcta.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{10FC6E63-F77D-40C8-AA97-0E9C54804B05}: Domain = rcta.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{10FC6E63-F77D-40C8-AA97-0E9C54804B05}: NameServer = 172.16.200.42
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = rcta.de
O17 - HKLM\System\CS1\Services\Tcpip\..\{10FC6E63-F77D-40C8-AA97-0E9C54804B05}: Domain = rcta.de
O17 - HKLM\System\CS1\Services\Tcpip\..\{10FC6E63-F77D-40C8-AA97-0E9C54804B05}: NameServer = 172.16.200.42

Dann neues Logfile erstellen.
Einen eScan im abgesicherten Modus durchführen und das Ergebnis (nach dem eScan:
..."Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen...) hier rein posten.
cacatoa

boutrousg 15.11.2004 16:08
Hallo Cacatoa!
Woow :-))
Vielen Dank für Deine schnelle Antwort!
Erlaube mir eine Newbie-Frage: Wie um alles in der Welt kann ich meinen Rechner im abgesicherten Modus starten und wie fixe ich diese sachen (z.B. ......
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm (file missing)
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm (file missing)
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52...meInstaller.exe)

kannst Du mir einen Tip geben????
1000 DANK!!!
boutrousg

cacatoa 15.11.2004 16:19
Fixen heißt, nach dem scan mit HJT die Punkte, die ich dir geschrieben habe, anclicken (und nur die) und dann auf "Fix checked" clicken. Wech sin se.
Abgesicherter Modus: hier drauf clicken
cacatoa

boutrousg 15.11.2004 17:21
Danke cacatoa, das werd ich dann gleich mal machen!
:daumenhoc

boutrousg 16.11.2004 09:46
Hi Cacatoa!
Das ist mein neuer Logfile. Ich glaub alles ist clean soweit, ich hab laut automatischer Auswertung nur angeblich 2 unbekannte Prozesse:

C:\WINNT\system32\spupdsvc.exe
C:\WINNT\system32\spupdw2k.exe

Kennst Du die?
Viele Grüße und nochmals vielen Dank!
BoutrousG

Logfile of HijackThis v1.98.2
Scan saved at 09:36:15, on 16.11.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\System32\locator.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\MsPMSPSv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spupdsvc.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spupdw2k.exe
C:\WINNT\Explorer.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\The Cleaner\tca.exe
C:\Programme\The Cleaner\tcm.exe
C:\Programme\Microsoft Office\Office10\OUTLOOK.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINNT\Profiles\peter.000\Desktop\HijackThis.exe
C:\WINNT\system32\NOTEPAD.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.de/0SEDEDE/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.spiegel.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.spiegel.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 172.16.200.42:82
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [hpppta] l:\scanner\PrecisionScan Pro\hpppta.exe /ICON
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [tcactive] C:\Programme\The Cleaner\tca.exe
O4 - HKLM\..\Run: [tcmonitor] C:\Programme\The Cleaner\tcm.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/...sh/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = rcta.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{10FC6E63-F77D-40C8-AA97-0E9C54804B05}: Domain = rcta.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{10FC6E63-F77D-40C8-AA97-0E9C54804B05}: NameServer = 172.16.200.42
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = rcta.de
O17 - HKLM\System\CS1\Services\Tcpip\..\{10FC6E63-F77D-40C8-AA97-0E9C54804B05}: Domain = rcta.de
O17 - HKLM\System\CS1\Services\Tcpip\..\{10FC6E63-F77D-40C8-AA97-0E9C54804B05}: NameServer = 172.16.200.42

cacatoa 16.11.2004 11:41
Hi,
"rcta.de" ist Absicht, oder? (Bitte um Antwort)
Zu den beiden Prozessen hab´ich nirgendwo was gefunden, das auf negative Einflüsse schließen läßt.
Somit sollte alles sauber sein.
cacatoa

boutrousg 16.11.2004 16:07
[QUOTE=cacatoa]Hi,
"rcta.de" ist Absicht, oder?
Stimmt! Das ist die Web-Adresse meiner Firma!
Danke nochmals für all Deine Bemühungen!!!
:daumenhoc

Shadowdance 16.11.2004 18:29
@ boutrousg,

überprüfe bitte mit virusscan.jotti.dhs.org:

C:\WINNT\system32\spupdsvc.exe
C:\WINNT\system32\spupdw2k.exe

teile uns das Ergebnis mit und sende die Dateien passwortgeschützt an partytime-germany.ice@web.de, mit Hinweis auf diesen Thread.

SD

boutrousg 16.11.2004 21:31
Hi Shadowdance!
Hab ich gemacht und folgendes war das Resultat:

spupdsvc.exe :
Status: OK (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
Packers detected: None

spupdw2k.exe
Status: OK (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
Packers detected: None

Folgendes ist mir aber soeben passiert: The Cleaner hat ein unvorhergesehenes Ereignisg festgestellt und mich aufgefordert etwas zu tun und zwar sollte ich einen soeben getätigten Eintrag überprüfen, auf:

HKCU\Software\Mircosoft\Windows\Current Version\Run

wurde folgendes neu eingetragen:

C:\Programme\Gemeinsame Dateien\Teknum Systems\update.exe"/startup


Ich habe diesen Registry Eintrag schon öfter mal gelöscht, aber er scheint immer wieder aufzutauchen!!! Was soll ich tun?????

BoutrousG


Alle Zeitangaben in WEZ +1. Es ist jetzt 05:25 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131