Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Alles ok? (https://www.trojaner-board.de/9733-alles-ok.html)

Danvil 17.11.2004 19:14
Alles ok?
 
Hallo allesamt!

Ich hab gestern versucht hl2 freizuschalten... Nach vielen erfolglosen Versuchen (Steam :snyper: ) bin ich zu dem (vielleicht falschen) Schluß gekommen, daß hl2 und steam nur geht wenn ich als root eingeloggt bin und bei meiner Internetverbindung die "Internetverbindungsfirewall" ausschalte.
Nunja, hl2 ging dann - aber ich weiß nicht was ich mir alles eingefangen habe in den paar Minuten.
crsss.exe (zusammen mit tftp - oder so) und noch etwas anders ist plötzlich in der Prozess-Liste aufgetaucht. Ich hab dann versucht das alles wieder weg zu bekommen. Hab ich auch alles erwischt, oder ist noch irgendwo ein Problem?


Logfile of HijackThis v1.98.2
Scan saved at 19:00:52, on 17.11.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
D:\internet\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
d:\System\AVPersonal\AVGUARD.EXE
d:\System\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
D:\Internet\D-Tools\daemon.exe
D:\System\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
D:\games\steam\steam.exe
D:\internet\GetRight\getright.exe
D:\internet\GetRight\getright.exe
C:\WINDOWS\explorer.exe
E:\Downloads\system\HijackThis19802.exe
D:\INTERNET\FIREFOX\firefox.exe
D:\System\Ad-aware 6\Ad-aware.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Office\Acrobat6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - D:\internet\GetRight\xx2gr.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\Internet\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Jet Detection] d:\Treiber\SBAudigy\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [SmcService] D:\internet\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [SYSTEM] lsas.exe
O4 - HKLM\..\Run: [Microsoft WinUpdates] serm32.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Develop\JBuilder9\jdk1.4\jre\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] d:\System\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\RunServices: [SYSTEM] lsas.exe
O4 - HKLM\..\RunServices: [Microsoft WinUpdates] serm32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "d:\games\steam\steam.exe" -silent
O4 - Global Startup: GetRight - Tray Icon.lnk = D:\internet\GetRight\getright.exe
O8 - Extra context menu item: Download with GetRight - D:\internet\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - D:\internet\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O16 - DPF: {00000000-0000-0000-0000-000020030000} -
O16 - DPF: {4E71E6DD-FB37-4641-A96E-4456399A6DB0} (CodeBabyObject Object) - http://jade.bioware.com/codebaby/codebaby.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://arcade.icq.com/multiplayer/odyssey_web8.cab
O16 - DPF: {E0CE16CB-741C-4B24-8D04-A817856E07F4} - http://cabs.roings.com/cabs/serialzip.cab
O16 - DPF: {F57D17AE-CE37-4BC8-B232-EA57747BE5E7} - http://66.230.146.53/EPlugin.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5914E4A8-F650-4700-9F8B-1BBF5C093DD1}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{6E2315FF-6460-4CCE-93F4-01528E418555}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{AB40D388-2D9F-4210-A9EF-85E5287A7D98}: NameServer = 145.253.2.196 145.253.2.203
O17 - HKLM\System\CS1\Services\Tcpip\..\{5914E4A8-F650-4700-9F8B-1BBF5C093DD1}: NameServer = 192.168.0.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{5914E4A8-F650-4700-9F8B-1BBF5C093DD1}: NameServer = 192.168.0.1

Haui45 17.11.2004 19:18
Scanne mal dein System mit eScan im abgesicherten Modus und poste was gefunden wurde. Stell dich aber schonmal auf formatieren und neu aufsetzen ein, da bei dir wahrscheilich einige Backdoors laufen.

Danvil 17.11.2004 19:18
Sollte vieleicht noch dazusagen:
Ich verwende Firefox und keinen IE!
Ich hab mit dem IE das Problem, das er (bei einem svg-Plugin) sproadisch und bei falschen links immer zu www.error-place.com (so ähnlich) wechselt...

cacatoa 17.11.2004 19:22
Na, da geb ich doch Haui45 ganz brutal recht. Alleine die beiden, die man auf den ersten Blick sieht, rechtfertigen imho ein Neuaufsetzen.

MountainKing 17.11.2004 19:43
Das Problem ist weniger die Firewall oder die Tatsache, dass du dich als Admin eingelogged hast, sondern, dass du offenbar keine Patches für IE und Windows installierst:

Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Daher das Beste:

http://board.protecus.de/showtopic.p...me=1097944155&

Danvil 17.11.2004 21:20
eScan
 
Hallo ich bin wieder da. Hab eScan laufen lassen - das hat ne weile gedauert. Das Ergebnis für C
File C:\WINDOWS\wipqhooz.dll infected by "TrojanDownloader.Win32.Lemmy.u" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\cfrgat32.exe infected by "Backdoor.Wisdoor.k" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\TFTP1972 infected by "Backdoor.Rbot.15" Virus. Action Taken: No Action Taken.

Auf meinen anderen Partitionen hab ich noch weitere ("vergessene") gefunden.

Ich hab alle infizierten Dateien manuell gelöscht.

Haui45 17.11.2004 21:22
Die sicherste Lösung wäre trotzdem Format C:

cronos 17.11.2004 21:31
Und falls di dich entschliesst dein System neu aufzusetzen, gehe nach folgender Anleitung vor:

http://trojaner-board.de/showthread.php?t=9546

oder nutze den Link, den Haui oder Mountainking schon gaben

Danvil 17.11.2004 21:45
Danke :)
 
Ok,
ich werde mal darauf hinsteuern das System komplett neu zu installieren. Vor allem besorg ich mir vorher die entsprechenden Updates.

Vielen Dank für eure Hilfe!


Alle Zeitangaben in WEZ +1. Es ist jetzt 11:44 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131