Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   was zum lesen für die Pros :) (https://www.trojaner-board.de/1424-lesen-pros.html)

r0kSt4h 17.04.2004 13:26
Hi,

mir war so als hätte ich nen paar üble Trojaner, Viren wasauchimmer aufm Rechner, da einige Internet Seiten einfach nicht mehr erschienen... hab dann alles befolgt, so wie es in diesem Thread steht:
http://www.trojaner-board.de/forum/u...c;f=6;t=004653

Hab mir sogar den Avant Browser gesaugt [img]smile.gif[/img] )
Ich wollte nur kurz meine Hijackthis Log zeigen, denke aber das alles ok sein müsste..

Danke im Vorraus

Logfile of HijackThis v1.97.7
Scan saved at 14:05:41, on 17.04.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\System32\SCVHOST.EXE
C:\Programme\Messenger\msmsgs.exe
C:\dokume~1\wasser~1\anwend~1\wininet.exe
C:\WINDOWS\system32\ntvdm.exe
C:\T-ONLINE\BSW4\ToDuCAlC.EXE
C:\Programme\eMule\emule.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [MSStartOptimizer] C:\WINDOWS\System32\SCVHOST.EXE
O4 - HKLM\..\Run: [RegCompres] C:\WINDOWS\System32\REGCPM32.EXE
O4 - HKLM\..\RunServices: [mmtask0] C:\WINDOWS\System32\mmtask0.exe
O4 - HKLM\..\RunServices: [MSStartOptimizer] C:\WINDOWS\System32\SCVHOST.EXE
O4 - HKLM\..\RunServices: [RegCompres] C:\WINDOWS\System32\REGCPM32.EXE
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [System Update4] c:\dokume~1\wasser~1\anwend~1\wininet.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Zahlungserinnerung.lnk = C:\HCW\wzed.exe
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...irector/sw.cab
O16 - DPF: {1E50B82A-0D78-48B9-97EC-391B2F81CE8A} (IELoaderCtl Class) - http://acxd.freeload.cc/ieloader.cab
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com...45/yacscom.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/downlo...22/wmv9VCM.CAB
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe
O16 - DPF: {67B15B0B-160C-4579-95AF-858169659092} (IELoaderCtl Class) - http://freeload.cc/secure/ieloader.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...8093.132349537
O16 - DPF: {AE1C01E3-0283-11D3-9B3F-00C04F8EF466} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub...sh/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{DE4FED6B-4D41-488E-8936-616EFAB28D65}: NameServer = 62.225.244.197 194.25.2.129

Lucky 17.04.2004 13:36
</font><blockquote>Zitat:</font><hr />O4 - HKLM\..\RunServices: [MSStartOptimizer] C:\WINDOWS\System32\SCVHOST.EXE</font>[/QUOTE] </font><blockquote>Zitat:</font><hr />C:\WINDOWS\System32\SCVHOST.EXE</font>[/QUOTE]Das ist ganz sicher keine Windowsdatei.

</font><blockquote>Zitat:</font><hr />O4 - HKCU\..\Run: [System Update4] c:\dokume~1\wasser~1\anwend~1\wininet.exe</font>[/QUOTE]Und die wininet.exe oben bei den laufenden Prozessen ist komisch.

</font><blockquote>Zitat:</font><hr />O4 - HKLM\..\Run: [RegCompres] C:\WINDOWS\System32\REGCPM32.EXE
O4 - HKLM\..\RunServices: [RegCompres] C:\WINDOWS\System32\REGCPM32.EXE</font>[/QUOTE]Das sieht nach einem Trojaner aus

</font><blockquote>Zitat:</font><hr />O4 - Global Startup: Zahlungserinnerung.lnk = C:\HCW\wzed.exe</font>[/QUOTE]Was ist das denn?

</font><blockquote>Zitat:</font><hr />O16 - DPF: {1E50B82A-0D78-48B9-97EC-391B2F81CE8A} (IELoaderCtl Class) - http://acxd.freeload.cc/ieloader.cab </font>[/QUOTE]Das sieht für mich komisch aus, irgendwie nach einem Dialer finde ich. Was meinen die anderen?

</font><blockquote>Zitat:</font><hr />O4 - HKLM\..\RunServices: [mmtask0] C:\WINDOWS\System32\mmtask0.exe</font>[/QUOTE]So wie es aussieht, sieht da aus wie nen Dialer. (laut Google)

Björn

[ 17. April 2004, 14:47: Beitrag editiert von: Lucky ]

r0kSt4h 17.04.2004 13:37
einfach löschen oder wie soll ich vorgehen?

Lucky 17.04.2004 13:47
Ich habe noch ein bissel editiert.

Ja ich würde sagen ja löschen und per HijackThis fixen lassen.

Aber alles auf eigene Gefahr!

Björn

r0kSt4h 17.04.2004 13:57
&gt;O4 - Global Startup: Zahlungserinnerung.lnk = C:\HCW\wzed.exe
--------------------------------------------------------------------------------

Was ist das denn?


das müsste Home Cash sein, ein Banking Programm, also lass ich das mal lieber so...

um den Rest kümmere ich mich, thx

r0kSt4h 17.04.2004 13:59
und was die svchost betrifft:

http://www.pctip.ch/helpdesk/kummerk...in2k/25498.asp


Würde mich auch ehrlich gesagt wundern wenn da ein Virus drin wäre, die ist uralt

Lucky 17.04.2004 14:08
Die Datei die ich zitiert habe heißt aber scvhost.exe und als Windowsdatei hätte sie keinen run Eintrag.

Björn

r0kSt4h 17.04.2004 14:09
Ok dann hau ich die auch noch raus ;)

Lucky 17.04.2004 14:13
http://www.liutilities.com/products/...brary/scvhost/

Hast du alle Patches für Windows drauf?

Björn

mav1976 17.04.2004 14:18
moin,

</font><blockquote>Zitat:</font><hr />O4 - HKLM\..\RunServices: [mmtask0] C:\WINDOWS\System32\mmtask0.exe </font>[/QUOTE]und den bitte mal auch fixen. gehört zu einem dialer lt. pestpetrol

infos hier: http://www.pestpatrol.com/pestinfo%5Cm%5Cmmtask.asp

Lucky 17.04.2004 14:19
@mav
*g* Steht doch bei meinem ersten Post drin ;)

Björn [img]graemlins/lach.gif[/img]

r0kSt4h 17.04.2004 14:21
Jo, die mmtask is draußen und nein, ich habe glaube ich net alle Patches gezogen... hinke da ein wenig hinterher... Naja ich versuch die jetz erstmal rauszuhauen und dann mal gucken


Alle Zeitangaben in WEZ +1. Es ist jetzt 14:32 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19