Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Bitte um Hilfe (https://www.trojaner-board.de/21576-bitte-um-hilfe.html)

MarcDaddy 07.09.2005 12:24
Bitte um Hilfe
 
Hallo zusammen,
Nach der letzten sehr hohen I-Net-Rechnung ich habe meinen Computer mit escan gecheckt und es war ein Virus auf dem Rechner. Der Logfile war mir zu kompliziert. Hab ihn auch mit adaware, AV gecheckt allerdings nur warnungen(nur bei Antivir).
Habe die Platte letztendlich mit HJT gescannt und es kam folgendes als Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 12:55:49, on 07.09.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\WINDOWS\System32\DVDRAMSV.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\LTSMMSG.exe
C:\Programme\SigmaTel\SigmaTel AC97 Audio-Treiber\stacmon.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\TFNF5.exe
C:\Programme\TOSHIBA\TouchED\TouchED.Exe
C:\WINDOWS\System32\00THotkey.exe
C:\WINDOWS\system32\TPSMain.exe
C:\WINDOWS\System32\ezSP_Px.exe
C:\Programme\Drag'n Drop CD+DVD\BinFiles\DragDrop.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\WINDOWS\system32\RAMASST.exe
C:\Programme\Yahoo!\Messenger\ymsgr_tray.exe
C:\DOKUME~1\G**a\LOKALE~1\Temp\mwavscan.com
C:\DOKUME~1\G**ia\LOKALE~1\Temp\kavss.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\WinAce\WinAce.exe
C:\Dokumente und Einstellungen\Garcia\Lokale Einstellungen\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.yahoo.de/
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~1\Yahoo!\COMPAN~1\Installs\cpn\ycomp5_3_18_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\COMPAN~1\Installs\cpn\ycomp5_3_18_0.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [SigmaTel StacMon] C:\Programme\SigmaTel\SigmaTel AC97 Audio-Treiber\stacmon.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [TFNF5] TFNF5.exe
O4 - HKLM\..\Run: [TouchED] C:\Programme\TOSHIBA\TouchED\TouchED.Exe
O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe
O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [Drag'n Drop CD+DVD] C:\Programme\Drag'n Drop CD+DVD\BinFiles\DragDrop.exe /StartUp
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Programme\Yahoo!\Messenger\ypager.exe" -quiet
O4 - HKCU\..\Run: [toscdspd] C:\Program Files\Toshiba\Toscdspd\TOSCDSPD.EXE
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Programme\Yahoo!\Messenger\yhexbmes.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Programme\Yahoo!\Messenger\yhexbmes.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1109611969396
O17 - HKLM\System\CCS\Services\Tcpip\..\{88123901-737D-404B-8D6A-653F5D8FBC4E}: NameServer = 213.191.92.84 213.191.74.12
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\System32\DVDRAMSV.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Könnte mir bitte jemand erzählen ob der Rechner noch "sicher" ist!
Oder was ich gegen den Plagegeist tun kann damit nicht wieder solch eine heftige Rechnung auf mich zu kommt. System neu aufsetzten oder kann ich das system auch so wieder hinbekommen?

Please help

Haui45 07.09.2005 19:14
Hallo,

das HjT-Log schaut sauber aus.

Zitat:
C:\DOKUME~1\G**a\LOKALE~1\Temp\mwavscan.com
eScan wurde falsch ausgeführt. Bitte den Scan wiederholen und dabei streng nach Anleitung vorgehen.

MarcDaddy 07.09.2005 22:07
Zitat:
Zitat von Haui45
Hallo,

das HjT-Log schaut sauber aus.


eScan wurde falsch ausgeführt. Bitte den Scan wiederholen und dabei streng nach Anleitung vorgehen.
Geschafft!!
Hier ist also mein ergebnis:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Wed Sep 07 21:24:10 2005 => System found infected with WhenU.SaveNow Spyware/Adware (setup_wm.exe)! Action taken: No Action Taken.
Wed Sep 07 21:40:29 2005 => File C:\Dokumente und Einstellungen\Tschista\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0R4JS38R\se[1].htm infected by "Exploit.HTML.CodeBaseExec" Virus! Action Taken: No Action Taken.
Wed Sep 07 21:53:08 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Wed Sep 07 22:39:02 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Wed Sep 07 21:24:10 2005 => Offending file found: C:\DOKUME~1\Garcia\LOKALE~1\Temp\setup_wm.exe
Wed Sep 07 22:39:02 2005 => Total Virus(es) Found: 2
Wed Sep 07 22:39:03 2005 => Total Errors: 43
Wed Sep 07 22:39:03 2005 => Time Elapsed: 01:19:37
Wed Sep 07 22:39:02 2005 => Total Objects Scanned: 68148
Wed Sep 07 21:18:28 2005 => Virus Database Date: 2005/09/07
Wed Sep 07 22:39:03 2005 => Virus Database Date: 2005/09/07
Wed Sep 07 22:39:50 2005 => Virus Database Date: 2005/09/07
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~

Ich hoffe die Viren können auch ohne neue Installation beseitigt werden.
"Klopf auf Holz :headbang: "

cotton 07.09.2005 22:18
hallo,
ich kenn mich mit auswertungen nicht viel aus, aber WhenU.SaveNow sagt mir was ... hatte ich auch.
wenn du in PROGRAMME nen ordner SAVENOW und/oder TOPMOXIE hast, hast du die (warscheinlich) mit nem freeware tool eingeladen.
kann man normal deinstallieren.


!wenn ich falsch liege soll mich bitte jemand berichtigen

ich habs bei mir jedenfalls deninstallieren können.

cotton 07.09.2005 22:20
...

Wed Sep 07 21:40:29 2005 => File C:\Dokumente und Einstellungen\Tschista\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0R4JS38R\se[1].htm infected by "Exploit.HTML.CodeBaseExec" Virus! Action Taken: No Action Taken.


und temporäre internetfiles löschen, denk ich.

Chris14 07.09.2005 22:23
ok da scheint kaum was ernsthaft infiziert zu sein..
lösche die datei setup_wm.exe im ordner C:\DOKUME~1\Garcia\LOKALE~1\Temp\ im abgesicherten modus
Start -> Einstellungen -> Systemsteuerung -> Internetoptionen -> Dateien löschen -> OK
ansonsten sehe ich nichts auffälliges..
außer diese rundll32.exe .. standardmäßig sollte die nicht permanent offen sein..
also überprüfen wir das ganze mal...
Öffne HijackThis
Klick auf Misc Tools section
Open process manager
klicke auf rundll32
dann klicke auf das icon neben den disketten
poste es, indem du im beitrag (in dem textfeld eben wie man alles so postest) STRG und V drückst und das ganze dann postest. ich glaube dass mit rundll32 etwas geladen wird. diese variante ist mir schon seit monaten bekannt da ich mal mit einer ganz aggressiven variante zutun hatte, die sich sogar über rundll32 im abgesicherten modus geladen hatte. eventuell ist das hier der gleiche fall.

MarcDaddy 11.09.2005 10:28
Zitat:
Zitat von Chris14
ok da scheint kaum was ernsthaft infiziert zu sein..
lösche die datei setup_wm.exe im ordner C:\DOKUME~1\Garcia\LOKALE~1\Temp\ im abgesicherten modus
Start -> Einstellungen -> Systemsteuerung -> Internetoptionen -> Dateien löschen -> OK
ansonsten sehe ich nichts auffälliges..
außer diese rundll32.exe .. standardmäßig sollte die nicht permanent offen sein..
also überprüfen wir das ganze mal...
Öffne HijackThis
Klick auf Misc Tools section
Open process manager
klicke auf rundll32
dann klicke auf das icon neben den disketten
poste es, indem du im beitrag (in dem textfeld eben wie man alles so postest) STRG und V drückst und das ganze dann postest. ich glaube dass mit rundll32 etwas geladen wird. diese variante ist mir schon seit monaten bekannt da ich mal mit einer ganz aggressiven variante zutun hatte, die sich sogar über rundll32 im abgesicherten modus geladen hatte. eventuell ist das hier der gleiche fall.
Also erstmal danke für die schnelle Hilfe.
Die kleinen Plagegeister habe ich wohl von meinem Rechner verbannt, aber nachdem ich nach Anleitung ein paar Ports schließen wollte kam nach folgendem Neustart das Popup:
RPC dienst wurden unerwartet beendet .... Computer startet in 60 sek. neu.... den Rest kennt ihr wohl schon.

Wie behebt man geschildertes höchstwahrscheinlich Blaster Problem. Hab auf eigene Faust kein Tool gefunden, welches den Blaster aufspürt und entfernt.
Hab auch keine bekannten blaster Dateien wie msblast/Nstask32/ect.exe auf dem Rechner gefunden.

Ist Microsoft tool im Stande dazu:
Windows-KB890830-V1.7A-DEUexe

Ich werde es erst später ausprobieren können da der betroffene Laptop zur Zeit nicht zur Hand ist.

Thx Marc

MarcDaddy 12.09.2005 18:42
Immernoch das gleiche problem und ich brauche eure Hilfe jetzt um so dringender.
Thx

Zitat:
Zitat von MarcDaddy
Also erstmal danke für die schnelle Hilfe.
Die kleinen Plagegeister habe ich wohl von meinem Rechner verbannt, aber nachdem ich nach Anleitung ein paar Ports schließen wollte kam nach folgendem Neustart das Popup:
RPC dienst wurden unerwartet beendet .... Computer startet in 60 sek. neu.... den Rest kennt ihr wohl schon.

Wie behebt man geschildertes höchstwahrscheinlich Blaster Problem. Hab auf eigene Faust kein Tool gefunden, welches den Blaster aufspürt und entfernt.
Hab auch keine bekannten blaster Dateien wie msblast/Nstask32/ect.exe auf dem Rechner gefunden.

Ist Microsoft tool im Stande dazu:
Windows-KB890830-V1.7A-DEUexe

Ich werde es erst später ausprobieren können da der betroffene Laptop zur Zeit nicht zur Hand ist.

Thx Marc


Alle Zeitangaben in WEZ +1. Es ist jetzt 12:16 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131