Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Wurmbefall-hilfe (https://www.trojaner-board.de/22748-wurmbefall-hilfe.html)

tine 14.10.2005 12:57
Wurmbefall-hilfe
 
hallo, ich bin über w-lan meiner uni im intenet und habe jetzt eine email von der verwaltung bekommen, das ich wohl einen wurmbefall habe, und von meinem account irgendwelche "angriffe" ausgingen- ich soll das schleunigst beseitigen- jetzt ist die frage, wie :( kann mir vielleicht irgenjemand helfen? bin mal wieder völlig verzweifelt...danke schonmal!!! viele grüsse, tine

meine logfile:
Logfile of HijackThis v1.99.1
Scan saved at 13:53:43, on 14.10.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Acer\eManager\anbmServ.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Arcade\PCMService.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Programme\Launch Manager\QtZgAcer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\Programme\Mozilla Firefox\plugins\GetFlash.exe
C:\Programme\Cisco Systems\VPN Client\vpngui.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\Programme\Adobe\Acrobat 6.0\Reader\AcroRd32.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Sophos\Remote Update\cachemgr.exe
C:\Programme\Sophos\Remote Update\imonitor.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avginet.exe
C:\DOKUME~1\Tine\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis_199-2.zip\HijackThis.exe
C:\Programme\Mozilla Firefox\firefox.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.aol.de/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: Accoona - {364B6276-C6C1-40B6-A6D7-6C48871FD707} - C:\PROGRA~1\Accoona\atoolbar.dll (file missing)
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Arcade\PCMService.exe"
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [LManager] C:\Programme\Launch Manager\QtZgAcer.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programme\Cisco Systems\VPN Client\vpngui.exe
O4 - Global Startup: Remote Update Monitor.lnk = C:\Programme\Sophos\Remote Update\imonitor.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {4D7F48C0-CB49-4EA6-97D4-04F4EACC2F3B} - h**p://sib1.od2.com/common/Member/ClientInstall/10.20.0002/OCI/setup.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{4C766DF2-2587-4A1D-8E4B-9735A205E921}: Domain = gwdg.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{4C766DF2-2587-4A1D-8E4B-9735A205E921}: NameServer = 134.76.10.46,134.76.33.21
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = gwdg.de
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = gwdg.de
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Sophos Cache Manager (CacheMgr) - SOPHOS Plc - C:\Programme\Sophos\Remote Update\cachemgr.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

[edit]
links entfernt
[/edit]

Rene-gad 14.10.2005 14:57
@tine
Zitat:
hallo, ich bin über w-lan meiner uni im intenet und habe jetzt eine email von der verwaltung bekommen, das ich wohl einen wurmbefall habe
1. Dein Log sieht sauber aus
2. Problem kann von Denen verursacht werden, die deine E-Mail-Adresse im ihrem Windows-Adressbuch haben und ein Paar Würmchen dazu, die unter deinem Namen sich selbst weiterleiten.
Gehe auf deine Verwaltung zu und lasse sie dir die Kopfzeilen der fragwürdigen E-Mails anschauen.

tine 14.10.2005 15:12
hallo, danke für deine hilfe- wenn in dem log nichts zu finden ist, wo könnte sich denn sonst was verstecken? ich habe leide gar keine ahnung, hatte im kopf, das man unter start-ausführen-regedit mal nachschauen soll, und bei diesen H-Key classes root stehen so viele programme, die sich tw total seltsam anhören- alerdings will ich die auch nicht so einfach löschen, habe ja gar keine ahnung was das ist...ich habe jetzt sämtliche antiviren und antispyware proramme durchlaufen lassen und ad-aware hat auch etwas gelöscht...hoffe, das war vielleicht der auslöser.
wer kann den meinen namen in seinem windows-adressbuch haben, und was kann derjenige damit anstellen? ich verstehe immer gar nicht, wieso ich mir so ein zeug einfange, dafür muss es doch irgendeinen grund geben?!
danke nochmal+viele grüße, tine

tine 14.10.2005 15:14
achso, habe vergessen zu schreiben, das ich die letzten tage emails vom anderen nutzern dieses uni-internets bekommen habe, die eigentlich an die verwaltung gerichtet waren, was mich schon total gewundert hat- vielleicht lässt das ja auf irgendetwas schliessen?! viele grüße, tine

felix1 14.10.2005 15:18
Dann mache einen escann genau nach Cidres Anleitung und poste das mit der find.bat erzeugte Log:
http://www.trojaner-board.de/showthread.php?t=17492

tine 14.10.2005 16:21
also ich hab jetzt alles versucht, um diesen e-scan durchzuführen, ich bin nur anscheinend leider wirklich unfähig :heulen:
wenn ich im abgesicherten modus bin, wie komme ich denn dann bloss zu diesem Ordner C:/Bases-X, den Cidre da nennnt? und wie ich dann zu diesem find.bat log komme, verstehe ich auch nich...kann mir da vielleicht jemand weiterhelfen?
als ic im abgesicherten modus war, gab es ausser meinem anmeldenamen noch einen anderen, "administrator"-ist das normal? habe echt so langsam angst das mein pc komplett verwurmt ist oder so:(
bin über jede hilfe sehr dankbar :)
viele grüße, tine

felix1 14.10.2005 17:58
Zitat:
Zitat von tine
als ic im abgesicherten modus war, gab es ausser meinem anmeldenamen noch einen anderen, "administrator"-ist das normal? habe echt so langsam angst das mein pc komplett verwurmt ist oder so:(
bin über jede hilfe sehr dankbar :)
viele grüße, tine
Das ist normal mit dem Administrator. Der hatte natürlich kein Passwort :teufel1:
Hast Du nun den escan laufen lassen oder nicht?


Alle Zeitangaben in WEZ +1. Es ist jetzt 15:54 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27