Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   meine ekligen pc schädlinge (https://www.trojaner-board.de/24321-ekligen-pc-schaedlinge.html)

_foob_ 09.12.2005 18:14

also Backdoor.NetDevil:

Registry
-HKCR/.dll
-HKCR/.dll##

Logfile of HijackThis v1.99.1
Scan saved at 18:12:19, on 09.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\TOSHIBA\Power Management\CeEPwrSvc.exe
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\WINDOWS\system32\DVDRAMSV.exe
C:\Programme\ewido\security suite\ewidoctrl.exe
C:\Programme\ewido\security suite\ewidoguard.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
c:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe
C:\Programme\Spyware Doctor\sdhelp.exe
c:\Programme\Sophos\AutoUpdate\ALsvc.exe
C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\TOSHIBA\Power Management\CePMTray.exe
C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Mark.MOBI.000\Desktop\Downloads\Prog!\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O4 - HKLM\..\Run: [CeEPOWER] C:\Programme\TOSHIBA\Power Management\CePMTray.exe
O4 - HKLM\..\Run: [CeEKEY] C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {36D5E913-C8E0-4155-99E2-92155E802C46} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {36D5E913-C8E0-4155-99E2-92155E802C46} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra button: eBay - {C61A2E0E-6D7E-4555-ACA0-50DB2CD83D4B} - C:\Programme\Internet Explorer\Signup\ToshibaGotoEbay.exe (HKCU)
O17 - HKLM\System\CCS\Services\Tcpip\..\{CC6EA47B-B558-4642-9A52-33CFEF8B65EE}: NameServer = 192.168.0.1,192.168.0.8
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: CeEPwrSvc - COMPAL ELECTRONIC INC. - C:\Programme\TOSHIBA\Power Management\CeEPwrSvc.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\system32\DVDRAMSV.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido\security suite\ewidoguard.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - T-Online International AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: Sophos Anti-Virus Statusreporter (SAVAdminService) - Sophos plc - c:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe
O23 - Service: Sophos Anti-Virus (SAVService) - Sophos plc - c:\Programme\Sophos\Sophos Anti-Virus\SavService.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools - C:\Programme\Spyware Doctor\sdhelp.exe
O23 - Service: Sophos AutoUpdate Service - Sophos plc - c:\Programme\Sophos\AutoUpdate\ALsvc.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe


und was SpySweeper angeht:
er hat eben nach einem Durchgang auf einem anderen Benutzerkonto (Vater)
look2me nicht mehr gefunden...
und was die Pfade angeht... wo seh ich die?

Wildone 09.12.2005 18:25

Hallo,
schau mal ob es bei Spysweeper auch eine Reportdatei gibt, wenn ja posten.
Ansonsten sieht das jetzt schon ganz gut aus, ich schlage vor zum Abschluß noch mal mit Escan im abgesicherten Modus das System zu scannen (vorher die MWAV.LOG löschen!) und dann nur die Einträge die "infected" enthalten posten.
den Spywaredoctor Alarm ignoriere ich mal, ich glaube nicht das das Programm Backdoors besser aufspüren kann als Kaspersky.


Grüße Wildone

_foob_ 09.12.2005 18:31

thx...
was ist kaspersky?

ausserdem meinte doch jemand das meine maus-probleme mit einem backdoor zusammenhängen könnten..
weiterhin habe ich das gefühl das der pc langsamer läuft...
bin mir aber nicht sicher...

Wildone 09.12.2005 18:37

Hallo,
Kaspersky ist der Hersteller der Suchmaschine die Escan verwendet. Ob dein Mausproblem mit Malware zusammenhängt kann ich nicht 100%ig ausschließen, halte es aber für eher unwahrscheinlich.
Wenn du 100%ige Sicherheit willst musst du das System neu aufsetzen und es anschließend gut absichern, wie hier beschrieben.


Grüße Wildone

_foob_ 09.12.2005 18:46

SpySweeper:

Trojan Horse: acid reign
-HKLM/software/classes/.dli/ (1 subtraces)
Trojan Horse: dp trojan
-HKU/S-1-5-21-3084800247-3152407940-1756145614-1013/software/freeverse/viagra/
Adware: regfreeze desktop hijack
-HKU/S-1-5-21-3084800247-3152407940-1756145614-1013/software/microsoft/internet explorer/main/ ||startpage
-HKU/WRSS_Profile_S-1-5-21-3084800247-3152407940-1756145614-1006/software/microsoft/internet explorer/main/ ||startpage
Trojan Horse: schaden
-HKLM/software/classes/.dli/ (1 subtraces)
Adware: command
-HKLM/system/currentsontrolset/enum/root/legacy_cmdservice/ (8 subtraces)
-HKLM/system/currentsontrolset/enum/root/legacy_cmdservice/0000/ (6 subtraces)
Adware: dollarrevenue
-c:/windows/drsmartload.dat
-HKLM/software/microsoft/drsmartload/ (1 subtraces)
Spy Cookie: 2o7.net cookie
-c:/dokumente und einstellungen/toshiba/cookies/toshiba@2o7[1].txt
Spy Cookie: atwola cookie
-c:/dokumente und einstellungen/toshiba/cookies/toshiba@atwola[1].txt

Wildone 09.12.2005 19:07

Hallo,
gehe auf Start>>Ausführen dort gibst du Regedit ein. Dann suchst du die folgenden Pfade und löschst sie:
HKLM/software/classes/.dli (HKLM=HKEY_Local_Machine)
HKU/S-1-5-21-3084800247-3152407940-1756145614-1013/software/freeverse/viagra/ (HKU=HKEY_USERS)
HKLM/system/currentsontrolset/enum/root/legacy_cmdservice/
HKLM/system/currentsontrolset/enum/root/legacy_cmdservice/0000
HKLM/software/microsoft/drsmartload

dann löschst du noch die Datei
c:/windows/drsmartload.dat

und dann noch Escan wie oben beschrieben.


Grüße Wildone

_foob_ 09.12.2005 19:12

okay...
ich hätte da nurnoch ein paar probleme...
manchmal wenn ich auf mein benutzerkonto klicke...
will er laden... (das dauert ewig) und dann erscheint nur maus und hintergrundbild
und bis auf den taskmanager ausführen kann ich nichts weiter machen...
weiterhin ändert sich meine taskleiste ständig nach einem neustart...
das ist sehr nervig...
drittens weiss ich leider nicht wie ich im abgesicherten modus hochfahren kann
-.-

Wildone 09.12.2005 19:20

Hallo,
in den abgesicherten Modus kommst du über F8 beim booten.
Bei dem Rest weiß ich jetzt nicht aus dem Stehgreif woran das liegen könnte.
Was ändert sich denn an der Taskleiste?


Grüße Wildone

_foob_ 09.12.2005 19:23

also meine schnellstartleiste verschwindet immer wieder...
das nervt mich ziemlich...
weiterhin hatte ich noch eine adressleiste für einen ordner...
die hab ich wieder vom desktop entfernt...
aber nach dem neustart was sie wieder da...

Wildone 09.12.2005 19:30

Hallo,
seltsam, wäre ev. doch nicht verkehrt die Kiste mal komplett neu aufzusetzen. Du bist aber schon bei den ganzen Aktionen als Administrator angemeldet, oder?


Grüße Wildone

Melonenkopf 09.12.2005 23:15

Setze dein System neu auf.

Troj/NetDevil ist ein Backdoor-Trojaner. Wenn der Trojaner-Server auf einem Computer läuft, ist der Computer frei für unbefugten Zugriff von Netzwerkstandorten aus.
Um Zugriff auf den infizierten Computer zu erlangen, muss der Angreifer das Client-Programm des Trojaners starten.

So kann zum Beispiel deine erscheinungen mit der Maus entstehen...

_foob_ 09.12.2005 23:39

jaa dacht ich mir...

nur mein vater will das system nicht neu aufsetzen...
ich würde es ja machen...

(klar bin ich als admin dabei)

_foob_ 12.12.2005 19:34

okay...
danke für eure hilfe

mein vater hat das system neu aufgesetzt...
nur das problem mit der maus besteht teilweise immer noch...

Wildone 12.12.2005 20:26

Hallo,
dann leigt es an der Maus (oder ev am Maustreiber) und nicht am System.


Grüße Wildone


Alle Zeitangaben in WEZ +1. Es ist jetzt 08:37 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131