Trojaner-Board
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Selinahs Logfile of HijackThis (https://www.trojaner-board.de/2570-selinahs-logfile-of-hijackthis.html)

Selinah 08.01.2004 12:24
Grüß Euch,

nachdem ich den Artikel von Trojaner-Info gelesen hatte, lud ich mir HijackThis runter und bin natürlich jetzt - wie viele andere auch - besorgt.

(Ich habe Ad-aware und Spybot laufen lassen.)
Das Logfile von HijackThis liest sich für mich wie chinesisch.
Es wäre sehr nett und beruhigend, wenn Ihr mir sagen könntet, ob sich irgendwas auffälliges darin befindet.
_____________________________________

Logfile of HijackThis v1.97.7
Scan saved at 00:48:51, on 08.01.04
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\PROGRAMME\NORTON INTERNET SECURITY FAMILY EDITION\NISSERV.EXE
C:\PROGRAMME\NORTON INTERNET SECURITY FAMILY EDITION\IAMAPP.EXE
C:\PROGRAMME\NORTON INTERNET SECURITY FAMILY EDITION\NISUM.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\ATICWD32.EXE
C:\WINDOWS\SYSTEM\ATITASK.EXE
C:\PROGRAMME\TROJANHUNTER 3.7\THGUARD.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\MY DOWNLOAD FILES\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.searchgateway.net/search/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.searchgateway.net/search/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.searchgateway.net/search/%s
O2 - BHO: (no name) - {1678F7E1-C422-11D0-AD7D-00400515CAAA} - (no file)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [SystemTray] SysTray.ExE
O4 - HKLM\..\Run: [AtiQiPcl] AtiQiPcl.exe
O4 - HKLM\..\Run: [AtiCwd32] Aticwd32.exe
O4 - HKLM\..\Run: [AtiKey] Atitask.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [Norton Auto-Protect] C:\PROGRA~1\NORTON~1\NAVAPW32.EXE /LOADQUIET
O4 - HKLM\..\Run: [THGuard] "C:\PROGRAMME\TROJANHUNTER 3.7\THGUARD.EXE"
O4 - HKLM\..\Run: [sysbot] c:\windows\system\sysbot.exe
O4 - Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: PowerReg Scheduler.exe
O8 - Extra context menu item: Bild zum Bildarchiv senden - file://C:\Programme\MGI\MGI PhotoSuite III\Temp\MGI00000.html
O12 - Plugin for .mid: C:\PROGRAMME\NETSCAPE\COMMUNICATOR\PROGRAM\PLUGINS\npaudio.dll
O12 - Plugin for .wav: C:\PROGRAMME\NETSCAPE\COMMUNICATOR\PROGRAM\PLUGINS\npaudio.dll
O12 - Plugin for .au: C:\PROGRAMME\NETSCAPE\COMMUNICATOR\PROGRAM\PLUGINS\npaudio.dll
O12 - Plugin for .PDF: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll
O12 - Plugin for .ppt: C:\PROGRAMME\NETSCAPE\COMMUNICATOR\PROGRAM\PLUGINS\NPDOC.DLL
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://active.macromedia.com/flash2/cabs/swflash.cab
O16 - DPF: Win32 Classes - file://C:\WINDOWS\Java\classes\win32ie4.cab
O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/game...s/y/potc_x.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = martin
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 1xx.1xx.0.xxx

******************************************

Die letzten beiden Einträge verstehe ich auch nicht, hier gibt es keinen "Martin".

Es grüßt

Selinah

raman 08.01.2004 12:38
"Fix"e bitte alles unter "R1" und dieses:
O4 - HKLM\..\Run: [sysbot] c:\windows\system\sysbot.exe

Es waere nett, wenn du diese Datei( c:\windows\system\sysbot.exe ) an virus@rokop-security.de schicken koenntest. Dann Nach einem Neustart die Datei bitte loeschen.

Rene-gad 08.01.2004 12:45
hi Selinah,
Willkommen an Board,
ich persönlich sehe keinen Grund zur Sorge.
Schönen Tag noch ;) .

Selinah 08.01.2004 13:40
Hallo raman,

danke für die Antwort.
Die E-Mail mit sysbot.exe ist raus.

</font><blockquote>Zitat:</font><hr />"Fix"e bitte alles unter "R1" und dieses:
</font>[/QUOTE]Meinst du damit, dass ich dort ein Häkchen machen, dann auf den Button "fixed checked" klicken soll?
Und "Fixen" ab hier
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
bis
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 1xx.1xx.0.xxx
hier?
Ist das korrekt?

Selinah 08.01.2004 13:41
Hallo Rene-gad,

danke für den Willkommens-Gruß.
Ich mache mir aber jetzt doch Sorgen ... :(

mmk 08.01.2004 13:50
Hallo Selinah,

wenn möglich, mir bitte diese Datei auch mal zusenden (ggf. die bereits verschickte Mail einfach inkl. Dateianhang forwarden). Danke.

Selinah 08.01.2004 14:01
Hallo Markus,

die Datei scheint ja begehrt zu sein. :confused:

E-Mail mit Anhang habe ich gerade an dich abgeschickt.

raman 08.01.2004 15:13
</font><blockquote>Zitat:</font><hr />Original erstellt von Selinah:

Die E-Mail mit sysbot.exe ist raus.
[qoute]"Fix"e bitte alles unter "R1" und dieses:
</font>[/QUOTE]Meinst du damit, dass ich dort ein Häkchen machen, dann auf den Button "fixed checked" klicken soll?[/QUOTE]

Entschuldige, ich habe mich missverstaendlich ausgedrueckt, ich meinte alle Eintraege mit "R1".

BTW: Die Datei wird von KAV als Trojandownloader.Win32.Adroar gemeldet.

mmk 08.01.2004 15:23
</font><blockquote>Zitat:</font><hr />Original erstellt von raman:
BTW: Die Datei wird von KAV als Trojandownloader.Win32.Adroar gemeldet.</font>[/QUOTE]Mit aktuellen Signaturen... bei mir (noch) nicht. Welchen Updateserver verwendest du?

Selinah 08.01.2004 15:32
Die 3 R1-Zeilen habe ich "gefixt" und neu gescannt:

Mit sysbot.exe habe ich noch nichts gemacht, auf einmal taucht sie nicht mehr im Logfile auf:

Logfile of HijackThis v1.97.7
Scan saved at 15:32:24, on 08.01.04
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\PROGRAMME\NORTON INTERNET SECURITY FAMILY EDITION\NISSERV.EXE
C:\PROGRAMME\NORTON INTERNET SECURITY FAMILY EDITION\IAMAPP.EXE
C:\PROGRAMME\NORTON INTERNET SECURITY FAMILY EDITION\NISUM.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\ATICWD32.EXE
C:\WINDOWS\SYSTEM\ATITASK.EXE
C:\PROGRAMME\TROJANHUNTER 3.7\THGUARD.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\MY DOWNLOAD FILES\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir..._PVER}&ar=home
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://home.microsoft.com/search/search.asp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir...r=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
O2 - BHO: (no name) - {1678F7E1-C422-11D0-AD7D-00400515CAAA} - (no file)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [SystemTray] SysTray.ExE
O4 - HKLM\..\Run: [AtiQiPcl] AtiQiPcl.exe
O4 - HKLM\..\Run: [AtiCwd32] Aticwd32.exe
O4 - HKLM\..\Run: [AtiKey] Atitask.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [Norton Auto-Protect] C:\PROGRA~1\NORTON~1\NAVAPW32.EXE /LOADQUIET
O4 - HKLM\..\Run: [THGuard] "C:\PROGRAMME\TROJANHUNTER 3.7\THGUARD.EXE"
O4 - Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: PowerReg Scheduler.exe
O8 - Extra context menu item: Bild zum Bildarchiv senden - file://C:\Programme\MGI\MGI PhotoSuite III\Temp\MGI00000.html
O12 - Plugin for .mid: C:\PROGRAMME\NETSCAPE\COMMUNICATOR\PROGRAM\PLUGINS\npaudio.dll
O12 - Plugin for .wav: C:\PROGRAMME\NETSCAPE\COMMUNICATOR\PROGRAM\PLUGINS\npaudio.dll
O12 - Plugin for .au: C:\PROGRAMME\NETSCAPE\COMMUNICATOR\PROGRAM\PLUGINS\npaudio.dll
O12 - Plugin for .PDF: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll
O12 - Plugin for .ppt: C:\PROGRAMME\NETSCAPE\COMMUNICATOR\PROGRAM\PLUGINS\NPDOC.DLL
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://active.macromedia.com/flash2/cabs/swflash.cab
O16 - DPF: Win32 Classes - file://C:\WINDOWS\Java\classes\win32ie4.cab
O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/game...s/y/potc_x.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = martin
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 1xx.1xx.0.2xx

__________________

Soll ich jetzt die Datei sysbot.exe löschen?
Ich frage lieber ganz dumm nach, ehe ich etwas falsch mache. Und wenn ich die lösche - reicht es, wenn ich die aus c:\windows\system/ lösche?
Oder krallt die sich irgendwo fest?

raman 08.01.2004 16:46
Ja, du kannst sie loeschen und nehme "ordnungshalber" das auch noch heraus:

O2 - BHO: (no name) - {1678F7E1-C422-11D0-AD7D-00400515CAAA} - (no file)

raman 08.01.2004 16:48
</font><blockquote>Zitat:</font><hr />Original erstellt von mmk:
Mit aktuellen Signaturen... bei mir (noch) nicht. Welchen Updateserver verwendest du? </font>[/QUOTE]Oh, habe ich gar nicht so schnell gesehen. Ich nehme neuerdings immer die _ext Datenbank.

Selinah 08.01.2004 17:28
Ja dank Euch beiden erstmal für die Infos und Hilfe.

Ich habe nun sysbot.exe gelöscht.

Müssen nun noch alle Einträge auch aus HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\CLSID\{0B344580-56DA-11d2-B28F-444553540000}
\Interface\
\Network\
\Control\
KOMPLETT gelöscht werden? Also auch die Zahlenfolge in {Klammern}?

Im Internet finde ich nichts über Trojandownloader.Win32.Adroar.

Weiß man etwas darüber:
Welchen Schaden es anrichten kann?
Woran hätte ich das merken müssen?
Woher kam das Ding?

mmk 08.01.2004 18:02
@Selinah:
Bist du sicher, dass du mir die gleiche Datei zuschicktest wie an raman?

@raman:
Sicher, dass du genau diese Datei geprüft hast?

Ich frage deswegen nach, weil ich die hier vorliegende Datei weiterhin nicht als die genannte Malware identifizieren kann!

raman 08.01.2004 18:28
Heute laeuft alles daneben. :( Nein, Kaspersky erkennt sie nicht, das problem lag daran, das ich zwei Dateien bekommen hatte und die erste noch im Testverzeichniss lag. Eingeschickt ist sie aber.

Es sollte diese Datei sein:

sysbot.exe Spector - spying (or monitoring) software to record internet activity

laut Sysinfo.org


Alle Zeitangaben in WEZ +1. Es ist jetzt 07:49 Uhr.
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131