Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Trojaner eingefangen (evtl. zlob / ruin) (https://www.trojaner-board.de/31327-trojaner-eingefangen-evtl-zlob-ruin.html)

Lindmen 12.08.2006 14:01
Trojaner eingefangen (evtl. zlob / ruin)
 
Hi, ich habe mir heute so wie es aussieht mindestens zwei Trojaner eingefangen. Auf jeden Fall hatte sich meine Startseite plötzlich geändert und beim Anklicken von Links bei google tauchten ganz andere Seiten auf. Adaware und spybot haben erst einmal nichts gebracht. Ich habe jetzt, wie hier im Forum empfohlen, smitfraudfix drüberlaufefn lassen, bin mir aber nicht sicher, ob das was gebracht hat.

Nachfolgend mein aktuelles Logfile. Ist das in Ordnung?

Vielen Dank!


Logfile of HijackThis v1.99.1
Scan saved at 14:25:43, on 12.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Hp\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Programme\Analog Devices\SoundMAX\DrvLsnr.exe
C:\Programme\FRITZ!DSL\Awatch.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\OpenOffice.org 2.0\program\soffice.exe
C:\Programme\OpenOffice.org 2.0\program\soffice.BIN
C:\Programme\FRITZ!DSL\FritzDSL.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\WINDOWS\explorer.exe
C:\temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hp\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [DrvLsnr] "C:\Programme\Analog Devices\SoundMAX\DrvLsnr.exe"
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [SpybotSD TeaTimer] "C:\Programme\Spybot - Search & Destroy\TeaTimer.exe"
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Programme\OpenOffice.org 2.0\program\quickstart.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\programme\google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_10\bin\npjpi142_10.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_10\bin\npjpi142_10.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/kavwebscan_unicode.cab
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAVA/Secure/HPGetDownloadManager.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{02415458-02A8-478A-9110-745538140426}: NameServer = 85.255.114.35,85.255.112.13
O17 - HKLM\System\CCS\Services\Tcpip\..\{4AB28F16-7873-4AA8-AC20-80BFF1FA516D}: NameServer = 85.255.114.35,85.255.112.13
O17 - HKLM\System\CCS\Services\Tcpip\..\{9860AFF9-4844-47C7-98F6-EEAB7135EF7F}: NameServer = 85.255.114.35,85.255.112.13
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.35 85.255.112.13
O17 - HKLM\System\CS1\Services\Tcpip\..\{02415458-02A8-478A-9110-745538140426}: NameServer = 85.255.114.35,85.255.112.13
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.35 85.255.112.13
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2007\Win32\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2007\RpcSandraSrv.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

Rene-gad 12.08.2006 16:24
@Lindmen
Fixe bitte alle O17-Einträge ;).

Lindmen 12.08.2006 17:21
Hallo Rene-gad, vielen Dank für den Hinweis, ich habe die entsprechenden Einträge gefixt. Beim Scan mit F-Secure werden aber immer noch drei files gefunden. Die habe ich auch schon umbenannt und dann den PC neu gestartet, allerdings kann ich die Dateien über "Suche" nicht finden.

Wenn ich dann nochmals mit F-Secure scanne, tauchen wieder drei neue files auf, die nur einen leicht veränderten Dateinamen tragen, ansonsten identisch sind.

Anbei mal das Ergebnis des ersten scans und dann das des zweiten:


1. Scan:

08/12/06 17:41:08 [Info]: BlackLight Engine 1.0.42 initialized
08/12/06 17:41:08 [Info]: OS: 5.1 build 2600 (Service Pack 2)
08/12/06 17:41:08 [Note]: 7019 4
08/12/06 17:41:08 [Note]: 7005 0
08/12/06 17:41:11 [Note]: 7006 0
08/12/06 17:41:11 [Note]: 7011 1208
08/12/06 17:41:12 [Note]: 7026 0
08/12/06 17:41:12 [Note]: 7026 0
08/12/06 17:41:22 [Note]: FSRAW library version 1.7.1019
08/12/06 17:42:28 [Info]: Hidden file: c:\WINDOWS\system32\csflt.exe
08/12/06 17:42:28 [Note]: 7002 32
08/12/06 17:42:28 [Note]: 7003 1
08/12/06 17:42:28 [Note]: 10002 1
08/12/06 17:42:30 [Info]: Hidden file: c:\WINDOWS\system32\dmrbt.exe
08/12/06 17:42:30 [Note]: 7002 32
08/12/06 17:42:30 [Note]: 7003 1
08/12/06 17:42:30 [Note]: 10002 1
08/12/06 17:42:34 [Info]: Hidden file: c:\WINDOWS\system32\{2054B007-8800-4EE5-8485-683AF9579A58}.exe
08/12/06 17:42:34 [Note]: 10002 1
08/12/06 17:43:19 [Note]: 7007 0


2. Scan:

08/12/06 18:10:07 [Info]: BlackLight Engine 1.0.42 initialized
08/12/06 18:10:07 [Info]: OS: 5.1 build 2600 (Service Pack 2)
08/12/06 18:10:07 [Note]: 7019 4
08/12/06 18:10:07 [Note]: 7005 0
08/12/06 18:10:10 [Note]: 7006 0
08/12/06 18:10:10 [Note]: 7011 1192
08/12/06 18:10:10 [Note]: 7026 0
08/12/06 18:10:10 [Note]: 7026 0
08/12/06 18:10:21 [Note]: FSRAW library version 1.7.1019
08/12/06 18:11:17 [Info]: Hidden file: c:\WINDOWS\system32\dmehu.exe
08/12/06 18:11:17 [Note]: 7002 32
08/12/06 18:11:17 [Note]: 7003 1
08/12/06 18:11:17 [Note]: 10002 1
08/12/06 18:11:19 [Info]: Hidden file: c:\WINDOWS\system32\csvtg.exe
08/12/06 18:11:19 [Note]: 7002 32
08/12/06 18:11:19 [Note]: 7003 1
08/12/06 18:11:19 [Note]: 10002 1
08/12/06 18:11:23 [Info]: Hidden file: c:\WINDOWS\system32\{2054B007-8800-4EE5-8485-683AF9579A58}.exe
08/12/06 18:11:23 [Note]: 10002 1
08/12/06 18:12:17 [Note]: 7007 0



Was kann ich noch tun?

Gruß, Lindmen

Sunny 12.08.2006 17:27
Zitat:
Zitat von Lindmen
Was kann ich noch tun?
Hallo,

leider kannst du in deinem Falle nichts anderes tun als dein Sytem neu aufzusetzen! Du hast ein aktives Rootkit im System, was sich alleine schon dadurch bemerkbar macht...

Zitat:
O17 - HKLM\System\CCS\Services\Tcpip\..\{02415458-02A8-478A-9110-745538140426}: NameServer = 85.255.114.35,85.255.112.13
...dieser Eintrag aus HijackThis lässt jegliche Anfragen ins Internet über einen ukrainischen Server laufen.
Die sicherste und wahrscheinlich sinnvollste Bereinigung wäre meiner Ansicht nach eine Neuinstallation. Lies dir mal den Link dazu in meiner Signatur durch, der wird dir bei deiner Entscheidung helfen! ;)

Sorry,
Sunny

Lindmen 12.08.2006 17:43
Hi Sunny, danke für den Hinweis, das wäre natürlich der GAU für mich und meinen PC. Gibt es nicht vielleicht doch noch eine Möglichkeit, da anders rauszukommen? Gruß, Lindmen

Sunny 12.08.2006 17:49
Zitat:
Zitat von Lindmen
Hi Sunny, danke für den Hinweis, das wäre natürlich der GAU für mich und meinen PC. Gibt es nicht vielleicht doch noch eine Möglichkeit, da anders rauszukommen? Gruß, Lindmen
Es wäre nicht nur der GAU, ES IST DER GAU!!! :snyper:

Eine andere Möglichkeit bzw. eine andere Meinung dazu wirst du hier auch nicht finden! Sorry... :party:

Lindmen 12.08.2006 17:59
Dann werde ich wohl in den sauren Apfel beißen müssen! Deinen Link habe ich mir ausgedruckt. Besten Dank!

Sunny 12.08.2006 18:01
Zitat:
Zitat von Lindmen
Dann werde ich wohl in den sauren Apfel beißen müssen! Deinen Link habe ich mir ausgedruckt. Besten Dank!
Super, auch mal ein Hilfesuchender mit Einsicht!!! :party:

Lies dir vorallem mal den Teil zum Thema Absicherung durch, dieser ist sehr hilfreich und informativ...

Gruß
Sunny


Alle Zeitangaben in WEZ +1. Es ist jetzt 16:38 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131