|
Bitte um Hilfe bei einem Trojaner. Da ich leider nicht an dem Pc sitze der das Problem hat habe ich leider vergessen mir denn Namen von dem Trojaner aufzuschreiben.(folgt aber morgen) Er wurde mit dem Prog. Spybot S&D entdeckt. Da ich hier im Forum von diesem Programm HiJack gelesen habe, installierte ich es gleich und habe es auslesen lassen das System. Wenn euch der Logfile weiter hilft kopiere ich ihn. Das Problem ist das es der Arbeits Pc von meiner Schwiegermutter ist und ich gerade nicht viel dazu sagen kann. Sie meinte nur das er nicht mehr richtig hochfährt und wenn ja dann dauert es ewigkeiten. Schon mal Merci und für all eure Hilfe! Bei weiteren fragen einfach melden. C:\windows\System32\SCardSvr.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\CodeMeter\Runtime\bin\CodeMeter.exe C:\DATEV\PROGRAMM\B0001442\PSNTSERV.EXE C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\OPHALDCS.EXE C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe C:\Programme\Microsoft SQL Server\90\Shared\sqlbrowser.exe C:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe C:\windows\system32\svchost.exe C:\WINDOWS\SCARDS32.EXE C:\windows\System32\alg.exe C:\windows\system32\wscntfy.exe C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe C:\Programme\BOS\DENT6\BOSInformMg.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\Lexmark X1100 Series\lxbkbmon.exe C:\windows\SOUNDMAN.EXE C:\windows\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\CodeMeter\Runtime\bin\CodeMeterCC.exe C:\Programme\FRITZ!\FriFax32.exe C:\windows\system32\wuauclt.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Trend Micro\HijackThis\HijackThis.exe C:\WINDOWS\system32\wbem\wmiprvse.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll F2 - REG:system.ini: UserInit=userinit.exe,C:\windows\system32\ntos.exe, O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe" O4 - HKLM\..\Run: [BOSInformMg] C:\Programme\BOS\DENT6\BOSInformMg.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\windows\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: CodeMeter Control Center.lnk = C:\Programme\CodeMeter\Runtime\bin\CodeMeterCC.exe O4 - Global Startup: FRITZ!fax.lnk = C:\Programme\FRITZ!\FriFax32.exe O4 - Global Startup: SkyUserDevmode-Update.lnk = C:\DATEV\PROGRAMM\B0001401\UpdateDevmode.exe O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1173876005452 O20 - Winlogon Notify: cryptonet - cryptonet.dll (file missing) O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: BOSInformationManager - BOS® Business Organization Software GmbH - C:\Programme\BOS\DENT6\BOSInformMgS.exe O23 - Service: CodeMeter Runtime Server (CodeMeter.exe) - WIBU-SYSTEMS AG - C:\Programme\CodeMeter\Runtime\bin\CodeMeter.exe O23 - Service: DATEV Update-Service - DATEV eG - C:\DATEV\PROGRAMM\INSTALL\DvInesASDSvc.Exe O23 - Service: DATEV Druckservice (DatevPrintService) - DATEV eG - C:\DATEV\PROGRAMM\B0001442\PSNTSERV.EXE O23 - Service: DCS Loader (DCSLoader) - Oki Data Corporation - C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\OPHALDCS.EXE O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: CHIPDRIVE SCARD Service (TWKSCARDSRV) - TOWITOKO - German Technology - C:\WINDOWS\SCARDS32.EXE O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe -- End of file - 6042 bytes |
Hi und :hallo: Bitte lass folgende Datei bei VirusTotal überprüfen und poste das Ergebnis: C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\OPHALDC S.EXE Bitte den genauen Pfad und die Bezeichnung des Trojaner angeben:daumenhoc Benuzt du XP oder Vista?? |
Wie gesagt ist nicht mein PC. Als System hat sie Win XP mit SP.2 Werde es morgen machen wie du es mir gesagt hast und melde mich dann. |
Zitat:
|
hilfe habe mir was eingefangen hallo leute ich habe ein schlimmes problem [edit] Bitte eröffne, wie jeder andere hier auch, für dein Problem einen eigenen Beitrag. Nur so wird sichergestellt as jedem User übersichtlich und individuell geholfen werden kann. Danke. :) [/edit] |
So nun , der Trojaner nennt sich Win32.Agent.pz. Und der Pfad ist: C:\Windows\system32\wsnpoem\ Habe mit Virus Total überprüfen lassen: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.6.11.0 2008.06.11 - AntiVir 7.8.0.55 2008.06.11 - Authentium 5.1.0.4 2008.06.11 - Avast 4.8.1195.0 2008.06.11 - AVG 7.5.0.516 2008.06.11 - BitDefender 7.2 2008.06.11 - CAT-QuickHeal 9.50 2008.06.11 - ClamAV 0.92.1 2008.06.11 - DrWeb 4.44.0.09170 2008.06.11 - eSafe 7.0.15.0 2008.06.11 - eTrust-Vet 31.6.5865 2008.06.11 - Ewido 4.0 2008.06.11 - F-Prot 4.4.4.56 2008.06.10 - F-Secure 6.70.13260.0 2008.06.11 - Fortinet 3.14.0.0 2008.06.11 - GData 2.0.7306.1023 2008.06.11 - Ikarus T3.1.1.26.0 2008.06.11 - Kaspersky 7.0.0.125 2008.06.11 - McAfee 5315 2008.06.11 - Microsoft 1.3604 2008.06.11 - NOD32v2 3178 2008.06.11 - Norman 5.80.02 2008.06.11 - Panda 9.0.0.4 2008.06.11 - Prevx1 V2 2008.06.11 - Rising 20.48.22.00 2008.06.11 - Sophos 4.30.0 2008.06.11 - Sunbelt 3.0.1145.1 2008.06.05 - Symantec 10 2008.06.11 - TheHacker 6.2.92.342 2008.06.11 - VBA32 3.12.6.7 2008.06.10 - VirusBuster 4.3.26:9 2008.06.11 - Webwasher-Gateway 6.6.2 2008.06.11 - weitere Informationen File size: 24576 bytes MD5...: a9a35b074a07f4605c10ecf1e675468f SHA1..: 6a59b6b3a3f0eaa84fedce76eb8f6218308cb747 SHA256: e446c88928d6c5f207ed61f95ad3caa36fef81f94bf8a8f6e802d80871285f2b SHA512: 0c125f282401f78dd24be5b29c194b7fe3fc5dae087cc59456d3b36a8d291f47 a655b9428b7d4dd97100f553a580de7e797581f8fd645ab62571544e1cf1ff2b PEiD..: Armadillo v1.71 PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x402808 timedatestamp.....: 0x42805234 (Tue May 10 06:18:28 2005) machinetype.......: 0x14c (I386) ( 4 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x19ac 0x2000 5.24 280d1600ed878540c7c61a18759a9521 .rdata 0x3000 0xa76 0x1000 3.74 1d3b42a63b045f75e605f9c1a0310e94 .data 0x4000 0x114 0x1000 0.39 9fad1af157b4f1c4571d2fe98cc7f81a .rsrc 0x5000 0x5c8 0x1000 1.35 4d7ec5d6d067da2bb499dd7d3d7c8017 ( 6 imports ) > RPCRT4.dll: NdrServerInitializeNew, RpcRaiseException, RpcMgmtStopServerListening, RpcServerListen, RpcServerUnregisterIf, RpcServerRegisterIf, RpcServerUseProtseqEpA, NdrServerCall2 > MSVCRT.dll: _controlfp, __set_app_type, __p__fmode, __p__commode, _adjust_fdiv, __setusermatherr, _initterm, _acmdln, _XcptFilter, _exit, printf, __getmainargs, free, malloc, _except_handler3, _mbsicmp, exit > KERNEL32.dll: GetStartupInfoA, GetModuleHandleA, lstrcmpiA, LoadLibraryA, GetProcAddress, FreeLibrary, LocalAlloc, LocalFree, lstrcpyA, GlobalFree, GlobalAlloc, GetLastError, GetVersionExA, CloseHandle, WaitForSingleObject, CreateEventA, CreateThread, Sleep, SetEvent, lstrcatA, lstrlenA, GetModuleFileNameA > USER32.dll: LoadCursorA, DispatchMessageA, TranslateMessage, GetMessageA, CreateWindowExA, PostMessageA, DefWindowProcA, DestroyWindow, PostQuitMessage, RegisterClassA, LoadIconA, FindWindowA, LoadStringA > WINSPOOL.DRV: FindClosePrinterChangeNotification, FindFirstPrinterChangeNotification, OpenPrinterA, ClosePrinter, EnumPrintersA > ADVAPI32.dll: QueryServiceStatus, RegDeleteValueA, RegQueryValueExA, ChangeServiceConfigA, ControlService, RegDeleteKeyA, OpenSCManagerA, OpenServiceA, CloseServiceHandle, DeleteService, SetServiceStatus, RegisterServiceCtrlHandlerA, StartServiceCtrlDispatcherA, RegCreateKeyExA, RegSetValueExA, RegOpenKeyExA, RegEnumValueA, RegCloseKey Das war das Ergebnis.:confused: |
Kann mir keiner weiter helfen? |
Keine Hilfe mehr!!! Sorry aber es eilt das probl. zu beheben. Denn der PC wird in der Arbeit benutzt und sie kann nicht mehr weiter arbeiten. |
Werde mich heute abend darum kümmern:daumenhoc Versprochen... Bitte komm doch heute um halb 7 und dann musst du dir halt ne Stunde 2 zeit nehmen ok? |
Ähm hallo? :balla: Zitat:
Zitat:
|
Zitat:
lg myrtille |
Zitat:
Ich weiss ja nicht wem dieses höhnische "Ähm hallo:balla:" gegolten hat, aber wenn es mir gegolten hat dann sei gesagt dass ich mir Sein Problem mal anschauen wollte und dies noch nicht getan habe also warum ein solcher Kommentar?? Dann frage ich mich auch warum dem User so lange nicht geholfen wurde und jetzt wo ich sagte ich kümmere mich darum sich gleich zwei melden:headbang: Falls das ganze dem User gegolten hat (was ich mir nicht vorstellen kann), finde ich das ganze etwas unfreundlich:( Wie ich in deinem Post gesehen habe hat er ntos.exe drauf und muss mich deiner und myrtilles Vorschläge anschliessen ---> Neuaufsetzen |
Also soll ich das System neu drauf setzen? |
Also es ist ja so dass hier am Trojaner-Board nicht an geschäftlich genützten Computern was rumgefummelt wird (hab ich doch richtig verstande sky??) Oder in wie fern ist der Computer geschäftlich?? Wie schon myrtille gesagt hat kommst du fast nicht drum herum (Neuaufsetzen):) |
Ok dann nur noch eine Sache. Welche Progs. soll man benutzen um einen PC zu sichern? |
Zitat:
Neuaufsetzen Siehst du direkt unter dem ersten Link:aplaus: |
Dank an alle!!!!:daumenhoc |
Ach genau wie ist des dann wenn ich die Dateien alle Sichern muß ? Soll ich sie einfach abbrennen? Brenne ich dann denn Trojaner mit? |
Edit. Text gelöscht |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 18:33 Uhr. |
Copyright ©2000-2025, Trojaner-Board