Trojaner-Board
Seite 1 von 3 1 23
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Es funzt kein Antivirenprogramm mehr!!! (https://www.trojaner-board.de/71099-funzt-kein-antivirenprogramm-mehr.html)

PeterLustig 16.03.2009 18:28
Es funzt kein Antivirenprogramm mehr!!!
 
Hallo Leute,

ich hab seit Heute ein erhebliches Problem.
Ich hab mir wohl einen ziemlich lästigen Virus eingefangen.
Und zwar wurde Norton Internet Security 2009 nach einem Neustart einfach deaktiviert.Nach dem ich es löscht und neu installierte wird immer immer angezeigt das "Auto Protect" Deatktiviert ist,ich kann machen was ich will,es lässt sich nicht mehr einschalten.Ein Update für die Virendatenbank geht auch nicht mehr.Hab das auch schon mit Avira Probiert,und siehe da,gleiches Problem.Antimalware lässt sich nicht starten.....

Norton zeigt mir unter "Netzwerk Anzeigen" ein zweites Netzwerk an mit folgender IP 192.168.2.101

Eine Whois abfrage meint dass die nach Amsterdam reicht.
Hab auch nicht auf meine HDs zugreifen können,Autorun Eater schaffte zumindest hier abhilfe.

Code:
GMER 1.0.15.14939 - http://www.gmer.net
Rootkit scan 2009-03-16 18:19:19
Windows 5.1.2600 Service Pack 3

Hier der gmer log der eine Rootkit funktion entdeckte:

---- System - GMER 1.0.15 ----

SSDT            859ECA08                                                                                                                  ZwConnectPort
SSDT            85288BA8                                                                                                                  ZwCreateThread
SSDT            \??\C:\WINXP\system32\Drivers\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation)                                  ZwDeleteKey [0xAB55E2A0]
SSDT            8632BD88                                                                                                                  ZwLoadDriver
SSDT            F7B2B818                                                                                                                  ZwOpenProcess
SSDT            F7B2B81D                                                                                                                  ZwOpenThread
SSDT            861449C8                                                                                                                  ZwResumeThread
SSDT            \??\C:\WINXP\system32\Drivers\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation)                                  ZwSetValueKey [0xAB55EA50]
SSDT            F7B2B827                                                                                                                  ZwTerminateProcess
SSDT            F7B2B822                                                                                                                  ZwWriteVirtualMemory

Code            8614E818                                                                                                                  ZwEnumerateKey
Code            860E2980                                                                                                                  ZwFlushInstructionCache
Code            860DA4B0                                                                                                                  ZwQueryValueKey
Code            860BEC56                                                                                                                  IofCallDriver
Code            860CC76E                                                                                                                  IofCompleteRequest

---- Kernel code sections - GMER 1.0.15 ----

.text          ntkrnlpa.exe!IofCallDriver                                                                                                804EF1A6 5 Bytes  JMP 860BEC5B
.text          ntkrnlpa.exe!IofCompleteRequest                                                                                            804EF236 5 Bytes  JMP 860CC773
.text          ntkrnlpa.exe!ZwCallbackReturn + 2FA0                                                                                      8050483C 4 Bytes  JMP C0F4AB55
PAGE            ntkrnlpa.exe!ZwFlushInstructionCache                                                                                      805B683E 5 Bytes  JMP 860E2984
PAGE            ntkrnlpa.exe!ZwQueryValueKey                                                                                              806219F6 5 Bytes  JMP 860DA4B4
PAGE            ntkrnlpa.exe!ZwEnumerateKey                                                                                                80623FFE 5 Bytes  JMP 8614E81C

---- User code sections - GMER 1.0.15 ----

.text          C:\Programme\Autorun Eater\oldmcdonald.exe[1432] USER32.dll!GetCursor                                                      7E37A91B 5 Bytes  JMP 10001080 C:\Programme\CursorXP\CurXP0.dll (CursorXP control panel/ )
.text          C:\Programme\Autorun Eater\oldmcdonald.exe[1432] USER32.dll!DrawIconEx                                                    7E37CB84 5 Bytes  JMP 10001120 C:\Programme\CursorXP\CurXP0.dll (CursorXP control panel/ )
.text          C:\Programme\Autorun Eater\oldmcdonald.exe[1432] USER32.dll!GetIconInfo                                                    7E37D427 5 Bytes  JMP 10001030 C:\Programme\CursorXP\CurXP0.dll (CursorXP control panel/ )
.text          C:\Programme\Autorun Eater\billy.exe[1440] USER32.dll!GetCursor                                                            7E37A91B 5 Bytes  JMP 10001080 C:\Programme\CursorXP\CurXP0.dll (CursorXP control panel/ )
.text          C:\Programme\Autorun Eater\billy.exe[1440] USER32.dll!DrawIconEx                                                          7E37CB84 5 Bytes  JMP 10001120 C:\Programme\CursorXP\CurXP0.dll (CursorXP control panel/ )
.text          C:\Programme\Autorun Eater\billy.exe[1440] USER32.dll!GetIconInfo                                                          7E37D427 5 Bytes  JMP 10001030 C:\Programme\CursorXP\CurXP0.dll (CursorXP control panel/ )
.text          C:\Dokumente und Einstellungen\****\Desktop\gmer.exe[1468] USER32.dll!GetCursor                                  7E37A91B 5 Bytes  JMP 10001080 C:\Programme\CursorXP\CurXP0.dll (CursorXP control panel/ )
.text          C:\Dokumente und Einstellungen\*****\Desktop\gmer.exe[1468] USER32.dll!DrawIconEx                                  7E37CB84 5 Bytes  JMP 10001120 C:\Programme\CursorXP\CurXP0.dll (CursorXP control panel/ )
.text          C:\Dokumente und Einstellungen\******\Desktop\gmer.exe[1468] USER32.dll!GetIconInfo                                7E37D427 5 Bytes  JMP 10001030 C:\Programme\CursorXP\CurXP0.dll (CursorXP control panel/ )
.text          C:\WINXP\Explorer.EXE[1492] USER32.dll!GetCursor                                                                          7E37A91B 5 Bytes  JMP 10001080 C:\Programme\CursorXP\CurXP0.dll (CursorXP control panel/ )
.text          C:\WINXP\Explorer.EXE[1492] USER32.dll!DrawIconEx                                                                          7E37CB84 5 Bytes  JMP 10001120 C:\Programme\CursorXP\CurXP0.dll (CursorXP control panel/ )
.text          C:\WINXP\Explorer.EXE[1492] USER32.dll!GetIconInfo                                                                        7E37D427 5 Bytes  JMP 10001030 C:\Programme\CursorXP\CurXP0.dll (CursorXP control panel/ )
.text          C:\Programme\Norton Internet Security\Norton Internet Security\Engine\16.1.0.33\ccSvcHst.exe[2656] USER32.dll!GetCursor    7E37A91B 5 Bytes  JMP 10001080 C:\Programme\CursorXP\CurXP0.dll (CursorXP control panel/ )
.text          C:\Programme\Norton Internet Security\Norton Internet Security\Engine\16.1.0.33\ccSvcHst.exe[2656] USER32.dll!DrawIconEx  7E37CB84 5 Bytes  JMP 10001120 C:\Programme\CursorXP\CurXP0.dll (CursorXP control panel/ )
.text          C:\Programme\Norton Internet Security\Norton Internet Security\Engine\16.1.0.33\ccSvcHst.exe[2656] USER32.dll!GetIconInfo  7E37D427 5 Bytes  JMP 10001030 C:\Programme\CursorXP\CurXP0.dll (CursorXP control panel/ )
.text          C:\Programme\Norton Internet Security\Norton Internet Security\Engine\16.1.0.33\nmapapp.exe[3196] USER32.dll!GetCursor    7E37A91B 5 Bytes  JMP 10001080 C:\Programme\CursorXP\CurXP0.dll (CursorXP control panel/ )
.text          C:\Programme\Norton Internet Security\Norton Internet Security\Engine\16.1.0.33\nmapapp.exe[3196] USER32.dll!DrawIconEx    7E37CB84 5 Bytes  JMP 10001120 C:\Programme\CursorXP\CurXP0.dll (CursorXP control panel/ )
.text          C:\Programme\Norton Internet Security\Norton Internet Security\Engine\16.1.0.33\nmapapp.exe[3196] USER32.dll!GetIconInfo  7E37D427 5 Bytes  JMP 10001030 C:\Programme\CursorXP\CurXP0.dll (CursorXP control panel/ )
.text          C:\Programme\Opera 10 Preview\opera.exe[3284] USER32.dll!GetCursor                                                        7E37A91B 5 Bytes  JMP 10001080 C:\Programme\CursorXP\CurXP0.dll (CursorXP control panel/ )
.text          C:\Programme\Opera 10 Preview\opera.exe[3284] USER32.dll!DrawIconEx                                                        7E37CB84 5 Bytes  JMP 10001120 C:\Programme\CursorXP\CurXP0.dll (CursorXP control panel/ )
.text          C:\Programme\Opera 10 Preview\opera.exe[3284] USER32.dll!GetIconInfo                                                      7E37D427 5 Bytes  JMP 10001030 C:\Programme\CursorXP\CurXP0.dll (CursorXP control panel/ )

---- User IAT/EAT - GMER 1.0.15 ----

IAT            C:\WINXP\Explorer.EXE[1492] @ C:\WINXP\Explorer.EXE [KERNEL32.dll!GetProcAddress]                                          [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINXP\Explorer.EXE[1492] @ C:\WINXP\system32\ADVAPI32.dll [KERNEL32.dll!GetProcAddress]                                [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINXP\Explorer.EXE[1492] @ C:\WINXP\system32\RPCRT4.dll [KERNEL32.dll!GetProcAddress]                                  [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINXP\Explorer.EXE[1492] @ C:\WINXP\system32\Secur32.dll [KERNEL32.dll!GetProcAddress]                                  [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINXP\Explorer.EXE[1492] @ C:\WINXP\system32\GDI32.dll [KERNEL32.dll!GetProcAddress]                                    [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINXP\Explorer.EXE[1492] @ C:\WINXP\system32\USER32.dll [KERNEL32.dll!GetProcAddress]                                  [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINXP\Explorer.EXE[1492] @ C:\WINXP\system32\msvcrt.dll [KERNEL32.dll!GetProcAddress]                                  [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINXP\Explorer.EXE[1492] @ C:\WINXP\system32\ole32.dll [KERNEL32.dll!GetProcAddress]                                    [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINXP\Explorer.EXE[1492] @ C:\WINXP\system32\SHLWAPI.dll [KERNEL32.dll!GetProcAddress]                                  [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINXP\Explorer.EXE[1492] @ C:\WINXP\system32\CRYPT32.dll [KERNEL32.dll!GetProcAddress]                                  [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINXP\Explorer.EXE[1492] @ C:\WINXP\system32\NETAPI32.dll [KERNEL32.dll!GetProcAddress]                                [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINXP\Explorer.EXE[1492] @ C:\WINXP\system32\WININET.dll [KERNEL32.dll!GetProcAddress]                                  [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINXP\Explorer.EXE[1492] @ C:\WINXP\system32\SHELL32.dll [KERNEL32.dll!GetProcAddress]                                  [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINXP\Explorer.EXE[1492] @ C:\WINXP\system32\USERENV.dll [KERNEL32.dll!GetProcAddress]                                  [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINXP\Explorer.EXE[1492] @ C:\WINXP\system32\PSAPI.DLL [KERNEL32.dll!GetProcAddress]                                    [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINXP\Explorer.EXE[1492] @ C:\WINXP\system32\iphlpapi.dll [KERNEL32.dll!GetProcAddress]                                [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINXP\Explorer.EXE[1492] @ C:\WINXP\system32\WS2_32.dll [KERNEL32.dll!GetProcAddress]                                  [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT            C:\WINXP\Explorer.EXE[1492] @ C:\WINXP\system32\WS2HELP.dll [KERNEL32.dll!GetProcAddress]                                  [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)

---- Devices - GMER 1.0.15 ----

AttachedDevice  \Driver\Tcpip \Device\Ip                                                                                                  SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice  \Driver\Tcpip \Device\Tcp                                                                                                  SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice  \Driver\Tcpip \Device\Udp                                                                                                  SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice  \Driver\Tcpip \Device\RawIp                                                                                                SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)

---- Modules - GMER 1.0.15 ----

Module          \systemroot\system32\drivers\gaopdxomilmwvqfedhnekxufltdquxatmnucux.sys (*** hidden *** )                                  AE778000-AE78E000 (90112 bytes)                                                           

---- Services - GMER 1.0.15 ----

Service        C:\WINXP\system32\drivers\gaopdxomilmwvqfedhnekxufltdquxatmnucux.sys (*** hidden *** )                                    [SYSTEM] gaopdxserv.sys                                                                      <-- ROOTKIT !!!

---- Registry - GMER 1.0.15 ----

Reg            HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys                                                                     
Reg            HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys@start                                                                1
Reg            HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys@type                                                                1
Reg            HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys@imagepath                                                            \systemroot\system32\drivers\gaopdxomilmwvqfedhnekxufltdquxatmnucux.sys
Reg            HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys@group                                                                file system
Reg            HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys\modules                                                             
Reg            HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys\modules@gaopdxserv                                                  \\?\globalroot\systemroot\system32\drivers\gaopdxomilmwvqfedhnekxufltdquxatmnucux.sys
Reg            HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys\modules@gaopdxl                                                      \\?\globalroot\systemroot\system32\gaopdxpvrfvmjrrbtkusckvlsxptatrlehjbcc.dll
Reg            HKLM\SYSTEM\ControlSet002\Services\gaopdxserv.sys                                                                         
Reg            HKLM\SYSTEM\ControlSet002\Services\gaopdxserv.sys@start                                                                    1
Reg            HKLM\SYSTEM\ControlSet002\Services\gaopdxserv.sys@type                                                                    1
Reg            HKLM\SYSTEM\ControlSet002\Services\gaopdxserv.sys@imagepath                                                                \systemroot\system32\drivers\gaopdxomilmwvqfedhnekxufltdquxatmnucux.sys
Reg            HKLM\SYSTEM\ControlSet002\Services\gaopdxserv.sys@group                                                                    file system
Reg            HKLM\SYSTEM\ControlSet002\Services\gaopdxserv.sys\modules                                                                 
Reg            HKLM\SYSTEM\ControlSet002\Services\gaopdxserv.sys\modules@gaopdxserv                                                      \\?\globalroot\systemroot\system32\drivers\gaopdxomilmwvqfedhnekxufltdquxatmnucux.sys
Reg            HKLM\SYSTEM\ControlSet002\Services\gaopdxserv.sys\modules@gaopdxl                                                          \\?\globalroot\systemroot\system32\gaopdxpvrfvmjrrbtkusckvlsxptatrlehjbcc.dll

---- Files - GMER 1.0.15 ----

File            C:\WINXP\system32\gaopdxcounter                                                                                            4 bytes
File            C:\WINXP\system32\gaopdxpvrfvmjrrbtkusckvlsxptatrlehjbcc.dll                                                              19456 bytes executable
File            C:\WINXP\system32\drivers\gaopdxomilmwvqfedhnekxufltdquxatmnucux.sys                                                      44032 bytes executable                                                                      <-- ROOTKIT !!!
File            C:\WINXP\system32\drivers\gaopdxserv.sys                                                                                  40960 bytes executable
File            C:\WINXP\Temp\gaopdx347859                                                                                                6656 bytes executable

---- EOF - GMER 1.0.15 ----

PeterLustig 16.03.2009 18:29
Und hier noch der HijackThis Log.

Ich hoffe ihr könnt helfen :schmoll:

Code:
Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\Ati2evxx.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\system32\Ati2evxx.exe
C:\WINXP\Explorer.EXE
C:\Programme\avmwlanstick\WlanNetService.exe
C:\WINXP\System32\TUProgSt.exe
C:\Programme\Cyberlink\Shared Files\brs.exe
C:\Programme\avmwlanstick\wlangui.exe
C:\WINXP\system32\ctfmon.exe
C:\Programme\CursorXP\CursorXP.exe
C:\Programme\Norton Internet Security\Norton Internet Security\Engine\16.1.0.33\ccSvcHst.exe
C:\Programme\Norton Internet Security\Norton Internet Security\Engine\16.1.0.33\ccSvcHst.exe
C:\Programme\Autorun Eater\oldmcdonald.exe
C:\Programme\Autorun Eater\billy.exe
C:\WINXP\System32\svchost.exe
C:\Programme\Opera 10 Preview\opera.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
R3 - URLSearchHook: IsoBuster Toolbar - {266fcdca-7bb3-4da7-b3bf-f845dea2ebd6} - C:\Programme\IsoBuster\tbIsoB.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: IsoBuster Toolbar - {266fcdca-7bb3-4da7-b3bf-f845dea2ebd6} - C:\Programme\IsoBuster\tbIsoB.dll
O2 - BHO: Symantec NCO BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Programme\Norton Internet Security\Norton Internet Security\Engine\16.1.0.33\coIEPlg.dll
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\Programme\Norton Internet Security\Norton Internet Security\Engine\16.1.0.33\IPSBHO.DLL
O3 - Toolbar: IsoBuster Toolbar - {266fcdca-7bb3-4da7-b3bf-f845dea2ebd6} - C:\Programme\IsoBuster\tbIsoB.dll
O3 - Toolbar: Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Programme\Norton Internet Security\Norton Internet Security\Engine\16.1.0.33\coIEPlg.dll
O4 - HKLM\..\Run: [RemoteControl9] C:\Programme\CyberLink\PowerDVD9\PDVD9Serv.exe
O4 - HKLM\..\Run: [PDVD9LanguageShortcut] C:\Programme\CyberLink\PowerDVD9\Language\Language.exe
O4 - HKLM\..\Run: [BDRegion] C:\Programme\Cyberlink\Shared Files\brs.exe
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [Autorun Eater] C:\Programme\Autorun Eater\oldmcdonald.exe
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINXP\system32\ctfmon.exe
O4 - HKCU\..\Run: [CursorXP] C:\Programme\CursorXP\CursorXP.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1236774808953
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/get/flashplayer/current/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0F100B7C-A76F-423A-8847-DF01F1D59876}: NameServer = 85.255.112.171,85.255.112.109
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.171,85.255.112.109
O17 - HKLM\System\CS1\Services\Tcpip\..\{0F100B7C-A76F-423A-8847-DF01F1D59876}: NameServer = 85.255.112.171,85.255.112.109
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.171,85.255.112.109
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINXP\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINXP\system32\ati2sgag.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: Norton Internet Security - Symantec Corporation - C:\Programme\Norton Internet Security\Norton Internet Security\Engine\16.1.0.33\ccSvcHst.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINXP\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINXP\System32\TUProgSt.exe

PeterLustig 16.03.2009 18:32
Hab jetzt die IP gecheckt die Hijackthis mir im log anzeigte.

Ist wohl der alte Ukrainische Freund :snyper:

Whois Record

inetnum: 85.255.112.0 - 85.255.127.255
netname: UkrTeleGroup
descr: UkrTeleGroup Ltd.
admin-c: UA481-RIPE
tech-c: UA481-RIPE
country: UA
org: ORG-UL25-RIPE
status: ASSIGNED PI
mnt-by: RIPE-NCC-HM-PI-MNT
mnt-lower: RIPE-NCC-HM-PI-MNT
mnt-by: UKRTELE-MNT
mnt-routes: UKRTELE-MNT
mnt-domains: UKRTELE-MNT
source: RIPE # Filtered

organisation: ORG-UL25-RIPE
org-name: UkrTeleGroup Ltd.
org-type: LIR
address: UkrTeleGroup Ltd.
Mechnikova 58/5
65029 Odessa
Ukraine
phone: +380487311011
fax-no: +380487502499
mnt-ref: UKRTELE-MNT
mnt-ref: RIPE-NCC-HM-MNT
mnt-by: RIPE-NCC-HM-MNT
source: RIPE # Filtered

person: Andrew Sotov
address: Mechnikova 58/5 65029 Odessa
abuse-mailbox:
phone: +380631508855
nic-hdl: UA481-RIPE
source: RIPE # Filtered

Angel21 16.03.2009 19:42
Zitat:
O17 - HKLM\System\CCS\Services\Tcpip\..\{0F100B7C-A76F-423A-8847-DF01F1D59876}: NameServer = 85.255.112.171,85.255.112.109
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.171,85.255.112.109
O17 - HKLM\System\CS1\Services\Tcpip\..\{0F100B7C-A76F-423A-8847-DF01F1D59876}: NameServer = 85.255.112.171,85.255.112.109
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.171,85.255.112.109
Zur Auflösung, du hast einen Trojan.DNSchanger drauf Bitte kein Onlinebanking, eBay und Amazon mehr betreiben, von einem sicheren PC aus die Kenn- und Passwörter ändern. Bei Auffälligkeiten die Bank informieren und das Konto sperren lassen.



Lass mal bitte Malwarebytes drüberlaufen und poste das Ergebnis hier, wenn das nicht gehen sollte dann bitte Superantispyware versuchen.

PeterLustig 16.03.2009 21:18
Erst einmal danke für deine Antwort :daumenhoc

Das die DNS einstellungen verstellt waren und mein PC als "Zombie" verwendet wurde wusste ich hehe.

Ich hab jetzt mal Windows neu aufgesetzt.

HijackThis hat keine Fehler bei der Logauswertung gemeldet.

Ich hoffe dass es dass jetzt war.

Ist bekannt dass der Virus viell. auch nach einer neuinstallation aktiv bleibt?

Grüße

Angel21 16.03.2009 21:37
Es ist sogar bekannt, dass der Virus einige Einstellungen im Router ändert. Fälle mit neuem Einstellen des Routers ist auch bekannt - bei dem Problem mit DNSchanger.

DNSchanger und Silentbanker sind die neusten Waffen für Betrüger um irgendwie an Daten ranzukommen. Die sind sehr beliebt geworden gg


Poste mal ein neues HijackThis Logfile bitte :)

PeterLustig 16.03.2009 21:47
Habe jetzt noch mal Malwarebytes durchlaufen lassen,zeigt mir keine Fehler an.Aber Norton Internet Security 2009 entfernt immer und immer wieder einen "Trojan Horse" Virus.

Hier der HijackThis Log.

Code:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\Ati2evxx.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\system32\Ati2evxx.exe
C:\WINXP\system32\spoolsv.exe
C:\WINXP\Explorer.EXE
C:\WINXP\SOUNDMAN.EXE
C:\WINXP\system32\ctfmon.exe
C:\Programme\Norton Internet Security\Engine\16.1.0.33\ccSvcHst.exe
C:\Programme\Norton Internet Security\Engine\16.1.0.33\ccSvcHst.exe
C:\Programme\Opera 10 Preview\opera.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\Programme\avmwlanstick\wlangui.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
O2 - BHO: Symantec NCO BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Programme\Norton Internet Security\Engine\16.1.0.33\coIEPlg.dll
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\Programme\Norton Internet Security\Engine\16.1.0.33\IPSBHO.DLL
O3 - Toolbar: Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Programme\Norton Internet Security\Engine\16.1.0.33\coIEPlg.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINXP\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{9CE98B9D-0707-42C6-B224-7F80CF2F4E43}: NameServer = 192.168.2.1
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINXP\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINXP\system32\ati2sgag.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: Norton Internet Security - Symantec Corporation - C:\Programme\Norton Internet Security\Engine\16.1.0.33\ccSvcHst.exe

Angel21 16.03.2009 21:51
Kannst du vielleicht zeigen welchen Trojan Horse er genau meint?

By the Way: Norton würde ich deinstallieren und Avira würde ich nehmen auf Agressive Einstellung. http://www.trojaner-board.de/54192-a...tellungen.html

PeterLustig 16.03.2009 21:54
Zitat:
Zitat von Angel21 (Beitrag 421740)
Kannst du vielleicht zeigen welchen Trojan Horse er genau meint?

By the Way: Norton würde ich deinstallieren und Avira würde ich nehmen auf Agressive Einstellung. http://www.trojaner-board.de/54192-a...tellungen.html
Also Norton zeigt leider nur "Trojan Horse" an,ansonsten leider keine genaue Bezeichnung usw.

Ich hab aber leider schon Geld für Norton ausgegeben,deswegen möchte ich es jetzt auch nutzen ;-)

BTW: Danke dass du dich so nett um mich kümmerst hehe

Angel21 16.03.2009 22:01
Bitte keine Ursache :).......Hast du kein Pfad? Zeigt dir Norton keinen Pfad an?

Zitat:
O17 - HKLM\System\CCS\Services\Tcpip\..\{9CE98B9D-0707-42C6-B224-7F80CF2F4E43}: NameServer = 192.168.2.1
Beziehst du die IPs automatisch oder per fester Einstellung?

PeterLustig 16.03.2009 22:08
Leider zeigt mir Norton keinen Pfad an,hab da schon alles durchgecheckt weils mich selbst interessiert hat :daumenhoc

Hab ne feste IP ja :heilig:

Angel21 16.03.2009 22:11
Ich würde die IP automatisch beziehen lassen ;)



Kannst du mir mal das Logfile (Report) von Norton schicken? also hier posten? Das interessiert mich auch xD

PeterLustig 16.03.2009 22:18
Wo finde ich denn die Logdatei?Kann nur den Verlauf speichern (Ist eine Datei mit mcf als Endung).

Kannst du was damit Anfangen?

Grüße

Angel21 16.03.2009 22:19
Dann speicher den Verlauf und setze ihn hier rein. Ich weiß nicht, ich habe ein leicht Ungutes Gefühl bei der Sache. Evtl. mal einen Rootkitscan machen lassen und bitte auf jeden Fall CCleaner drüberlaufen lassen.

a5cl3p1o5 16.03.2009 22:21
Hallo PeterLustig,

ich kenne leider Norton nicht in der neuen Version. Gibt es bei Dir die Möglichkeit unter Statistik -> Logfiles anzeigen verschiedene Optionen zu markieren und dann zu exportieren?

Wenn ja, bitte Logfile posten. Wenn nein, nutze bitte den Kaspersky online scanner, damit wir uns ein Bild von Deinem System (und mögliche Infektionen machen können).

Grüße
a5cl3p1o5


Alle Zeitangaben in WEZ +1. Es ist jetzt 22:17 Uhr.
Seite 1 von 3 1 23
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27