Druckversion des Themas

Hier klicken um das Topic im Orginalformat anzusehen

Rokop Security _ HijackThis-Logs _ win32/spy.briss.G

Geschrieben von: GonzOmatic 03.07.2004, 19:32

Hallo zusammen,

mein Nod32 erkennt seit einiger Zeit permanent einen win32/spy.briss.g Trojaner und bekommt ihn nicht weg. Er stellt den Trojaner nur in die Quarantäne wo ich ihn dann herauslöschen kann. Beim nächsten Check ist er dann aber wieder da. Habe die Systemwiederherstellung schon deaktiviert und auch schon im abgesicherten Modus gestartet. Stinger brachte mir leider auch nichts. Hat irgend jemand eine Idee für mich? Wäre um Hilfe sehr dankbar.

thx
GonzOmatic

Hier waere der Pfad, wo sich der Übeltäter befindet:

C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4M2HGFNL\bridge[1].cab

Anbei noch mein HiJack Logfile:

Logfile of HijackThis v1.97.7
Scan saved at 20:14:39, on 03.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Symantec\Norton Ghost 2003\GhostStartService.exe
C:\Programme\Eset\nod32krn.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\Programme\Winamp\Winampa.exe
C:\Programme\Eset\nod32kui.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\ISDN-Monitor\ISDNMon.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Hewlett-Packard\Toolbox2.0\Javasoft\JRE\1.3.1\bin\javaw.exe
J:\Setup.exe
C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\IKernel.exe
C:\Programme\Crazy Browser\Crazy Browser.exe
C:\Programme\Eset\nod32.exe
E:\Programme\HiJack this\HijackThis.exe

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [StatusClient] C:\Programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe /auto
O4 - HKLM\..\Run: [TomcatStartup] C:\Programme\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: ISDN-Monitor.lnk = C:\Programme\ISDN-Monitor\ISDNMon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O10 - Broken Internet access because of LSP provider 'imon.dll' missing
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38149.5509259259
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{94FB28AF-23C7-4F05-A341-336F69105849}: NameServer = 217.237.151.97 194.25.2.129

Geschrieben von: christian4u2 03.07.2004, 19:40

Schick mal die Datei:

J:\Setup.exe

an virus@rokop-security.de schicken.

Dann kann sicher noch einiges gefixt werden...aber ich muß leider meinen pc nun runter fahren. Aber es wird dir sicher gleich weitergehlofen.

Grüße chris

Geschrieben von: GonzOmatic 03.07.2004, 19:48

Die Datei kann dabei eigentlich keine Rolle spielen. Ist mein DVD Laufwerk und in dem hatte ich gerade eine Spiele CD welche ich nebenbei installiert habe.

Ciao
GonzOmatic

Geschrieben von: christian4u2 03.07.2004, 21:07

hmm sonst scheint dein Log in Ordnung...zumindest glaube ich das confused.gif

Hat es denn geholfen die Datei zu löschen bzw. hat es überhaupt funktioniert??

Unterstützt von Invision Power Board (http://www.invisionboard.com)
© Invision Power Services (http://www.invisionpower.com)