trojan ? oder etwas anders, look inside |
Willkommen, Gast ( Anmelden | Registrierung )
trojan ? oder etwas anders, look inside |
07.06.2008, 21:10
Beitrag
#1
|
|
Kennt sich hier aus Gruppe: Mitglieder Beiträge: 161 Mitglied seit: 09.08.2004 Mitglieds-Nr.: 1.319 |
hi hab malwieder ein problem und wenn ich selber net weiter weiss ziehe ich es vor dem Format C immer vor hier einmal im Forum nachtzfragen da hier meist sehr nett geholfen wird
naja hier mal mein logg die sachen die mir komisch vorkommen markier ich mal mit bold oder so ComboScan v20070306.20 run by r00tsyst3m on 2008-06-07 at 21:49:06 Computer is in Normal Mode. -------------------------------------------------------------------------------- -- HijackThis (run as r00tsyst3m.exe) ------------------------------------------ Logfile of HijackThis v1.99.1 Scan saved at 21:49:10, on 07.06.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\avmwlanstick\FRITZWLANMini.exe C:\WINDOWS\system32\RunDLL32.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\DOKUME~1\WindowsUpdate.exe C:\Programme\Sony\Shared Plug-Ins\Media Manager\MSSQL$SONY_MEDIAMGR\Binn\sqlservr.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\No-IP\DUC20.exe C:\Programme\ICQ6\ICQ.exe C:\Dokumente und Einstellungen\r00tsyst3m\Desktop\Anti Vir und saves bla\comboscan.exe C:\DOKUME~1\R00TSY~1\Desktop\HIJACK~1\R00TSY~1.EXE R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\FRITZWLANMini.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe O4 - HKLM\..\Run: [Windows Update] C:\DOKUME~1\WindowsUpdate.exe O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" O4 - Global Startup: Dienst-Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab56907.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/shockwa...ash/swflash.cab O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe -- Files created between 2008-05-07 and 2008-06-07 ----------------------------- 2008-06-07 12:56:13 0 d-------- C:\Programme\Microsoft SQL Server<MICROS~2> 2008-06-07 12:54:49 0 d-------- C:\Programme\Vstplugins<VSTPLU~1> -- Find3M Report --------------------------------------------------------------- 2008-06-07 21:47:55 0 d-------- C:\Programme\Mozilla Firefox<MOZILL~1> 2008-06-07 21:47:30 488372 --a------ C:\WINDOWS\system32\perfh007.dat 2008-06-07 21:47:30 99110 --a------ C:\WINDOWS\system32\perfc007.dat 2008-06-07 19:17:58 0 d-------- C:\Dokumente und Einstellungen\r00tsyst3m\Anwendungsdaten\ICQ 2008-06-07 13:39:26 0 d-------- C:\Dokumente und Einstellungen\r00tsyst3m\Anwendungsdaten\teamspeak2<TEAMSP~1> 2008-06-07 12:54:20 0 d-------- C:\Programme\Sony 2008-06-07 12:42:45 0 d-------- C:\Programme\ICQToolbar<ICQTOO~1> 2008-06-07 00:39:22 0 d-------- C:\Programme\Mozilla Thunderbird<MOZILL~2> 2008-06-06 17:00:48 0 d-------- C:\Programme\FlashFXP 2008-06-04 16:51:32 14188 --ah----- C:\WINDOWS\system32\mlfcache.dat 2008-05-31 11:56:05 0 d-------- C:\Dokumente und Einstellungen\r00tsyst3m\Anwendungsdaten\Skype 2008-05-23 21:50:00 0 d-------- C:\Dokumente und Einstellungen\r00tsyst3m\Anwendungsdaten\Canon 2008-05-14 22:03:01 0 d-------- C:\Dokumente und Einstellungen\r00tsyst3m\Anwendungsdaten\Real 2008-05-14 13:48:13 0 d-------- C:\Programme\World of Warcraft<WORLDO~1> 2008-05-06 17:10:06 0 d-a------ C:\Programme\RAM Defrag<RAMDEF~1> 2008-05-05 17:05:40 0 d--h----- C:\Programme\Tnacwjlfsuobdxk<TNACWJ~1> 2008-05-03 01:46:51 0 d-------- C:\Programme\ICQ6 2008-05-03 01:46:44 0 d--h----- C:\Programme\InstallShield Installation Information<INSTAL~1> 2008-05-03 01:43:21 0 d-------- C:\Programme\ICQLite -- Registry Dump --------------------------------------------------------------- [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run] "CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe" "SpybotSD TeaTimer"="C:\\Programme\\Spybot - Search & Destroy\\TeaTimer.exe" "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="\"C:\\Programme\\Gemeinsame Dateien\\Ahead\\Lib\\NMBgMonitor.exe\"" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run] "NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NvCpl.dll,NvStartup" "nwiz"="nwiz.exe /install" "SoundMan"="SOUNDMAN.EXE" "AVMWlanClient"="C:\\Programme\\avmwlanstick\\FRITZWLANMini.exe" "NeroFilterCheck"="C:\\Programme\\Gemeinsame Dateien\\Ahead\\Lib\\NeroCheck.exe" "Windows Update"="C:\\DOKUME~1\\WindowsUpdate.exe" "WinampAgent"="C:\\Programme\\Winamp\\winampa.exe" "NvMediaCenter"="RunDLL32.exe NvMCTray.dll,NvTaskbarInit" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Google Updater.lnk] "path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Google Updater.lnk" "backup"="C:\\WINDOWS\\pss\\Google Updater.lnkCommon Startup" "location"="Common Startup" "command"="C:\\PROGRA~1\\Google\\GOOGLE~1\\GOOGLE~1.EXE -systray -startup" "item"="Google Updater" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BitTorrent] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="bittorrent" "hkey"="HKCU" "command"="\"C:\\Programme\\BitTorrent\\bittorrent.exe\" --force_start_minimized" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="ICQLite" "hkey"="HKLM" "command"="\"C:\\Programme\\ICQLite\\ICQLite.exe\" -minimize" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msci] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="20071117121245_mcinfo" "hkey"="HKLM" "command"="C:\\DOKUME~1\\R00TSY~1\\LOKALE~1\\Temp\\20071117121245_mcinfo.exe /insfin" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="msmsgs" "hkey"="HKCU" "command"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="msnmsgr" "hkey"="HKCU" "command"="\"C:\\Programme\\MSN Messenger\\msnmsgr.exe\" /background" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="NeroCheck" "hkey"="HKLM" "command"="C:\\WINDOWS\\system32\\NeroCheck.exe" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCSuiteTrayApplication] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="LaunchApplication" "hkey"="HKLM" "command"="C:\\Programme\\Nokia\\Nokia PC Suite 6\\LaunchApplication.exe -startup" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PcSync] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="PcSync2" "hkey"="HKCU" "command"="C:\\Programme\\Nokia\\Nokia PC Suite 6\\PcSync2.exe /NoDialog" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RAM_DEFRAG] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="" "hkey"="HKLM" "command"="" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SIM] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="sim" "hkey"="HKCU" "command"="\"C:\\Programme\\SIM\\sim.exe\"" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="Skype" "hkey"="HKCU" "command"="\"C:\\Programme\\Skype\\Phone\\Skype.exe\" /nosplash /minimized" "inimapping"="0" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "system"="kdccl.exe" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks] "{AFC37E94-71A5-4E7B-9480-BCA74A5EFE39}"="" [HKEY_USERS\.default\software\microsoft\windows\currentversion\run] "CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE" [HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run] "CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE" [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "ClearRecentDocsOnExit"=dword:00000001 [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders] "SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll" [HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost] LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0 NetworkService REG_MULTI_SZ DnsCache\0\0 rpcss REG_MULTI_SZ RpcSs\0\0 imgsvc REG_MULTI_SZ StiSvc\0\0 termsvcs REG_MULTI_SZ TermService\0\0 HTTPFilter REG_MULTI_SZ HTTPFilter\0\0 DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0 [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{0e7c706a-0878-11dc-8081-00138f6a7319}] Shell\AutoRun\command G:\pushinst.exe -- End of ComboScan: finished at 2008-06-07 at 21:49:23 ------------------------ -------------------- |
|
|
07.06.2008, 21:50
Beitrag
#2
|
|
Ist unverzichtbar Gruppe: Mitglieder Beiträge: 4.246 Mitglied seit: 12.06.2004 Mitglieds-Nr.: 984 Betriebssystem: Windows 10 |
Hallo, r00t
1. Internet Explorer veraltet 2. Wo ist ein Antivirus Programm ich sehe keines 3. Du hast wie man sieht einen ungebetenen Gast. O4 - HKLM\..\Run: [Windows Update] C:\DOKUME~1\WindowsUpdate.exe Klick. Du solltest dir aber noch den Rat von Raman, anhören. |
|
|
08.06.2008, 07:43
Beitrag
#3
|
|
AV-Spezialist Gruppe: Mitarbeiter Beiträge: 2.935 Mitglied seit: 27.04.2003 Wohnort: Nordhorn Mitglieds-Nr.: 59 |
Du kannst die von Rios genannte Datei bei virustotal pruefen und schaue einmal, was sich in diesem Ordner befindet: C:\Programme\Tnacwjlfsuobdxk
-------------------- MfG Ralf
|
|
|
09.06.2008, 15:34
Beitrag
#4
|
|
Kennt sich hier aus Gruppe: Mitglieder Beiträge: 161 Mitglied seit: 09.08.2004 Mitglieds-Nr.: 1.319 |
Du kannst die von Rios genannte Datei bei virustotal pruefen und schaue einmal, was sich in diesem Ordner befindet: C:\Programme\Tnacwjlfsuobdxk hi sry für die späte antwort ... in dem ordner befindet sich nichts ... den hatte ich dann gelöscht und nochmal den pc im abgesicherem modus gescannt mit KAV ... mmhm paar sachen wurden gefunden sowie den "win32.buzus.cl in der windowsupdate.exe und in meinem icq den "email-wurm win32.bagle.hp" ... des komische an der sache der wurm war in einem crack den ich auch vor ein paar monaten benutzt habe nur hat ja nun mein KAV nur die datei angezeigt wo er drin war ... ich habe die datei benutzt ergo muss ich mich nun ja auch infiziert haben o_0 nunja nach dem komplett scann mein mien anti vir das alles sauber ist aber da ich hier im forum ja schon einiges gelesen hab würde ich ma so denken das dem nicht so ist -------------------- |
|
|
09.06.2008, 16:05
Beitrag
#5
|
|
AV-Spezialist Gruppe: Mitarbeiter Beiträge: 2.935 Mitglied seit: 27.04.2003 Wohnort: Nordhorn Mitglieds-Nr.: 59 |
Wenn der Bagle aktiv gewesen waere, haette dieser dein KAV und dein Antivir geloescht. Das haettest du schon mitbekommen!
-------------------- MfG Ralf
|
|
|
25.06.2008, 15:18
Beitrag
#6
|
|
Kennt sich hier aus Gruppe: Mitglieder Beiträge: 161 Mitglied seit: 09.08.2004 Mitglieds-Nr.: 1.319 |
hatte ganz vergessen mich herzlich zu bedanken ... sorry
immer wieder schön das einem hier so schnell geholfen wird ... weiter so <3 -------------------- |
|
|
Vereinfachte Darstellung | Aktuelles Datum: 03.06.2024, 22:08 |