| |
| |||||||
Log-Analyse und Auswertung: StondWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML |
 |
05.03.2005, 02:04
| #1 |
| |  Stond brauche nochmal ne auswertung : Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe E:\Programme\AVPersonal\AVGUARD.EXE E:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\bilankara.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Java\jre1.5.0_01\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\System32\SystemReg166.exe C:\WINDOWS\System32\MSWSCK32.exe C:\WINDOWS\System32\winsi32.exe C:\WINDOWS\System32\crscs.exe C:\WINDOWS\System32\MSWSCK32.exe E:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\MSWSCK32.exe c:\MSBackgrd.exe E:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\Tobias\LOKALE~1\Temp\Rar$EX14.237\HijackThis.exe O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - C:\WINDOWS\EliteToolBar\EliteToolBar version 59.dll O2 - BHO: &EliteSideBar - {ED103D9F-3070-4580-AB1E-E5C179C1AE41} - C:\WINDOWS\EliteSideBar\EliteSideBar 08.dll O3 - Toolbar: &EliteBar - {825CF5BD-8862-4430-B771-0C15C5CA8DEF} - C:\WINDOWS\EliteToolBar\EliteToolBar version 59.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [AVGCtrl] "E:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe O4 - HKLM\..\Run: [WinampAgent] E:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Registry System166 Checkup Monitor] SystemReg166.exe O4 - HKLM\..\Run: [Windows 32Bit Fixer] bilankara.exe O4 - HKLM\..\Run: [Microsoft Winsocks 32 Controller] MSWSCK32.exe O4 - HKLM\..\Run: [Window_Protect] winsi32.exe O4 - HKLM\..\Run: [PCprot] crscs.exe O4 - HKLM\..\RunServices: [Registry System166 Checkup Monitor] SystemReg166.exe O4 - HKLM\..\RunServices: [Windows 32Bit Fixer] bilankara.exe O4 - HKLM\..\RunServices: [Microsoft Winsocks 32 Controller] MSWSCK32.exe O4 - HKLM\..\RunServices: [Window_Protect] winsi32.exe O4 - HKLM\..\RunServices: [PCprot] crscs.exe O4 - HKLM\..\RunOnce: [Windows 32Bit Fixer] bilankara.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Windows 32Bit Fixer] bilankara.exe O4 - HKCU\..\Run: [Microsoft Winsocks 32 Controller] MSWSCK32.exe O4 - HKCU\..\Run: [Window_Protect] winsi32.exe O4 - HKCU\..\Run: [Registry System166 Checkup Monitor] SystemReg166.exe O4 - HKCU\..\RunOnce: [Windows 32Bit Fixer] bilankara.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone O16 - DPF: v3cab - http://searchmiracle.com/cab/8.cab O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/CD...ridge-c267.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{7982F6CE-A07B-4A81-9B11-3D05C13282CC}: NameServer = 217.237.151.225 217.237.150.225 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - E:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - E:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe |
|
05.03.2005, 02:15
| #2 |
| Moderator, a.D.   | Stond Da Du ja noch im Formatieren Übung hast, kannst Du es nochmal machen (wenn es wieder der gleiche Rechner ist). Anleitung poste ich nicht nochmal, die wurde Dir im letzten Thread schon gegeben.
__________________"C:\WINDOWS\System32\SystemReg166.exe" dürfte nämlich RBot sein. Klarheit erhältst Du mit escan. http://www.trojaner-board.de/42731-escan-anleitung.html Wahrscheinlich ist Dein System immer noch nicht gepatcht, da hilft auch nicht das Weglassen der ersten Zeilen des Logs. Warum hast Du Dich nicht an die Anleitung gehalten, obwohl man Dich extra darauf hingewiesen hat? Gruß  Yopie |
|
05.03.2005, 02:28
| #3 |
 | Stond Hallo stond,
__________________loade bitte folgende Dateien: C:\WINDOWS\System32\bilankara.exe C:\WINDOWS\System32\SystemReg166.exe C:\WINDOWS\System32\MSWSCK32.exe C:\WINDOWS\System32\winsi32.exe C:\WINDOWS\System32\crscs.exe c:\MSBackgrd.exe zu einer weiteren Analyse hier up: http://www.malwareupload.com Erläuterungen dartus |
|
05.03.2005, 02:50
| #4 |
| | Stond die ersten 4 dateien befinden sich gar nicht auf dem rechner und die letzte datei erfüllt nicht die anforderungen ... @ yopie : ich hab die anleitung befolgt , zumindest soweit wie ich sie verstanden hab , ich hab meinen rechner mit allem möglichen antivir , spy-programmen zugepackt . Was ist es denn diesmal , wieder das selbe ?? des weiteren ist es für mich unheimlich schwer momentan zu handeln , da mein internet so gut wie gar nicht reagiert , um das hier zu posten brauch ich fast ne halbe stunde |
|
05.03.2005, 02:56
| #5 |
| | Stond Hallo Stond, mach mal dies, dann wirst Du die auch finden: Öffne den Explorer-->Extras-->Ordneroptionen-->Ansicht-->Systendateien ausblenden "häckchen weg und "Alle Dateien und Ordner Anzeigen" anklicken Die Datei, die den Anforderungen nicht entspricht, pack sie mit Winrar und verseh sie mit einem Passwort und schick es mit dem Passwort und verweis auf diesem Thread an: partytime-germany.ice@web.de dartus P.S. Dein Internet läuft schlecht, weil eben diese Porgramme nebenbei auch arbeiten aber für andere. |
|
05.03.2005, 03:43
| #6 |
| | Stond nix zu machen ... beim hochlade-versuch reagiert nix mehr .. |
|
06.03.2005, 13:59
| #7 |
| | Stond Hi, habe MSWSCK32.exe mal untersucht - ist ein Trojaner/Wurm der sich auf XP Rechnern heimisch fühlt. Der Rechner ist beim Surfen eines Bekannten mit BlueScreen abgeschmiert und nach dem Booten war die EXE drauf. (nutzt also wieder einen StackOverflow) Die Exe liegt im Windows/system32 Verzeichnis und ist als Systemdatei markiert - zusätzlich mit Dateiattribute Hide versteckt. Nach dem Starten von MSWSCK32.exe sendet sie einen Broadcast (255.255.255.255) auf Port 37773 durch die Gegend. Arbeitet warscheinlich als Wurm und sendet sich wieder weiter. Auf dem verseuchten Rechner waren nebenbei auch so witzige executables wie NavscanAP.exe bzw. W32Mon.exe unter c:\ zu finden. Vom Absturzzeitpunkt blieb auch eine Datei c.bat (ebenfalls in System32) auf dem Rechner zurück. Über den Inhalt der Datei ".pif" wurde ein FTP Transfer auf 213.7.17.62 auf Port 21781 durchgeführt. Da hat sich ja jemand ziemlich viel Mühe gemacht - werd jetzt mal anfangen zu debuggen was hier noch so alles los war. Zum entfernen: Registry nach MSWSCK32.exe durchsuchen (ist mehrfach bei Run eingetragen) und löschen. Datei unter windows/system32 ebenfalls löschen. Gruß foobar |
|
| Themen zu Stond |
| antivir, antivir update, auswertung, avgnt.exe, bho, button, computer, dateien, firefox, hijack, internet, java, messenger, microsoft, monitor, mozilla, mozilla firefox, nvcpl.dll, nvidia, programme, registry, rundll, rundll32.exe, sun java, system, system32, temp, update, windows, winrar |
