Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: HILFE!!!!!!!!! Troj/Rootkit-W

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 06.06.2005, 21:45   #1
tivo
 
HILFE!!!!!!!!! Troj/Rootkit-W - Standard

HILFE!!!!!!!!! Troj/Rootkit-W



Hallo,
bräuchte mal gringend Hile. Habe den obigen Trojaner auf meinem Rechner, der von sophos als Troj/Rootkit-W erkannt wird. ich kann ihn zwar löschen, aber er stellt sich sofort unter dem Eintrag rdriv.sys wieder her. Habe nach der Anleitung hier im Forum HijackThis installiert und folgendes Ergebnis erhalten:

Logfile of HijackThis v1.99.1
Scan saved at 22:31:15, on 06.06.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Web_Rebates\WebRebates0.exe
C:\temp\msbb.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\Media Access\MediaAccK.exe
C:\Program Files\Internet Optimizer\optimize.exe
C:\Program Files\Media Access\MediaAccess.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\sahagent-cdt1004.exe
C:\Programme\ISTsvc\istsvc.exe
C:\Programme\BullsEye Network\bin\bargains.exe
C:\WINDOWS\System32\msxct.exe
C:\Programme\Trust\3011A WIRELESS OPTICAL DESKSET\Keyboard\kbdap32a.EXE
C:\Programme\Trust\3011A WIRELESS OPTICAL DESKSET\Mouse\mouse32a.exe
C:\WINDOWS\System32\MSASP32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\PROGRA~1\ezula\mmod.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32\MSASP32.exe
C:\Programme\Sophos\AutoUpdate\ALMon.exe
C:\Programme\Belkin\Belkin 802.11g Wireless PCI Card Configuration Utility\utility.exe
C:\Programme\Web_Rebates\WebRebates1.exe
C:\Programme\Belkin\Bluetooth Software\BTTray.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\WINDOWS\System32\PackethSvc.exe
C:\Programme\Belkin\Bluetooth Software\bin\btwdins.exe
C:\Programme\RWTH Aachen\Cisco VPN Client\cvpnd.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
c:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe
c:\Programme\Sophos\AutoUpdate\ALsvc.exe
C:\WINDOWS\system32\usrbridg.exe
C:\Programme\Oleco\_oleco.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\WINDOWS\System32\nvrshe.exe
C:\Dokumente und Einstellungen\e Dateien\\Downloads\hijackthis\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://h--p://www.couldnotfind.com/s...unt_id=1000698
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem220.dll
O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - C:\WINDOWS\EliteToolBar\EliteToolBar version 60.dll
O2 - BHO: &EliteSideBar - {ED103D9F-3070-4580-AB1E-E5C179C1AE41} - C:\WINDOWS\EliteSideBar\EliteSideBar 08.dll
O3 - Toolbar: &EliteBar - {825CF5BD-8862-4430-B771-0C15C5CA8DEF} - C:\WINDOWS\EliteToolBar\EliteToolBar version 60.dll
O3 - Toolbar: TopText - {55910916-8B4E-4C1E-9253-CCE296EA71EB} - C:\PROGRA~1\eZula\eabh.dll
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Gator] "C:\Programme\Gator.com\Gator\Gator.exe"
O4 - HKLM\..\Run: [wvsvc] wvsvc.exe
O4 - HKLM\..\Run: [Windows Update] C:\WINDOWS\System32\jzrjmnr.exe
O4 - HKLM\..\Run: [WebRebates0] "C:\Programme\Web_Rebates\WebRebates0.exe"
O4 - HKLM\..\Run: [msbb] c:\temp\msbb.exe
O4 - HKLM\..\Run: [uzwheivzgzh] C:\WINDOWS\System32\peipxh.exe
O4 - HKLM\..\Run: [fsxsjuj] C:\WINDOWS\fsxsjuj.exe
O4 - HKLM\..\Run: [conscorr] C:\WINDOWS\conscorr.exe
O4 - HKLM\..\Run: [Power Scan] C:\Programme\Power Scan\powerscan.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [satmat] C:\WINDOWS\satmat.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [MS MSN Menssenger 7.0] MSMSN7.exe
O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe
O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
O4 - HKLM\..\Run: [SAHBundle] C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\sahagent-cdt1004.exe run
O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [switp] C:\WINDOWS\switpa.exe
O4 - HKLM\..\Run: [BullsEye Network] C:\Programme\BullsEye Network\bin\bargains.exe
O4 - HKLM\..\Run: [msxct] msxct.exe
O4 - HKLM\..\Run: [OFFICEKB] C:\Programme\Trust\3011A WIRELESS OPTICAL DESKSET\Keyboard\kbdap32a.EXE
O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Programme\Trust\3011A WIRELESS OPTICAL DESKSET\Mouse\mouse32a.exe
O4 - HKLM\..\Run: [MS Auto-IPSec Protection] MSASP32.exe
O4 - HKLM\..\RunServices: [wvsvc] wvsvc.exe
O4 - HKLM\..\RunServices: [MS MSN Menssenger 7.0] MSMSN7.exe
O4 - HKLM\..\RunServices: [MS Auto-IPSec Protection] MSASP32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [eZmmod] C:\PROGRA~1\ezula\mmod.exe
O4 - HKCU\..\Run: [msvcp60] C:\WINDOWS\System32\msvcp60.exe
O4 - HKCU\..\Run: [nvrshe] C:\WINDOWS\System32\nvrshe.exe
O4 - HKCU\..\Run: [wvsvc] wvsvc.exe
O4 - HKCU\..\Run: [winpack] C:\WINDOWS\System32\winpack.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [MS MSN Menssenger 7.0] MSMSN7.exe
O4 - HKCU\..\Run: [MS Auto-IPSec Protection] MSASP32.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: AGSatellite.lnk = ?
O4 - Global Startup: AutoUpdate Monitor.lnk = C:\Programme\Sophos\AutoUpdate\ALMon.exe
O4 - Global Startup: Belkin 802.11g Wireless PCI Card Configuration Utility.lnk = ?
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: RWTH Aachen Cisco VPN Client.lnk = C:\Programme\RWTH Aachen\Cisco VPN Client\vpngui.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\Belkin\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Web Rebates - file://C:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.htm
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Programme\SideFind\sidefind.dll
O9 - Extra button: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe (file missing)
O9 - Extra button: Translate - {87680762-4A83-11B4-885B-0000E8ECA40F} - C:\Programme\LingoCom\Translator.lnk
O9 - Extra 'Tools' menuitem: Translator - {87680762-4A83-11B4-885B-0000E8ECA40F} - C:\Programme\LingoCom\Translator.lnk
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\EROProj.dll
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Belkin\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Belkin\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O15 - Trusted Zone: h--p://ny.contentmatch.net (HKLM)
O15 - ProtocolDefaults: 'h--p' protocol is in My Computer Zone, should be Internet Zone
O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} (IELoaderCtl Class) - h--p://install.global-netcom.de/ieloader.cab
O16 - DPF: {00000000-d9e3-4bc6-a0bd-3d0ca4be5271} -
O16 - DPF: {00000012-890E-4AAC-AFD9-EFF6954A34DD} (PBSys32Obj Class) -
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://h--p://static.windupdates.com...ridge-c267.cab
O16 - DPF: {1D0D9077-3798-49BB-9058-393499174D5D} - file://c:\counter.cab
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} (Fun Web Products Installer Start) - http://h--p://ak.imgfarm.com/images/...tup1.0.0.8.cab
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://h--p://www.xxxtoolbar.com/ist...06_regular.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://h--p://v5.windowsupdate.micro...?1098123843300
O16 - DPF: {771A1334-6B08-4A6B-AEDC-CF994BA2CEBE} (Installer Class) - http://h--p://www.ysbweb.com/ist/sof...sb_regular.cab
O16 - DPF: {C7932801-AF0C-11D6-8137-0050DA5F0293} (RdxIE Class) - h--p://www.grokster.com/rdx/RdxIE.cab
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://stardialer.de/install/StarInstall.ocx
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://h--p://tools.ebayimg.com/eps/...trol_v1-32.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4BB7F6D6-3671-4BC3-B38C-6A4005C1527E}: NameServer = 195.182.110.132 62.134.11.4
O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS\System32\btxppanel.dll
O23 - Service: AOL Instant Messanger (AIM) - Unknown owner - C:\WINDOWS\aim.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation - C:\Programme\Belkin\Bluetooth Software\bin\btwdins.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\RWTH Aachen\Cisco VPN Client\cvpnd.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: Hardware Clock Driver (hwclock) - Unknown owner - C:\WINDOWS\System32\hwclock.exe (file missing)
O23 - Service: Norman NJeeves - Unknown owner - C:\NORMAN\nvc\BIN\NJEEVES.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Virtual NIC Service (PackethSvc) - America Online, Inc. - C:\WINDOWS\System32\PackethSvc.exe
O23 - Service: Sophos Anti-Virus Statusreporter (SAVAdminService) - Sophos plc - c:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe
O23 - Service: Sophos Anti-Virus (SAVService) - Sophos plc - c:\Programme\Sophos\Sophos Anti-Virus\SavService.exe
O23 - Service: Smart Card Client (SCardClnt) - Unknown owner - C:\WINDOWS\System32\SCardClnt.exe (file missing)
O23 - Service: Sophos AutoUpdate Service - Sophos plc - c:\Programme\Sophos\AutoUpdate\ALsvc.exe
O23 - Service: IrBridge User-Level Interface (USRBRIDG) - Extended Systems, Inc. - C:\WINDOWS\system32\usrbridg.exe


Kann mir da jemand bei der auswertung helfen?


Danke vielmals im Vorraus
Weiß echt nicht mehr weiter.

Geändert von tivo (06.06.2005 um 21:54 Uhr)

Alt 06.06.2005, 21:55   #2
chaosman
 
HILFE!!!!!!!!! Troj/Rootkit-W - Standard

HILFE!!!!!!!!! Troj/Rootkit-W



@tivo
da kann man nur ein ding machen, system sofort vom netz nehmen und neuaufsetzen.
du hast soviel im system
http://www.sophos.de/virusinfo/analyses/w32rbotnf.html

mit diesen hast du auch schon kontakt gehabt
http://www.sophos.de/virusinfo/analy...2sdbotbpz.html

also, man kann dir nur raten neuaufzusetzen
hier eine anleitung
http://www.trojaner-board.de/showpos...28&postcount=2


sry
chaosman
__________________

__________________

Antwort

Themen zu HILFE!!!!!!!!! Troj/Rootkit-W
bho, cisco vpn, computer, dll, drivers, einstellungen, excel, explorer, file missing, hijack, hijackthis, hilfe!!, hilfe!!!, icq, instant messanger, internet, internet explorer, löschen, microsoft, norman, nvidia, programme, rundll, senden, software, system, temp, trojaner, urlsearchhook, windows, windows xp



Ähnliche Themen: HILFE!!!!!!!!! Troj/Rootkit-W


  1. Troj.TR/Crypt.Zpack.151493+Troj.TR/Crypt.Xpack.138980 entfernen+daten entschlüsseln
    Log-Analyse und Auswertung - 27.08.2015 (27)
  2. Troj/ExpJS-EG / Troj/ZbotMem-B / Trojan.Phex.THAGen6 - BA-BA-BA-BA-BANKÜBERFALL 2012
    Plagegeister aller Art und deren Bekämpfung - 19.08.2012 (19)
  3. TROJ ZACCES64.SM + Backdoor.Agent + Rootkit.0Access + kaputte Win Firewall
    Plagegeister aller Art und deren Bekämpfung - 06.03.2012 (6)
  4. Wie bekomme ich den Trojaner Troj/ Agent - IJF vom Rechner los? Bitte um Hilfe
    Mülltonne - 11.12.2008 (3)
  5. Unwissende sucht Hilfe bei Troj.Spy.W32.Agent.pn
    Log-Analyse und Auswertung - 19.11.2008 (0)
  6. Dringend Hilfe gesucht - Trojan horse Downloader.Tiny., Troj. Pferde
    Log-Analyse und Auswertung - 17.07.2008 (1)
  7. Win 32 rootkit gen Hilfe!!!
    Log-Analyse und Auswertung - 21.05.2008 (27)
  8. Bitte um Hilfe - ich habe wohl 15 vers. Troj. on board
    Log-Analyse und Auswertung - 24.08.2006 (3)
  9. Troj/FakeVir-M ich bekomme ih nicht weg, bitte dringend um Hilfe!
    Log-Analyse und Auswertung - 04.06.2006 (4)
  10. troj/taladra-f BackDoor ???? Hilfe
    Plagegeister aller Art und deren Bekämpfung - 21.12.2005 (9)
  11. Hilfe, es geht garnichts mehr, vermutlich Troj/Spyjack-E
    Plagegeister aller Art und deren Bekämpfung - 18.09.2005 (2)
  12. Hilfe mit escan bei "Entfernung des Trojaners Smitfraud.c aka Troj/FakeAle-c" ,
    Plagegeister aller Art und deren Bekämpfung - 19.05.2005 (3)
  13. mIRC wurm und Troj LADDER.A /Troj RAS.DLDR
    Plagegeister aller Art und deren Bekämpfung - 24.12.2004 (1)
  14. Brauche Hilfe mit Troj-agent.ac!!!
    Log-Analyse und Auswertung - 06.08.2004 (1)
  15. Brauche Hilfe bei Entfernung von Troj. & Würmer
    Plagegeister aller Art und deren Bekämpfung - 16.04.2004 (14)
  16. benötige hilfe : "Troj/StartPg-BG "
    Plagegeister aller Art und deren Bekämpfung - 12.03.2004 (8)
  17. TROJ PROCKILLA / TROJ TARNO.A
    Plagegeister aller Art und deren Bekämpfung - 06.01.2004 (3)

Zum Thema HILFE!!!!!!!!! Troj/Rootkit-W - Hallo, bräuchte mal gringend Hile. Habe den obigen Trojaner auf meinem Rechner, der von sophos als Troj/Rootkit-W erkannt wird. ich kann ihn zwar löschen, aber er stellt sich sofort unter - HILFE!!!!!!!!! Troj/Rootkit-W...
Archiv
Du betrachtest: HILFE!!!!!!!!! Troj/Rootkit-W auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.