Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Habe ich Haxdoor auf den PC ?

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 20.02.2006, 19:06   #1
viper04
 
Habe ich Haxdoor auf den PC ? - Standard

Habe ich Haxdoor auf den PC ?



Hallo,

mit XoftSpy habe ich folgendes in meinem PC endeckt

Haxdoor File Trojan C:\WINDOWS\system32\w32tm.exe High Threat

Es gibt doch unterschiedliche Haxdoor Varianten wie z.b Haxdoor-L usw.
Bei mir steht Haxdoor allein ohne Anhängung, ist es trotzdem eine Haxdoor.
Da ich nicht soviel Ahnung habe, habe ich HiJackThis Log-File angehängt.
Ich hoffe Ihr könnt mir helfen. Wie kann ich es los werden?


Logfile of HijackThis v1.99.1
Scan saved at 19:55:52, on 20.02.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spyware Doctor\swdoctor.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\devldr32.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Spyware Doctor\sdhelp.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\XoftSpy\XoftSpy.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\aaindirme\18.02.06\hijackthis_199\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.1und1.de/Herzlich_Willkommen/b1/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von 1 & 1 Internet AG
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box;<local>
O2 - BHO: My Search BHO - {014DA6C1-189F-421a-88CD-07CFE51CFF10} - C:\Programme\MySearch\bar\1.bin\S4BAR.DLL
O2 - BHO: MySearch Search Assistant BHO - {04079851-5845-4dea-848C-3ECD647AA554} - C:\Programme\MySearch\SrchAstt\1.bin\MYSRCHAS.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: eBay Toolbar Helper - {22D8E815-4A5E-4DFB-845E-AAB64207F5BD} - C:\Programme\eBay\eBay Toolbar2\eBayTB.dll
O2 - BHO: URLLink - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet7_22.dll
O2 - BHO: Peer2Mail Toolbar Helper - {4FB971C4-99FB-480d-BA3F-55B8263010FB} - C:\Programme\Peer2Mail Toolbar\v2.0.0.0\Peer2Mail_Toolbar.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\de\msntb.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: My Search Bar - {014DA6C9-189F-421a-88CD-07CFE51CFF10} - C:\Programme\MySearch\bar\1.bin\S4BAR.DLL
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\de\msntb.dll
O3 - Toolbar: eBay Toolbar - {92085AD4-F48A-450D-BD93-B28CC7DF67CE} - C:\Programme\eBay\eBay Toolbar2\eBayTB.dll
O3 - Toolbar: Peer2Mail Toolbar - {43F2A7F9-06F6-48a5-B0DC-8530BF29CE66} - C:\Programme\Peer2Mail Toolbar\v2.0.0.0\Peer2Mail_Toolbar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,ClientStartup -s
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: &eBay Search - res://C:\Programme\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Hijacked Internet access by New.Net
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.1und1.de/Herzlich_Willkommen/b1/
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9871FAF8-EC1F-4727-AFC3-606F4AE1587A}: NameServer = 192.168.0.1
O18 - Protocol: ms-its$renamed$ - {9D148291-B9C8-11D0-A4CC-0000F80149F6} - C:\WINDOWS\system32\itss.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Programme\Spyware Doctor\sdhelp.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe

Alt 21.02.2006, 05:38   #2
stupormundi
 
Habe ich Haxdoor auf den PC ? - Standard

Habe ich Haxdoor auf den PC ?



Servus!

Frag' mal Tante google nach der Datei --> siehe da die weiß ja wirklich etwas! Und da hast Du auch schon deine Antwort!

stupormundi
__________________

__________________

Alt 21.02.2006, 22:11   #3
viper04
 
Habe ich Haxdoor auf den PC ? - Standard

Habe ich Haxdoor auf den PC ?



@stupormundi

ich wollte wissen ob man aus dem Log es erkannen kann, dass man Haxdoor hat.

Für dein Antwort bedanke ich mich. Das Antwort ist fast wie ein Studium bis man alles durch und werstanden hat.

Kann jemand es genauer untersuchen

danke im voraus
__________________

Alt 23.02.2006, 05:34   #4
stupormundi
 
Habe ich Haxdoor auf den PC ? - Standard

Habe ich Haxdoor auf den PC ?



Servus, wieder!

Aus Deinem HJT-Log ist der Haxdoor-Befall nicht herauslesbar. Allerdings zeigt die von Dir zitierte Datei, wenn sie schon auf Deinem PC gefunden worden ist, dass dieser Bösewicht tatsächlich da gewesen sein muss!

Nicht jede Malware (eigentlich immer weniger) kann im HJT Log erkannt werden - HJT ist kein allgemein gültiges Diagnosetool mit abschließender Wahrheit, sondern nur ein beschränkt taugliches Hilfsmittel. Ein sauberes HJT Log bedeutet nicht zwangsläufig ein sauberes System.

Der Hinweis zum neu Aufsetzen kommt vom mir deswegen, weil es beim Befall mit einem sog. Backdoor-Trojaner (siehe dazu Cidres verlinkte Anleitung) die einzig sinnvolle Möglichkeit zum garantierten Bereinigen des Systems ist - vorausgesetzt, man macht es richtig (siehe auch Cidres Anleitung). In Deinem Fall ist keine weitere Info darüber vorhanden, wie und wann die Infektion stattgefunden hat, noch wie und ob überhaupt eine tatsächliche schädliche Akivität des Virus vorliegt oder vorgelegen hat - was in der Regel in den wenigsten Fällen zweifelsfrei nachgewiesen werden kann. Und wenn offensichtliche Spuren von Manipulation durch Dritte festgestellt werden können, ist es meist schon zu spät (Missbruch des eigenen Rechners für illegale/sittenwidrige Zwecke). Mit ein bisschen Geduld findest Du mittels Boardsuche einige Fälle hier im Board, welche schmerzhafte Erfahrungen (Erpressungen, staatsanwaltliche Ermittlungen, etc...) mit derartigen Schädlingen gemacht haben.
Also - zusammenfassen gesagt: In Deinem Log kann ich nichts Auffälliges erkennen. Die von Dir zitierte Datei gehört jedoch zu einer Haxdoor-Variante (siehe link). Daher - der allgemeinen Linie hier im board mit Überzeugung folgend - meint Rat, Dein System sofort vom Netz zu nehmen und neu aufzusetzen (nach Cidres Anleitung - siehe ebenfalls link).
Alles Gute, stupormundi
__________________
Unsichtbare Dateien suchen: Sehr gute Anleitung von Rene-gad:
WICHTIG: Alle aktiven links editieren (http-->h**p) und persönliche Informationen aus den Logfiles entfernen
Kein Support via PN - sorry!

Alt 23.02.2006, 21:04   #5
viper04
 
Habe ich Haxdoor auf den PC ? - Standard

Habe ich Haxdoor auf den PC ?



@stupormundi

danke für die ausführliche Antwort.

Ich habe inzwischen Sophos im abgesicherte Modus SAV32CLI gestartet, allerdings war das Antwort
"No viruses were discovered"

Anschliessend mit Spybot durchgechekt und DSO Exploit gefunden. Es waren 4 Einträge in Hkey user...... die alle habe ich im abgesicherte Modus gelöscht.

Dann neu gestartet wie üblich, Tune up click gemacht
Dann mit der XoftSpy nochmal gesucht, siehe hat nichts gefunden.

Ich glaube, dass es jetzt bereinigt ist.

Danke noch mal


Antwort

Themen zu Habe ich Haxdoor auf den PC ?
adobe, antivir, avg, bho, browser, dll, drivers, dsl, ebay, excel, explorer, google, hijack, hijackthis, homepage, internet, internet explorer, log-file, m.exe, monitor, my search, mysearch, pc tools spyware doctor, rundll, software, spyware, system, trojan, tuneup utilities, unknown file in winsock lsp, windows, windows xp, windows\system32\drivers



Ähnliche Themen: Habe ich Haxdoor auf den PC ?


  1. Haxdoor GJ1 bitte hilfe !
    Log-Analyse und Auswertung - 12.08.2009 (24)
  2. Hilfe!! BDS Haxdoor LJ1
    Log-Analyse und Auswertung - 15.03.2008 (39)
  3. passwortklau durch haxdoor :-(
    Plagegeister aller Art und deren Bekämpfung - 15.02.2008 (7)
  4. Haxdoor
    Plagegeister aller Art und deren Bekämpfung - 20.07.2007 (1)
  5. Backdoor Haxdoor
    Mülltonne - 23.05.2007 (2)
  6. WebHancer und Haxdoor.Fam
    Log-Analyse und Auswertung - 24.03.2007 (2)
  7. haxdoor.fam??
    Plagegeister aller Art und deren Bekämpfung - 18.09.2006 (2)
  8. BDS/Haxdoor.FE ????? Hilfe nötig
    Plagegeister aller Art und deren Bekämpfung - 15.05.2006 (6)
  9. BDS/Haxdoor.GJ.1
    Plagegeister aller Art und deren Bekämpfung - 30.04.2006 (2)
  10. BDS/Haxdoor.GJ.1?
    Mülltonne - 30.04.2006 (2)
  11. Backdoor.Win32.Haxdoor.gh
    Plagegeister aller Art und deren Bekämpfung - 10.02.2006 (4)
  12. Haxdoor Trojaner
    Plagegeister aller Art und deren Bekämpfung - 05.09.2005 (7)
  13. Trojaner Haxdoor.BGN
    Plagegeister aller Art und deren Bekämpfung - 22.07.2005 (1)
  14. Haxdoor-H
    Plagegeister aller Art und deren Bekämpfung - 31.03.2005 (2)
  15. backdoor.haxdoor problem
    Plagegeister aller Art und deren Bekämpfung - 24.03.2005 (1)
  16. escan hat haxdoor gefunden - help please
    Plagegeister aller Art und deren Bekämpfung - 05.02.2005 (10)
  17. Haxdoor und mehr
    Plagegeister aller Art und deren Bekämpfung - 26.01.2005 (1)

Zum Thema Habe ich Haxdoor auf den PC ? - Hallo, mit XoftSpy habe ich folgendes in meinem PC endeckt Haxdoor File Trojan C:\WINDOWS\system32\w32tm.exe High Threat Es gibt doch unterschiedliche Haxdoor Varianten wie z.b Haxdoor-L usw. Bei mir steht Haxdoor - Habe ich Haxdoor auf den PC ?...
Archiv
Du betrachtest: Habe ich Haxdoor auf den PC ? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.