Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Haxdoor GJ1 bitte hilfe !

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 04.06.2006, 23:12   #1
LaVida
 
Haxdoor GJ1 bitte hilfe ! - Ausrufezeichen

Haxdoor GJ1 bitte hilfe !



Hallo,

Aus unerklärlichen Gründen habe ich diese Backdoor Programm auf dem Pc, was eigentlich gar nicht sein kann da ich meinen PC erst heute morgen neu gemacht habe?

Bitte um schnelle Hilfe hier der HijackThis scan :

Logfile of HijackThis v1.99.1
Scan saved at 00:10:25, on 05.06.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\WINDOWS\System32\cisvc.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\cidaemon.exe
C:\WINDOWS\system32\NOTEPAD.EXE
E:\Programme\Winamp\winampa.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
E:\Programme\Winamp\Winamp.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Messenger\msmsgs.exe
C:\Dokumente und Einstellungen\LaVida2\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WinampAgent] E:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\RunOnce: [WMC_RebootCheck] C:\WINDOWS\inf\unregmp2.exe /FixUps
O4 - HKCU\..\Run: [SpybotSD TeaTimer] E:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - HKCU\..\RunOnce: [MPlayer2_FixUp] C:\WINDOWS\inf\unregmp2.exe /Fixups
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/0494fe44eae8a4d16821/netzip/RdxIE601_de.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{16F508A8-7F5B-4764-973F-E140C51DF1E9}: NameServer = 192.168.1.1,212.185.248.116
O17 - HKLM\System\CS1\Services\Tcpip\..\{16F508A8-7F5B-4764-973F-E140C51DF1E9}: NameServer = 192.168.1.1,212.185.248.116
O17 - HKLM\System\CS2\Services\Tcpip\..\{16F508A8-7F5B-4764-973F-E140C51DF1E9}: NameServer = 192.168.1.1,212.185.248.116
O20 - Winlogon Notify: scsi2usb - C:\WINDOWS\SYSTEM32\scsi2usb.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

LG LaVida

Alt 04.06.2006, 23:37   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Haxdoor GJ1 bitte hilfe ! - Standard

Haxdoor GJ1 bitte hilfe !



So unerklärlich ist das garnicht. Du hast ein ungepatchtes System.
Zitat:
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Du hast, wie ich das sehe auch einen Router, wie wurde der konfiguriert?

Zitat:
O20 - Winlogon Notify: scsi2usb - C:\WINDOWS\SYSTEM32\scsi2usb.dll
O4 - HKCU\..\RunOnce: [MPlayer2_FixUp] C:\WINDOWS\inf\unregmp2.exe /Fixups
Verdächtige Einträge.
__________________

__________________

Alt 04.06.2006, 23:43   #3
LaVida
 
Haxdoor GJ1 bitte hilfe ! - Standard

Haxdoor GJ1 bitte hilfe !



Hey ...

O20 - Winlogon Notify: scsi2usb - C:\WINDOWS\SYSTEM32\scsi2usb.dll da war auch die ganze zeit die meldung glaube ich ...


Wie soll denn der Router konfiguriert sein?
Firewall ist aktiviert... 2 pcs sind dran??

Alles andere ist clean aufm pc.. hab ich grad getestet nur im Windows Ordner befindet sich was ... Was kann ich tun?

MfG,
__________________

Alt 04.06.2006, 23:48   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Haxdoor GJ1 bitte hilfe ! - Standard

Haxdoor GJ1 bitte hilfe !



Ein Paketfilter (du nennst ihn "Firewall") bringt dir nichts, wenn dieser schlecht konfiguriert ist und/oder das BS ungepatcht.

=> C:\WINDOWS\SYSTEM32\scsi2usb.dll

Diese Datei bitte mal bei Virustotal auswerten lassen und Ergebnis posten.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 05.06.2006, 00:03   #5
LaVida
 
Haxdoor GJ1 bitte hilfe ! - Standard

Haxdoor GJ1 bitte hilfe !



Wenn Virustotal das ist was ich denke, dann ist es die Page virustotal.com dieser onlinescan... die Page ist momenta off.

=> C:\WINDOWS\SYSTEM32\scsi2usb.dll

dort befindet sich jedoch sicher ein Trojaner und ein Backdoor bla drin.

Ich glaube ich weiß woher der Virus stammt:

rollertuningpage.de -> Nicht drauf gehen, aber ein Freund meinte, dass er dort auch eine Trojanermeldung hatte wo er auf die Page gehen wollte. Kann man das irgendwie überprüfen, ohne dass du den Trojaner/Backdoor aufm Pc hast?

bei ihm heißt er :
svj.exe ist er und heißt tr/dldr.ha.bg.202.F

habe gerade AntiVir runtergemacht weil jede sekune dieser Ton kam und das auch wo das programm gar nicht geöffnet war.

MfG,
LaVida


Alt 05.06.2006, 00:05   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Haxdoor GJ1 bitte hilfe ! - Standard

Haxdoor GJ1 bitte hilfe !



http://www.virustotal.com/vt/
Da auswerten lassen die Datei.
__________________
--> Haxdoor GJ1 bitte hilfe !

Alt 05.06.2006, 00:12   #7
LaVida
 
Haxdoor GJ1 bitte hilfe ! - Standard

Haxdoor GJ1 bitte hilfe !



Zitat:
Zitat von cosinus
http://www.virustotal.com/vt/
Da auswerten lassen die Datei.
Sorry, aber bei mir ist die Seite off!

MfG,

sowohl mit Firefox als auch Inet Explorer

Alt 05.06.2006, 00:24   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Haxdoor GJ1 bitte hilfe ! - Standard

Haxdoor GJ1 bitte hilfe !



Da scheint noch mehr im Argen zu sein. Öffne doch mal die Datei
c:\windows\system32\drivers\etc\host
mit dem Editor und poste dessen Inhalt.
Die Datei C:\WINDOWS\SYSTEM32\scsi2usb.dll kannst du mir im passwortgeschützten Archiv mailen.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 05.06.2006, 00:31   #9
LaVida
 
Haxdoor GJ1 bitte hilfe ! - Standard

Haxdoor GJ1 bitte hilfe !



# Copyright (c) 1993-1999 Microsoft Corp.
#
# Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP
# für Windows 2000 verwendet wird.
#
# Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen.
# Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP-
# Adresse sollte in der ersten Spalte gefolgt vom zugehörigen
# Hostnamen stehen.
# Die IP-Adresse und der Hostname müssen durch mindestens ein
# Leerzeichen getrennt sein.
#
# Zusätzliche Kommentare (so wie in dieser Datei) können in
# einzelnen Zeilen oder hinter dem Computernamen eingefügt werden,
# aber müssen mit dem Zeichen '#' eingegeben werden.
#
# Zum Beispiel:
#
# 102.54.94.97 rhino.acme.com # Quellserver
# 38.25.63.10 x.acme.com # x-Clienthost

127.0.0.1 localhost



Emh Die Datei scsi2usb.dll befindet sich nicht im System 32 Ordner? Jetzt versteh ich nichts mehr?

Alt 05.06.2006, 01:10   #10
LaVida
 
Haxdoor GJ1 bitte hilfe ! - Standard

Haxdoor GJ1 bitte hilfe !



ach..


Ich mach ihn einfach nochmal neu, ist eh noch nicht so viel drauf.

Aber danke für deine Hilfe und meidet rollertuningpage.de :P

MfG,

Alt 07.07.2006, 23:09   #11
hunter7
 
Haxdoor GJ1 bitte hilfe ! - Icon26

Haxdoor GJ1 bitte hilfe !



das habe ich gefunden in w2000 auf meinem Rechner:

scsi2usb

setzt sich vor hosts-file und nameserver und leitet gewisse adressen um auf den eigenen rechner,
z.b. bei ping, nicht aber bei nslookup.
Betroffen: ...symantec.com
...kaspersky.com
usw.

scheint zumindest Teil der Abwehrstrategie eines Virus gegen
Antiviren Programmupdate zu sein, vielleicht auch mehr.

excel startet nicht, outlook express crasht

die meisten Control-panel funktionen starten nicht

das problem tritt erst auf, wenn der rechner einmal ein Netz gesehen hat und TCP/IP verwendet wird.

Safe mode und safe mode mit networking zeigen das Problem NICHT.

Entfernung:
Staart im Safe mode, dann

registry eintrag total entfernen hklm/..../winlogon/Notify/scsi2usb

ACHTUNG die Datei scsi2usb.dll ist unter Windows NICHT sichtbar, auch nicht mit attrib.exe
und nicht mit cmd und nicht im explorer, auch wenn man alles sichtbar macht, was möglich ist!

System von CD booten, recovery console aufrufen,

cd winnt
cd system32
del scsi2usb.dll

Bei mir hat das gereicht!


Sowas ist leider möglich, weil das Windows so unauber konstruiert ist.
Das ruft Leute auf den Plan, die nichts Gescheiteres zu tun haben, als
ihre kümmerliche Intelligenz zum Bau solcher Unsinnigkeiten zu
verwenden....

Resümee:
Ich stelle jetzt definitiv meine produktiven Rechner auf die Linux-Distributiom
"ubuntu" um, und verwende Windows nurmehr zum Testen.

Das ist billiger und stabiler, und das "Open Office" gefällt mir auch
besser...

Alt 10.07.2006, 13:22   #12
hunter7
 
Haxdoor GJ1 bitte hilfe ! - Standard

Haxdoor GJ1 bitte hilfe !



Nochmal zur letzten Nachricht, diese wurde nicht vollständig übertragen.
Mittlerweile ist der Trojaner identifiziert:

Trojan-Spy.Win32.Goldun.ku

gefunden in w2000

scsi2usb

setzt sich vor hosts-file und nameserver und leitet gewisse adressen um auf den eigenen rechner,
z.b. bei ping, nicht aber bei nslookup.
Betroffen: ...symantec.com
...kaspersky.com
usw.

excel startet nicht, outlook express crasht

die meisten Control-panel funktionen starten nicht

das problem tritt erst auf, wenn der rechner einmal ein Netz gesehen hat und TCP/IP verwendet wird.

Safe mode und safe mode mit networking haben das Problem NICHT.

Entfernung:

registry eintrag total entfernen hklm....winlogon/Notify/scsi2usb

ACHTUNG die Datei scsi2usb.dll ist unter Windows NICHT sichtbar, auch nicht mit attrib.exe
und nicht mit cmd und nicht im explorer, auch wenn man alles sichtbar macht, was geht!

System von CD booten, recovery console aufrufen,

cd winnt
cd system32
del scsi2usb.dll

Bei mir hat das gereicht!

Alt 10.07.2006, 13:29   #13
Wildone
 
Haxdoor GJ1 bitte hilfe ! - Standard

Haxdoor GJ1 bitte hilfe !



Hallo,
Zitat:
Entfernung:

registry eintrag total entfernen hklm....winlogon/Notify/scsi2usb

ACHTUNG die Datei scsi2usb.dll ist unter Windows NICHT sichtbar, auch nicht mit attrib.exe
und nicht mit cmd und nicht im explorer, auch wenn man alles sichtbar macht, was geht!

System von CD booten, recovery console aufrufen,

cd winnt
cd system32
del scsi2usb.dll
Entfernung:
nur möglich durch formatieren und Neuaufsetzen des Systems. Weil bei Backdoorbefall das System nicht mehr vertrauenswürdig ist, und nur weil keine Symptome mehr da sind, heißt das noch lange nicht das alles beseitigt wurde, einiges läuft viel lieber ganz leise im Hintergrund mit...
Und da Haxdoor normalerweise auch mit Rootkits (selbst MS steht auf dem Standpunkt "Rootkits mean you must nuke your machine") arbeitet ist ein Neuaufsetzen sogar aus zwei Gründen unumgänglich.


Grüße Wildone

Alt 19.07.2006, 06:40   #14
eiti
 
Haxdoor GJ1 bitte hilfe ! - Standard

Haxdoor GJ1 bitte hilfe !



Zitat:
Zitat von LaVida
rollertuningpage.de -> Nicht drauf gehen, aber ein Freund meinte, dass er dort auch eine Trojanermeldung hatte wo er auf die Page gehen wollte. Kann man das irgendwie überprüfen, ohne dass du den Trojaner/Backdoor aufm Pc hast?


bestätige ich hiermit, diese seite ist verseucht und mit verbreiter dieses Trojaners.

Alt 19.07.2006, 11:20   #15
Yopie
Moderator, a.D.
 
Haxdoor GJ1 bitte hilfe ! - Standard

Haxdoor GJ1 bitte hilfe !



Zitat:
Zitat von eiti
bestätige ich hiermit, diese seite ist verseucht und mit verbreiter dieses Trojaners.
So ganz ohne Zutun oder Fehlverhalten des Nutzers aber bestimmt nicht.

Gruß
Yopie

Antwort

Themen zu Haxdoor GJ1 bitte hilfe !
antivir, avira, backdoor, bho, dateien, desktop, einstellungen, explorer, hijack, hijackthis, hotkey, internet, internet explorer, messenger, microsoft, neu, programm, programme, scan, schnelle hilfe, software, system, usb, windows, windows xp



Ähnliche Themen: Haxdoor GJ1 bitte hilfe !


  1. Generelle Fragen zu BDS/Haxdoor.GJ.1
    Mülltonne - 20.05.2008 (5)
  2. Hilfe!! BDS Haxdoor LJ1
    Log-Analyse und Auswertung - 15.03.2008 (39)
  3. Haxdoor
    Plagegeister aller Art und deren Bekämpfung - 20.07.2007 (1)
  4. Backdoor Haxdoor
    Mülltonne - 23.05.2007 (2)
  5. WebHancer und Haxdoor.Fam
    Log-Analyse und Auswertung - 24.03.2007 (2)
  6. Hilfe! Haxdoor und Goldun tummeln sich auf meinem Rechner
    Log-Analyse und Auswertung - 16.10.2006 (1)
  7. haxdoor.fam??
    Plagegeister aller Art und deren Bekämpfung - 18.09.2006 (2)
  8. Backdoor.Win32.Haxdoor.jb
    Plagegeister aller Art und deren Bekämpfung - 18.06.2006 (1)
  9. BDS/Haxdoor.FE ????? Hilfe nötig
    Plagegeister aller Art und deren Bekämpfung - 15.05.2006 (6)
  10. BDS/Haxdoor.GJ.1
    Plagegeister aller Art und deren Bekämpfung - 30.04.2006 (2)
  11. BDS/Haxdoor.GJ.1?
    Mülltonne - 30.04.2006 (2)
  12. Habe ich Haxdoor auf den PC ?
    Log-Analyse und Auswertung - 23.02.2006 (4)
  13. Haxdoor Trojaner
    Plagegeister aller Art und deren Bekämpfung - 05.09.2005 (7)
  14. Trojaner Haxdoor.BGN
    Plagegeister aller Art und deren Bekämpfung - 22.07.2005 (1)
  15. Haxdoor-H
    Plagegeister aller Art und deren Bekämpfung - 31.03.2005 (2)
  16. Haxdoor und mehr
    Plagegeister aller Art und deren Bekämpfung - 26.01.2005 (1)
  17. Haxdoor Virus!!! Wie bekomm ich es weg
    Log-Analyse und Auswertung - 23.01.2005 (17)

Zum Thema Haxdoor GJ1 bitte hilfe ! - Hallo, Aus unerklärlichen Gründen habe ich diese Backdoor Programm auf dem Pc, was eigentlich gar nicht sein kann da ich meinen PC erst heute morgen neu gemacht habe? Bitte um - Haxdoor GJ1 bitte hilfe !...
Archiv
Du betrachtest: Haxdoor GJ1 bitte hilfe ! auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.