Moin

Zitat:

Fertige ein HijackThis Log deines Systems an.

Kann man hier begutachten
http://www.trojaner-board.de/45105-hilfe-mein-pc-verseucht.html
aufschlussreich ist evtl. auch das Silentrunners Log

MFG

Zitat:

Zitat von nochdigger

Moin


Kann man hier begutachten
http://www.trojaner-board.de/45105-hilfe-mein-pc-verseucht.html
aufschlussreich ist evtl. auch das Silentrunners Log

MFG

silentrunner:

"Silent Runners.vbs", revision 52, http://www.silentrunners.org/
Operating System: Windows XP
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\System32\ctfmon.exe" [MS]
"MsnMsgr" = ""C:\Programme\MSN Messenger\MsnMsgr.Exe" /background" [MS]
"SpybotSD TeaTimer" = "C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" ["Safer Networking Limited"]
"ICQ" = ""C:\Programme\ICQ6\ICQ.exe" silent" ["ICQ, Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup" [MS]
"nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]
"NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit" [MS]
"avast!" = "C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" ["ALWIL Software"]
"HP Software Update" = "C:\Programme\HP\HP Software Update\HPWuSchd2.exe" ["Hewlett-Packard Development Company, L.P."]
"64dbe52c" = "rundll32.exe "C:\WINDOWS\System32\ngmtirfs.dll",b" [MS]
"SunJavaUpdateSched" = ""C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"" ["Sun Microsystems, Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\ {++}
"Spybot - Search & Destroy" = ""C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck" ["Safer Networking Limited"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{055FD26D-3A88-4e15-963D-DC8493744B1D}\(Default) = "XTTBPos00"
-> {HKLM...CLSID} = "XTTBPos00 Class"
\InProcServer32\(Default) = "C:\PROGRA~1\ICQTOO~1\toolbaru.dll" ["IE Toolbar"]
{522D49BE-37CE-427F-9098-36D0FF4330B2}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\System32\ddayw.dll" [null data]
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Spybot-S&D IE Protection"
\InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
-> {HKLM...CLSID} = "SSVHelper Class"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_02\bin\ssv.dll" ["Sun Microsystems, Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class"
-> {HKLM...CLSID} = "DesktopContext Class"
\InProcServer32\(Default) = "C:\WINDOWS\System32\nvcpl.dll" ["NVIDIA Corporation"]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"
-> {HKLM...CLSID} = "Desktop Explorer"
\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"
-> {HKLM...CLSID} = "nView Desktop Context Menu"
\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{FC9FB64A-1EB2-4CCF-AF5E-1A497A9B5C2D}" = "Messenger Sharing Folders"
-> {HKLM...CLSID} = "Meine freigegebenen Ordner"
\InProcServer32\(Default) = "C:\Programme\MSN Messenger\fsshext.8.1.0178.00.dll" [MS]
"{472083B0-C522-11CF-8763-00608CC02F24}" = "avast"
-> {HKLM...CLSID} = "avast"
\InProcServer32\(Default) = "C:\Programme\Alwil Software\Avast4\ashShell.dll" ["ALWIL Software"]
"{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper"
-> {HKLM...CLSID} = "NVIDIA CPL Extension"
\InProcServer32\(Default) = "C:\WINDOWS\System32\nvcpl.dll" ["NVIDIA Corporation"]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows\
<<!>> "AppInit_DLLs" = "C:\WINDOWS\System32\__c00C1CC4.dat" [null data]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\
<<!>> "Shell" = "Explorer.exe %WINDIR%\VTTray.exe" [MS], [null data]

HKLM\System\CurrentControlSet\Control\Session Manager\
<<!>> "BootExecute" = "autocheck autochk *"|"aswBoot.exe /M:5c8d98d9" ["ALWIL Software"]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
avast\(Default) = "{472083B0-C522-11CF-8763-00608CC02F24}"
-> {HKLM...CLSID} = "avast"
\InProcServer32\(Default) = "C:\Programme\Alwil Software\Avast4\ashShell.dll" ["ALWIL Software"]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
avast\(Default) = "{472083B0-C522-11CF-8763-00608CC02F24}"
-> {HKLM...CLSID} = "avast"
\InProcServer32\(Default) = "C:\Programme\Alwil Software\Avast4\ashShell.dll" ["ALWIL Software"]


Group Policies {policy setting}:
--------------------------------

Note: detected settings may not have any effect.

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001
{Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) hex:0x00000001
{Devices: Allow undock without having to log on}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\web\wallpaper\Grüne Idylle.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\WINDOWS\web\wallpaper\Grüne Idylle.bmp"


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\System32\logon.scr" [MS]


Startup items in "Fabian" & "All Users" startup folders:
--------------------------------------------------------

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"GA311 Smart Wizard Utility" -> shortcut to: "C:\Programme\NETGEAR GA311 Adapter\GA311.exe" [empty string]
"HP Photosmart Premier – Schnellstart" -> shortcut to: "C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe -s" [null data]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 15
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{855F3B16-6D32-4FE6-8A56-BBB695989046}"
-> {HKLM...CLSID} = "ICQ Toolbar"
\InProcServer32\(Default) = "C:\PROGRA~1\ICQTOO~1\toolbaru.dll" ["IE Toolbar"]

HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{855F3B16-6D32-4FE6-8A56-BBB695989046}" = (no title provided)
-> {HKLM...CLSID} = "ICQ Toolbar"
\InProcServer32\(Default) = "C:\PROGRA~1\ICQTOO~1\toolbaru.dll" ["IE Toolbar"]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{DFB852A3-47F8-48C4-A200-58CAB36FD2A2}\
"MenuText" = "Spybot - Search & Destroy Configuration"
"CLSIDExtension" = "{53707962-6F74-2D53-2644-206D7942484F}"
-> {HKLM...CLSID} = "Spybot-S&D IE Protection"
\InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]

{E59EB121-F339-4851-A3BA-FE49C35617C2}\
"ButtonText" = "ICQ6"
"MenuText" = "ICQ6"
"Exec" = "C:\Programme\ICQ6\ICQ.exe" ["ICQ, Inc."]


Miscellaneous IE Hijack Points
------------------------------

HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks\
<<H>> "{855F3B16-6D32-4fe6-8A56-BBB695989046}" = (no title provided)
-> {HKLM...CLSID} = "ICQ Toolbar"
\InProcServer32\(Default) = "C:\PROGRA~1\ICQTOO~1\toolbaru.dll" ["IE Toolbar"]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

avast! Antivirus, avast! Antivirus, ""C:\Programme\Alwil Software\Avast4\ashServ.exe"" ["ALWIL Software"]
avast! iAVS4 Control Service, aswUpdSv, ""C:\Programme\Alwil Software\Avast4\aswUpdSv.exe"" ["ALWIL Software"]
avast! Mail Scanner, avast! Mail Scanner, ""C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service" ["ALWIL Software"]
avast! Web Scanner, avast! Web Scanner, ""C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service" ["ALWIL Software"]
Messenger USN Journal Reader-Service für freigegebene Ordner, usnjsvc, "C:\Programme\MSN Messenger\usnsvc.exe" [MS]
NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\System32\nvsvc32.exe" ["NVIDIA Corporation"]
Pml Driver HPZ12, Pml Driver HPZ12, "C:\WINDOWS\System32\HPZipm12.exe" ["HP"]
s3contrl (32-bit), s3contrl (32-bit), ""C:\WINDOWS\VTTray.exe"" [null data]


Print Monitors:
---------------

HKLM\System\CurrentControlSet\Control\Print\Monitors\
HP Standard TCP/IP Port\Driver = "HpTcpMon.dll" ["Hewlett Packard"]
PCL hpz3l054\Driver = "hpz3l054.dll" ["Hewlett-Packard Company"]


---------- (launch time: 2007-10-27 18:23:04)
<<!>>: Suspicious data at a malware launch point.
<<H>>: Suspicious data at a browser hijack point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points, use the -supp parameter or answer "No" at the
first message box and "Yes" at the second message box.
---------- (total run time: 669 seconds, including 7 seconds for message boxes)

@nochdigger: Danke für den Hinweis


ftp.exe ist zwar ein mit Windows ausgeliefertes Programm, aber ich bin etwas misstrauisch, denn zu dem MD5 finde ich nichts im Netz. Die MD5s von Original-Windowsdateien stehen normalerweise irgendwo. Jetzt rächt es sich, dass ich SP2 installiert habe, so kann ich nicht mit meiner Version vergleichen. Es ist denkbar, dass die Datei manipuliert wurde, ein Fehlalarm kommt aber ebenso gut in Frage. Falls noch jemand ein Windows XP ohne Servicepacks hat, wäre es ja nett, wenn er/sie die Daten der ftp.exe mal ermittelt.

Egal, der Knackpunkt ist, dass die ftp.exe läuft. Die wird entweder vom User benutzt (ist ein FTP-Programm für die Eingabeaufforderung), dann würdest Du es aber wissen, oder aber von Malware um weitere Malware runterzuladen. Dummerweise gibt es aber keine weiteren Hinweise in den vorhandenen Logs. Das Silentrunners, auf dass nochdigger aufmerksam gemacht hat, zeigt aber (neben Mengen anderem Müll) zwei Backdooreinträge.

aus dem anderen Thread:

Zitat:

Zitat von idontknow

vlt. sollt ich den pc neu aufsetzen und des SP2 offline installieren,

Halte ich für eine sehr gute Idee Alles andere würde wesentlich länger dauern und komplizierter werden, ohne eine Garantie auf Erfolg zu bieten. So einiges funktioniert in diesem Windows nicht mehr, die Seuchen einiger Jahre haben heftige Spuren hinterlassen. Das tilgt man am besten mit einer sauberen Neuinstallation.

Darüber hinaus könntest Du noch einen Onlinescan der C:\WINDOWS\VTTray.exe machen.

hmmm i hab des prob. jetz gelöst....hab einfahc mal den spybot durchlafuen lassen (hat fast 3 stunden gedauert) der hat 31 schädlinge gefunden...sp2 setup geht jetz =)))

DANKE @ KARL & NOCHDIGGER

mhhh i hab jetz zur sicherheit noch die vttray.exe von virustotal.com überprüfen lassen...die datei heißt aba nicht vttray.exe...sondern VTTRAY.EXE_old!

Datei VTTray.exe_old empfangen 2007.10.27 19:10:48 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 18/31 (58.07%)

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.10.27.0 2007.10.26 -
AntiVir 7.6.0.30 2007.10.26 Worm/SdBot.575488
Authentium 4.93.8 2007.10.26 -
Avast 4.7.1074.0 2007.10.27 -
AVG 7.5.0.503 2007.10.27 SHeur.UGV
BitDefender 7.2 2007.10.27 -
CAT-QuickHeal 9.00 2007.10.26 Backdoor.SdBot.gen
ClamAV 0.91.2 2007.10.27 -
DrWeb 4.44.0.09170 2007.10.27 -
eSafe 7.0.15.0 2007.10.22 Win32.SdBot.ceq
eTrust-Vet 31.2.5244 2007.10.26 Win32/Petribot.ASA
Ewido 4.0 2007.10.27 Backdoor.SdBot.ceq
FileAdvisor 1 2007.10.27 -
Fortinet 3.11.0.0 2007.10.19 -
F-Prot 4.3.2.48 2007.10.26 -
F-Secure 6.70.13030.0 2007.10.26 Backdoor.Win32.SdBot.ceq
Ikarus T3.1.1.12 2007.10.27 Generic.Sdbot
Kaspersky 7.0.0.125 2007.10.27 Backdoor.Win32.SdBot.ceq
McAfee 5150 2007.10.26 -
Microsoft 1.2908 2007.10.27 -
NOD32v2 2620 2007.10.27 -
Norman 5.80.02 2007.10.26 SDBot.gen9
Panda 9.0.0.4 2007.10.27 W32/Gaobot.QAY.worm
Rising 19.46.51.00 2007.10.27 Trojan.Win32.Agent.zto
Sophos 4.23.0 2007.10.27 -
Sunbelt 2.2.907.0 2007.10.27 Backdoor.Win32.SdBot.ceq
Symantec 10 2007.10.27 W32.Spybot.Worm
TheHacker 6.2.9.110 2007.10.27 Backdoor/SdBot.ceq
VBA32 3.12.2.4 2007.10.26 Backdoor.Win32.SdBot.ceq
VirusBuster 4.3.26:9 2007.10.27 Worm.SdBot.TKQ
Webwasher-Gateway 6.6.1 2007.10.27 Worm.SdBot.575488
weitere Informationen
File size: 575488 bytes
MD5: 5179b5eeab8883883a76a8cb081a5140
SHA1: ac9072d4e99c3ec6c5048d22ac7d8d2df4136b46
packers: Themida

Backdoor Nummer drei. Da bleibe ich bei der Empfehlung, sauber neu anzufangen, da wir nicht werden nachvollziehen können, was die Remoteadministratoren alles an deinem System gedreht haben.

Wenn Du (auf eigenes Risiko!) das nicht willst, dann lösch die Datei.

Und was hat Spybot alles gefunden? Das wäre auch noch interessant. Das können Cookies sein (harmlos) aber auch Würmer und Backdoors.

so i hab jetz den pc neu aufgesetzt (schon zum 4. mal in dieser woche =( bei den vorigen 3. mal sind die viren immer wieder aufgetaucht)...sp2 offline installiert....es funktioniert alles wieder einwandfrei (dreamweaver & fireworks haben 20-30 min. geladen) jetz müsste das system clean sein

Vielen Dank für die tipps! :aplaus::aplaus:

gruß iknow