Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: HijackThis, Avenger wg. Life Safety Centern Online Security Guide

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 13.11.2007, 19:58   #1
DanielinOberschwaben
 
HijackThis, Avenger wg. Life Safety Centern Online Security Guide - Standard

HijackThis, Avenger wg. Life Safety Centern Online Security Guide



Hallo,
hab mir Trojaner eingefangen und von Kaspersky entfernen laßen. Nur die zwei Icons auf dem Desktop und das gelbe Dreieck mit Ausrufezeichen in der Taskleiste sind wohl noch welche und laßen sich nicht entfernen.

Hab Windows2000 Professional Deutsch

Habe HijackThis durchlaufen laßen, hier das Posting:

Logfile of HijackThis v1.99.1
Scan saved at 20:30:02, on 13.11.2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\unzipped\avenger\avenger.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Treiber\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = T-Online
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = T-Online
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von T-Online International AG
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Security Toolbar - {11A69AE4-FBED-4832-A2BF-45AF82825583} - C:\WINNT\system32\ucspvqfi.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [Advanced DHTML Enable] C:\WINNT\System32\vbomx.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [Windows Logon Application] C:\WINNT\System32\logon.exe
O4 - HKLM\..\Run: [Spooler SubSystem App] C:\WINNT\System32\spoolsvc.exe
O4 - HKLM\..\Run: [Windows Network Firewall] C:\WINNT\System32\firewall.exe
O4 - HKLM\..\Run: [Microsoft Security Monitor Process] HelpMe.exe
O4 - HKLM\..\Run: [9806fa03] rundll32.exe "C:\WINNT\system32\iupuuksb.dll",b
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKLM\..\RunServices: [Microsoft Security Monitor Process] HelpMe.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de/service/redir/ie_t-online.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{A9899304-830E-4934-8979-544AC4EA64AD}: NameServer = 217.237.150.188 217.237.151.142
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" -r (file missing)
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: gzg8wud2rcccs - Unknown owner - C:\WINNT\system32\systs.exe (file missing)
O23 - Service: Taskplaner (Schedule) - Unknown owner - C:\WINNT\system32\MSTask.exe (file missing)
O23 - Service: Security Center Watcher (SCWatcher) - Unknown owner - C:\WINNT\system32\scwatcher.exe (file missing)

Dann anschließend den "SmidFraudFix" laufen lassen:

SmitFraudFix v2.252

Scan done at 20:16:54,49, Di 13.11.2007
Run from C:\Dokumente und Einstellungen\XYZ\Desktop\SmitfraudFix
OS: Microsoft Windows 2000 [Version 5.00.2195] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\EMAIL\MAIL.EXE
C:\WINNT\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts

hosts file corrupted !

127.0.0.1 support.microsoft.com
127.0.0.1 windowsupdate.microsoft.com

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\XYZ


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\XYZ\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\XYZ\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
"LoadAppInit_DLLs"=dword:00000001


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: WAN (PPP/SLIP) Interface
DNS Server Search Order: 217.237.150.188 217.237.151.142

HKLM\SYSTEM\CCS\Services\Tcpip\..\{A9899304-830E-4934-8979-544AC4EA64AD}: NameServer=217.237.150.188 217.237.151.142
HKLM\SYSTEM\CS1\Services\Tcpip\..\{A9899304-830E-4934-8979-544AC4EA64AD}: NameServer=217.237.150.188 217.237.151.142


»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End

Dann Avenger die beiden Dateien WYKTBPCX.DLL und NMJWLEXP.DLL im System32 versucht, löschen zu laßen - hat er beide NICHT gefunden:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\nwbwjhwm

*******************

Script file located at: \??\C:\wdrfhemc.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Deletion of file C:\WINDOWS\SYSTEM32\wyktbpcx.dll failed!
Status: 0xc000014f
Deletion of file C:\WINDOWS\system32\nmjwlexp.dll failed!
Status: 0xc000014f


Completed script processing.

*******************

Finished! Terminate.

Dann NOCHMAL Hijackthis - nach Neustart:

Logfile of HijackThis v1.99.1
Scan saved at 20:42:02, on 13.11.2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Treiber\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = T-Online
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = T-Online
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von T-Online International AG
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=www-proxy.t-online.de:80;ftp=ftp-proxy.t-online.de:80
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.t-online.de;localhost;<local>
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Security Toolbar - {11A69AE4-FBED-4832-A2BF-45AF82825583} - C:\WINNT\system32\ucspvqfi.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [Advanced DHTML Enable] C:\WINNT\System32\vbomx.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [Windows Logon Application] C:\WINNT\System32\logon.exe
O4 - HKLM\..\Run: [Spooler SubSystem App] C:\WINNT\System32\spoolsvc.exe
O4 - HKLM\..\Run: [Windows Network Firewall] C:\WINNT\System32\firewall.exe
O4 - HKLM\..\Run: [Microsoft Security Monitor Process] HelpMe.exe
O4 - HKLM\..\Run: [9806fa03] rundll32.exe "C:\WINNT\system32\iupuuksb.dll",b
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKLM\..\RunServices: [Microsoft Security Monitor Process] HelpMe.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de/service/redir/ie_t-online.htm
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" -r (file missing)
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: gzg8wud2rcccs - Unknown owner - C:\WINNT\system32\systs.exe (file missing)
O23 - Service: Taskplaner (Schedule) - Unknown owner - C:\WINNT\system32\MSTask.exe (file missing)
O23 - Service: Security Center Watcher (SCWatcher) - Unknown owner - C:\WINNT\system32\scwatcher.exe (file missing)


So, das wars. Hab die Teile und diese nervigen Meldungen endlich satt.
Die IE Exe Datei will auch verändert irgendwas im Internet melden, wohl diese blöden beiden Icons mit der Zielhompage: http://htepo.com/xxxxxxx

kann mir bitte noch jemand helfen? Muß ich noch nen E-Scan machen?

Alt 14.11.2007, 09:43   #2
Cleriker
 
HijackThis, Avenger wg. Life Safety Centern Online Security Guide - Standard

HijackThis, Avenger wg. Life Safety Centern Online Security Guide



Hallo,

ich vermute einen fest verankerten Backdoor mit allen
zugehörigen Einträgen -> Troj/Agent-GDC

Aber schauen wir uns das mal genauer an:

* Dateien Online Überprüfen
(versteckte Ordner und Dateien anzeigen lassen)
1. Im Explorer im Menü Extras -> Ordneroptionen -> Ansicht setze folgende Einstellungen:
2. Erweiterungen bei bekannten Dateitypen ausblenden -> Haken weg
3. Geschützte Systemdateien ausblenden -> Haken weg
4. Inhalte von Systemordnern anzeigen -> Haken setzen
(diese Option ist bei Windows 2000 nicht vorhanden)
5. Versteckte Dateien und Ordner -> Alle Dateien und Ordner anzeigen
(Dateien online überprüfen)
6. Speicher dir die unten angebenen Dateien auf einen externen Datenträger,
falls du keine Internetverbindung hast.
7. lade die Seite von Virustotal (alternativ Jotti)
8. lade in der dafür vorgesehen Box folgende Datei(en) hoch
Zitat:
C:\WINNT\system32\ucspvqfi.dll
C:\WINNT\System32\vbomx.exe
loadqm.exe (bitte suchen)
C:\WINNT\system32\iupuuksb.dll
C:\WINNT\system32\systs.exe
9. Warte die Auswertung ab
10. Poste das komplett Ergebnis mit Hash und Dateigröße hier rein

Ein escan wäre auch nicht schlecht:
* MWAV (eScan) - Free Antivirus
1. Lies dir folgende Anleitung genau durch und arbeite sie ab
-> Anleitung eScan
(Sollte der Hinweis erscheinen, dass du nur mit der Vollversion
die Funde löschen kannst, breche den Scan NICHT ab)
2. Poste im Anschluss das Ergebnis mit Hilfe der *find.bat'.
- rechte Maustaste auf den LINK 'find.bat' , dann "Ziel Speichern unter" -> Desktop)
- führe die find.bat aus
- das erstellte Log kopierst du ab und postest in deinen nächsten Beitrag
3. Entferne bitte nicht selber von escan alarmierte Funde.
Es sind erfahrungsgemäß viele Fehlalarme dabei

mfg Cleriker
__________________


Antwort

Themen zu HijackThis, Avenger wg. Life Safety Centern Online Security Guide
application, attention, c.exe, desktop, einstellungen, email, entfernen, exe datei, explorer, failed, firefox, ftp, hijack, hijackthis, home, homepage, internet, internet explorer, internet security, kaspersky, microsoft security, monitor, mozilla, mozilla firefox, registry, registry key, rundll, security, security center, software, spooler subsystem app, system, t-online, taskleiste, trojaner, trojaner eingefangen, windows



Ähnliche Themen: HijackThis, Avenger wg. Life Safety Centern Online Security Guide


  1. Life Security Platinum
    Log-Analyse und Auswertung - 11.08.2012 (1)
  2. Life Security entfernen
    Plagegeister aller Art und deren Bekämpfung - 09.08.2012 (15)
  3. Life Security Platinum-Virus, TR/ATRAPS.Gen TR/ATRAPS2.Gen TR/Rogue.KD.684297.1 TR/Fakealert.uro
    Log-Analyse und Auswertung - 05.08.2012 (1)
  4. Life Security Platinum auch für mich
    Plagegeister aller Art und deren Bekämpfung - 30.07.2012 (1)
  5. Life Security Platinum entfernen
    Log-Analyse und Auswertung - 30.07.2012 (5)
  6. LIFE SECURITY PLATINUM eingefangen
    Plagegeister aller Art und deren Bekämpfung - 25.07.2012 (9)
  7. Life Security Platinum - bisher erfolglos bekämpft
    Plagegeister aller Art und deren Bekämpfung - 14.07.2012 (1)
  8. "Security Trobuleshooting" und "Online Security Guide"
    Plagegeister aller Art und deren Bekämpfung - 10.06.2008 (4)
  9. Security Trobleshooting, Online Security Guide - wie bekomme ich sie weg?!
    Antiviren-, Firewall- und andere Schutzprogramme - 11.01.2008 (9)
  10. Online Security Guide
    Mülltonne - 18.11.2007 (0)
  11. HILFE! Security Toolbar 7.1, Life Savety Center, Security Allert...
    Log-Analyse und Auswertung - 08.11.2007 (11)
  12. Online Security Guide/Live Safety Center Spyware nicht löschbar!
    Mülltonne - 07.11.2007 (0)
  13. online security guide htepo.com
    Log-Analyse und Auswertung - 29.10.2007 (8)
  14. online security guide/security troubleshooting nach syst.wiederherstellung weg?
    Log-Analyse und Auswertung - 07.08.2007 (3)
  15. Online Security Guide Problem
    Log-Analyse und Auswertung - 02.07.2006 (2)
  16. bekomm online security guide nicht weg hiilfeee
    Mülltonne - 23.06.2006 (1)

Zum Thema HijackThis, Avenger wg. Life Safety Centern Online Security Guide - Hallo, hab mir Trojaner eingefangen und von Kaspersky entfernen laßen. Nur die zwei Icons auf dem Desktop und das gelbe Dreieck mit Ausrufezeichen in der Taskleiste sind wohl noch welche - HijackThis, Avenger wg. Life Safety Centern Online Security Guide...
Archiv
Du betrachtest: HijackThis, Avenger wg. Life Safety Centern Online Security Guide auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.