Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: noch ein HJT-log von PMS/FURootkit

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 15.11.2004, 09:48   #1
molasaria
 
noch ein HJT-log von PMS/FURootkit - Beitrag

noch ein HJT-log von PMS/FURootkit



Hoi zämme,

da hat mich doch tatsächlich auch so'n mistiger Trojaner erwischt... nach einigem Rumforschen tat ich, wie hier empfohlen, und bekam angehängtes Log für den völlig unbehandelten Zustand.
In der Zwischenzeit hat die Kombination von AdAware und Antivir zwar einiges gefunden, aber... der Mist blubbert immer noch rum. Kann mir da wohl wer helfen?
(*natürlich* find ich das superdringend & wichtig, aber tun wir das nicht alle? :-|)

Moinmoin & cheers,

Robert


---
Logfile of HijackThis v1.98.2
Scan saved at 11:26:17, on 14.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\GEARSEC.EXE
C:\Programme\Symantec\Norton Ghost 2003\GhostStartService.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\lsass64BiT.exe
C:\Programme\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
C:\WINDOWS\System32\hkcmd.exe
C:\AddOn\Fujitsu\Application Panel\QuickTouch.exe
C:\Programme\Fujitsu\BtnHnd\BtnHnd.exe
C:\AddOn\Fujitsu\Hotkey\IndicatorUty.exe
C:\Programme\Apoint2K\Apoint.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\System32\mswctl32.exe
C:\Programme\iPod\bin\iPodService.exe
C:\msex.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\msnmsng.exe
C:\Programme\Apoint2K\Apntex.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\Yahoo!\Messenger\ymsgr_tray.exe
C:\Programme\TEXTware\HotKey\Twalink.exe
C:\Programme\WEBDE\SmartSurfer2.3\SmartSurfer.exe
C:\Programme\Opera7\opera.exe
C:\Dokumente und Einstellungen\MairR\Eigene Dateien\d'loadz\hijackthis1982\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.geocities.com/
F3 - REG:win.ini: load=
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programme\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [LoadFujitsuQuickTouch] C:\AddOn\Fujitsu\Application Panel\QuickTouch.exe
O4 - HKLM\..\Run: [LoadBtnHnd] C:\Programme\Fujitsu\BtnHnd\BtnHnd.exe
O4 - HKLM\..\Run: [IndicatorUtility] C:\AddOn\Fujitsu\Hotkey\IndicatorUty.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Microsoft Windows Control] mswctl32.exe
O4 - HKLM\..\Run: [Cryptographic Service] C:\WINDOWS\System32\fczyt.exe
O4 - HKLM\..\Run: [Winupdate Service] winxp.exe
O4 - HKLM\..\Run: [lsass64BiT.exe] lsass64BiT.exe
O4 - HKLM\..\Run: [OHBABE] C:\msex.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Network Administration Service] rsvc32.exe
O4 - HKLM\..\Run: [MSN Messanger] msnmsng.exe
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\RunServices: [Microsoft Windows Control] mswctl32.exe
O4 - HKLM\..\RunServices: [Winupdate Service] winxp.exe
O4 - HKLM\..\RunServices: [lsass64BiT.exe] lsass64BiT.exe
O4 - HKLM\..\RunServices: [Network Administration Service] rsvc32.exe
O4 - HKLM\..\RunServices: [MSN Messanger] msnmsng.exe
O4 - HKLM\..\RunOnce: [lsass64BiT.exe] lsass64BiT.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Programme\Yahoo!\Messenger\ypager.exe -quiet
O4 - HKCU\..\Run: [lsass64BiT.exe] lsass64BiT.exe
O4 - HKCU\..\Run: [MSN Messanger] msnmsng.exe
O4 - HKCU\..\RunServices: [MSN Messanger] msnmsng.exe
O4 - HKCU\..\RunOnce: [lsass64BiT.exe] lsass64BiT.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: HotKey.lnk = C:\Programme\TEXTware\HotKey\Twalink.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O17 - HKLM\System\CCS\Services\Tcpip\..\{38BBEC12-462D-4F2D-B82B-1F0095A86CCF}: NameServer = 212.82.225.7 212.82.225.12


Alt 15.11.2004, 10:16   #2
Shadowdance
 
noch ein HJT-log von PMS/FURootkit - Standard

noch ein HJT-log von PMS/FURootkit



Hallo molasaria,

lade bitte den eScan runter, erstelle dafür einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus. Beachte, dass der eScan ca 1 Stunde dauert und ab Version 4.5.1 gefundene Malware nicht löscht. Das wird manuell gemacht.

Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre) Erstelle ein neues Hijack This Logfile und poste es.

SD
__________________


Alt 18.11.2004, 00:43   #3
molasaria
 
noch ein HJT-log von PMS/FURootkit - Pfeil

noch ein HJT-log von PMS/FURootkit



Moin Shadowdance,

hier also erstmal was eScan findet (das sind die Resultate wie in eScans Virenmeldungsfenster angezeigt, kopiert & in den Editor übernommen - das Logfile gibt nur noch die Zusatzinfo, dass ich den Scan vor drei Stunden gestartet hab):

--->>> eScan results follow <<<---

File C:\WINDOWS\system32\mswctl32.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\winxp.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\msnmsng.exe infected by "Backdoor.Win32.SdBot.05.bd" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\mswctl32.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\winxp.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\rsvc32.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\msnmsng.exe infected by "Backdoor.Win32.SdBot.05.bd" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\msnmsng.exe infected by "Backdoor.Win32.SdBot.05.bd" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\mswctl32.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\rsvc32.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\winxp.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Lászlo\Anwendungsdaten\Mozilla\Profiles\default\cvu5oahp.slt\Cache\24235F0Ed01 tagged as not-a-virus:RiskWare.Dialer.Benvenuto. No Action Taken.
File C:\Dokumente und Einstellungen\Lászlo\Anwendungsdaten\Mozilla\Profiles\default\cvu5oahp.slt\Cache\64AB80DFd01 tagged as not-a-virus:RiskWare.Dialer.Benvenuto. No Action Taken.
File C:\Dokumente und Einstellungen\Lászlo\Anwendungsdaten\Mozilla\Profiles\default\cvu5oahp.slt\Cache\7C706E56d01 tagged as not-a-virus:RiskWare.Dialer.Benvenuto. No Action Taken.
File C:\Dokumente und Einstellungen\Lászlo\Anwendungsdaten\Mozilla\Profiles\default\cvu5oahp.slt\Cache\F2E4FB61d01 tagged as not-a-virus:RiskWare.Dialer.Benvenuto. No Action Taken.
File C:\Dokumente und Einstellungen\Lászlo\Startmenü\sfondi_desktop.exe tagged as not-a-virus:RiskWare.Dialer.Benvenuto. No Action Taken.
File C:\System Volume Information\_restore{DDAA82C5-8642-41D2-B298-8A12E58E75A9}\RP254\A0035734.exe infected by "Trojan-Clicker.Win32.Small.bj" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{DDAA82C5-8642-41D2-B298-8A12E58E75A9}\RP254\A0035735.exe infected by "Trojan-Clicker.Win32.Small.bj" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{DDAA82C5-8642-41D2-B298-8A12E58E75A9}\RP254\A0035805.exe infected by "Trojan-Clicker.Win32.Small.bj" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{DDAA82C5-8642-41D2-B298-8A12E58E75A9}\RP254\A0035806.exe infected by "TrojanDropper.Win32.PurityScan.g" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{DDAA82C5-8642-41D2-B298-8A12E58E75A9}\RP254\A0035807.exe infected by "Trojan-Clicker.Win32.Small.bj" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{DDAA82C5-8642-41D2-B298-8A12E58E75A9}\RP254\A0035827.exe infected by "Backdoor.Win32.SdBot.05.bd" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{DDAA82C5-8642-41D2-B298-8A12E58E75A9}\RP254\A0035849.exe infected by "Backdoor.Win32.Wootbot.gen" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{DDAA82C5-8642-41D2-B298-8A12E58E75A9}\RP254\A0035870.sys infected by "Trojan.Win32.Rootkit.h" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{DDAA82C5-8642-41D2-B298-8A12E58E75A9}\RP254\A0035943.exe infected by "TrojanDropper.Win32.PurityScan.g" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{DDAA82C5-8642-41D2-B298-8A12E58E75A9}\RP254\A0035944.exe infected by "Trojan-Clicker.Win32.Small.bj" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{DDAA82C5-8642-41D2-B298-8A12E58E75A9}\RP254\A0036067.sys infected by "Trojan.Win32.Rootkit.h" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\msnmsng.exe infected by "Backdoor.Win32.SdBot.05.bd" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\mswctl32.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\rsvc32.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\winxp.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

--->>> end of eScan results <<<---

Ich denke, es gibt ne Menge Leute, die angesichts der Zahl und Vielfalt der gemeldeten Malware schockiert wären, aber... ungefähr so hatte ich mir nen gelungenen (ähem) Trojanerbefall immer vorgestellt. (Im Trojanischen Pferd waren ja auch mehr Griechen als bloß einer oder zwei.)

[to be continued]
__________________

Alt 18.11.2004, 00:53   #4
Lidius
 
noch ein HJT-log von PMS/FURootkit - Standard

noch ein HJT-log von PMS/FURootkit



Unschöne sache das....

Die sicherste Lösung ist deinen Rechner nach dieser Anleitung neu aufzusetzen:
http://www.trojaner-board.de/showpos...28&postcount=2

Erklärung:
du hast diesen hier auf deinem System
http://www3.ca.com/securityadvisor/v....aspx?id=39437

Dein System ist daher nicht mehr vertrauenswürdig, weswegen ein formatieren+neu aufsetzen nach der obigen Anleitung die sicherste lösung ist.

Falls du über ISDN ins netz gehst, sichere bitte die von escan gefundenen Dialer zwecks beweissicherung auf diskette www.dialerschutz.de

Alt 18.11.2004, 00:53   #5
molasaria
 
noch ein HJT-log von PMS/FURootkit - Pfeil

noch ein HJT-log von PMS/FURootkit



[continued message]

- und als zweites noch das aktuelle HijackThis-Logfile:

--->>> HijackThis-Logfile follows <<<---
Logfile of HijackThis v1.98.2
Scan saved at 00:26:23, on 18.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\GEARSEC.EXE
C:\Programme\Symantec\Norton Ghost 2003\GhostStartService.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
C:\WINDOWS\System32\hkcmd.exe
C:\AddOn\Fujitsu\Application Panel\QuickTouch.exe
C:\AddOn\Fujitsu\Hotkey\IndicatorUty.exe
C:\Programme\Apoint2K\Apoint.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Fujitsu\BtnHnd\BtnHnd.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\System32\mswctl32.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\System32\winxp.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\msnmsng.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\TEXTware\HotKey\Twalink.exe
C:\Programme\Apoint2K\Apntex.exe
C:\Dokumente und Einstellungen\MairR\Eigene Dateien\d'loadz\hijackthis1982\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programme\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [LoadFujitsuQuickTouch] C:\AddOn\Fujitsu\Application Panel\QuickTouch.exe
O4 - HKLM\..\Run: [IndicatorUtility] C:\AddOn\Fujitsu\Hotkey\IndicatorUty.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Microsoft Windows Control] mswctl32.exe
O4 - HKLM\..\Run: [Winupdate Service] winxp.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [MSN Messanger] msnmsng.exe
O4 - HKLM\..\RunServices: [Microsoft Windows Control] mswctl32.exe
O4 - HKLM\..\RunServices: [Winupdate Service] winxp.exe
O4 - HKLM\..\RunServices: [Network Administration Service] rsvc32.exe
O4 - HKLM\..\RunServices: [MSN Messanger] msnmsng.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSN Messanger] msnmsng.exe
O4 - HKCU\..\RunServices: [MSN Messanger] msnmsng.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: HotKey.lnk = C:\Programme\TEXTware\HotKey\Twalink.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE

--->>> end of HijackThis-Logfile <<<---

- weitere Vorschläge zum Vorgehen? Ich könnt mir vorstellen, dass die ganze Schwemme, die eScan zeigt, von zwei oder drei Files/Systemeinstellungen/wasauchimmer gedeckt wird, und wenn man die wegnimmt, kriegt Antivir wieder Durchblick & räumt den Rest auf, aber (a) wüsst ich nicht, welche das sein könnten, und (b) ist das ja auch nur meine Vermutung als Laie... :-/

Erleuchtet mich...


Alt 18.11.2004, 01:04   #6
Shadowdance
 
noch ein HJT-log von PMS/FURootkit - Standard

noch ein HJT-log von PMS/FURootkit



Hallo molasaria,

schockiert bin ich nicht, aber möglicherweise Du, denn die Würmer auf Deinem System haben Backdoor-Funktionalität.

Die Sophos Viren-Enzyklopädie: Backdoor.Win32.Rbot.gen-> "Erläuterung" beachten und Backdoor.Win32.SdBot.05.bd-> "Erläuterung" beachten. Unter "Erweitert" findest Du auch noch interessante Details zu diesen Würmern, die Fremden den uneingeschränkten Zugriff auf Deinen Rechner erlauben.

Hierzu bleibt mir nur noch anzumerken, dass Du möglichst schnell Deinen Rechner aus dem Netz ziehen solltest, und dazu die Hinweise von meinen Kollegen an Board beachten solltest:

Lutz: Datensicherung und Cidre's Rat, sowie MountainKing: Sicherheit gross geschrieben

--> und dann: Festplatte formatieren - Schritt für Schritt.

Löschen dieser Würmer reicht nicht, da sie Schlüssel in der Registry hinterlassen und Code im System ablegen.

SD

Alt 18.11.2004, 01:32   #7
molasaria
 
noch ein HJT-log von PMS/FURootkit - Icon32

noch ein HJT-log von PMS/FURootkit



Hi Lidius,

Zitat:
Zitat von Lidius
Dein System ist daher nicht mehr vertrauenswürdig, weswegen ein formatieren+neu aufsetzen nach der obigen Anleitung die sicherste lösung ist.
Iiieek. Okay... unausgeschlafen geh ich das aber nicht mehr an... ;-)


Zitat:
Zitat von Lidius
Falls du über ISDN ins netz gehst, sichere bitte die von escan gefundenen Dialer zwecks beweissicherung auf diskette www.dialerschutz.de
Nein, weit weg von ISDN... mir höchst schleierhaft sowieso, ich war verreist (also nicht hinter dem Uni-Firewall wie sonst) und benutzte die Kiste nur auf meinem Hauptaccount. Der Lászlo-Account, wo die Dialer auftauchen, ist sowas wie die Experimentierecke - den hab ich aber, soweit ich mich erinnern kann, schon geraume Zeit nicht mehr aufgemacht... tsk, tsk, tsk. Allerdings seh ich grad aus der Dateiinfo (soweit man der natürlich trauen kann), dass die Dinger auch schon seit fast einem Jahr auf dem Account dahinwelken (und infolgedessen wohl kaum je was zu tun hätten bekommen können)

Dankedanke aber ringsum & nach allen Seiten...

Alt 18.11.2004, 01:45   #8
molasaria
 
noch ein HJT-log von PMS/FURootkit - Cool

noch ein HJT-log von PMS/FURootkit



Moin Shadowdance wieder (der Name - irgendwas mit Glorantha zu tun?)

Zitat:
Zitat von Shadowdance
schockiert bin ich nicht, aber möglicherweise Du, denn die Würmer auf Deinem System haben Backdoor-Funktionalität.
Nein sag ich doch... ich weiß ja, *daß* es die Biester gibt & wozu sie "gut" sein sollen... den Schock hatte ich, als ich feststellte, daß ich mir was eingefangen hatte, aber irgendwann geht's auch wieder - der Kopf schaltet die Kühlung an & man wendet sich ans Trojaner-Board...


Zitat:
Zitat von Shadowdance
Hierzu bleibt mir nur noch anzumerken, dass Du möglichst schnell Deinen Rechner aus dem Netz ziehen solltest, und dazu die Hinweise von meinen Kollegen an Board beachten solltest
und dann: Festplatte formatieren - Schritt für Schritt.
Ersteres ist schon passiert (hängt auch gar nicht standardmäßig am Netz), und der Rest... folgt morgen (wie gesagt - den Spaß will ich mir in ausgeschlafenem Zustand geben).

Gracias nochmal, wie gesagt... [ne Übersetzung bräucht hier grade niemand?]

Antwort

Themen zu noch ein HJT-log von PMS/FURootkit
adobe, antivir, application, bho, einstellungen, excel, explorer, hijack, hijackthis, hotkey, icq, internet, internet explorer, log, microsoft, opera, pdf, programme, software, sun java, symantec, system, tcpip, trojaner, windows, windows messenger, windows xp, yahoo



Ähnliche Themen: noch ein HJT-log von PMS/FURootkit


  1. Mein PC läuft nur noch sehr langsam, nicht mal AVIRA funktiomiert noch. Woran kann das liegen?
    Plagegeister aller Art und deren Bekämpfung - 29.10.2013 (5)
  2. Und noch ein GVU Angriff :(
    Plagegeister aller Art und deren Bekämpfung - 22.05.2013 (36)
  3. und noch ein GVU-Trojaner :(
    Plagegeister aller Art und deren Bekämpfung - 20.05.2013 (22)
  4. Und noch ein GUV´ler...
    Plagegeister aller Art und deren Bekämpfung - 10.01.2013 (19)
  5. Trojaner noch da? C Laufwerk noch unsichtbar
    Log-Analyse und Auswertung - 16.05.2011 (11)
  6. Virtool.WinNT/FURootkit.gen entfernen?
    Plagegeister aller Art und deren Bekämpfung - 12.01.2008 (13)
  7. noch ein hjt-log
    Log-Analyse und Auswertung - 18.09.2007 (5)
  8. Noch'n log
    Log-Analyse und Auswertung - 07.09.2007 (9)
  9. Trojaner: TR/FURootkit.C von Antivir entdeckt
    Plagegeister aller Art und deren Bekämpfung - 26.11.2006 (2)
  10. noch zu retten?
    Log-Analyse und Auswertung - 27.07.2006 (4)
  11. was ist das noch?
    Log-Analyse und Auswertung - 01.07.2005 (3)
  12. Trojaner PMS/FuRootkit
    Plagegeister aller Art und deren Bekämpfung - 12.04.2005 (1)
  13. und noch mal hier
    Log-Analyse und Auswertung - 19.12.2004 (2)
  14. Noch ein log
    Log-Analyse und Auswertung - 18.12.2004 (4)
  15. Trojaner PMS/FURootkit
    Plagegeister aller Art und deren Bekämpfung - 29.11.2004 (4)
  16. pms / furootkit
    Plagegeister aller Art und deren Bekämpfung - 02.11.2004 (4)

Zum Thema noch ein HJT-log von PMS/FURootkit - Hoi zämme, da hat mich doch tatsächlich auch so'n mistiger Trojaner erwischt... nach einigem Rumforschen tat ich, wie hier empfohlen, und bekam angehängtes Log für den völlig unbehandelten Zustand. In - noch ein HJT-log von PMS/FURootkit...
Archiv
Du betrachtest: noch ein HJT-log von PMS/FURootkit auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.