Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Immer diese Viren ^^ (https://www.trojaner-board.de/11117-immer-diese-viren.html)

The_Knight 22.12.2004 18:05
Bitte helfen..Viren Viren! Das nervt!
 
habe grad im Abgesichtern Modus alles gescannt...und alles gelöscht und habe jetzt nochmal eine hijackthis file erstellt. ist nur noch sehr wenig drin, ich hoffe ihr könnt mit helfen!

Logfile of HijackThis v1.98.2
Scan saved at 18:00:38, on 22.12.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\SYSTEM32\GEARSEC.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\mqsvc.exe
C:\WINDOWS\System32\mqtgsvc.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Mozilla\mozilla.exe
F:\eMule\erabbit.exe
C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Symbolleiste\hijackthis1982\HijackThis.exe

O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O15 - Trusted Zone: *.frame.crazywinnings.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{DE0EDD66-C754-412B-B475-66DAEA421867}: NameServer = 213.191.74.19 213.191.92.86


Mfg

The_Knight

Cidre 22.12.2004 19:03
Dein System ist nicht gepatcht! Warum?
Welche Malware hast du wie entfernt?
Wieso surfst du als Admin bzw. Hauptbenutzer durch die Gegend?
Führe dies aus:
http://www.trojaner-board.de/showpos...6&postcount=31

The_Knight 22.12.2004 19:21
Zitat:
Zitat von Cidre
Dein System ist nicht gepatcht! Warum?
Welche Malware hast du wie entfernt?
Wieso surfst du als Admin bzw. Hauptbenutzer durch die Gegend?
Führe dies aus:
http://www.trojaner-board.de/showpos...6&postcount=31



Was meinst du? Mein System ist nicht gepacht?

Mit hijackthis habe ich alles enfernt! Aber Escan habe ich 2 std. durchlaufen lassen und dann konnte ich die gefunden Datein nicht löschen! Toll!
Was ist daran so schlimm wenn ich als Admin Surfe?

Mfg

The_Knight

Ps.

Neues file

Logfile of HijackThis v1.98.2
Scan saved at 19:37:08, on 22.12.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\SYSTEM32\GEARSEC.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\mqsvc.exe
C:\WINDOWS\System32\mqtgsvc.exe
C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Symbolleiste\hijackthis1982\HijackThis.exe
C:\Programme\ICQ\ICQ.exe
C:\Programme\Microsoft Office\Office10\OUTLOOK.EXE
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\PROGRA~1\MOZILLA\MOZILLA.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = hxxp://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = hxxp://www.microsoft.com/isapi/redir.dll?Prd=ie&Pver=5.0&Ar=ie5update&O1=b1
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=runonce&pver=6.0&plcid=0x0407
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\Programme\ICQ\NDetect.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O17 - HKLM\System\CCS\Services\Tcpip\..\{DE0EDD66-C754-412B-B475-66DAEA421867}: NameServer = 213.191.74.19 213.191.92.86



file2

Logfile of HijackThis v1.98.2
Scan saved at 19:47:59, on 22.12.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\SYSTEM32\GEARSEC.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\mqsvc.exe
C:\WINDOWS\System32\mqtgsvc.exe
C:\Programme\ICQ\ICQ.exe
E:\Sierra\Steam\Steam.exe
C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Symbolleiste\hijackthis1982\HijackThis.exe

O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\Programme\ICQ\NDetect.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O17 - HKLM\System\CCS\Services\Tcpip\..\{DE0EDD66-C754-412B-B475-66DAEA421867}: NameServer = 213.191.74.19 213.191.92.86



file3

Logfile of HijackThis v1.98.2
Scan saved at 19:49:34, on 22.12.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\SYSTEM32\GEARSEC.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\mqsvc.exe
C:\WINDOWS\System32\mqtgsvc.exe
C:\Programme\ICQ\ICQ.exe
E:\Sierra\Steam\Steam.exe
C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Symbolleiste\hijackthis1982\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = hxxp://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = hxxp://www.microsoft.com/isapi/redir.dll?Prd=ie&Pver=5.0&Ar=ie5update&O1=b1
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=runonce&pver=6.0&plcid=0x0407
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\Programme\ICQ\NDetect.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O17 - HKLM\System\CCS\Services\Tcpip\..\{DE0EDD66-C754-412B-B475-66DAEA421867}: NameServer = 213.191.74.19 213.191.92.86

Cidre 22.12.2004 20:18
Zitat:
Was meinst du? Mein System ist nicht gepacht?
Dein Systems weist erhebliche Sicherheitslücken auf, die mittels kostenlose Patches von Microsoft geschlossen werden und auch sollten!

Zitat:
Aber Escan habe ich 2 std. durchlaufen lassen und dann konnte ich die gefunden Datein nicht löschen! Toll!
Dein Informationsfluss ist überwältigend. Wenn du das mal ausführen würdest, dann wäre ich um einiges schlauer: Öffne die mwav.log -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.

Zitat:
Was ist daran so schlimm wenn ich als Admin Surfe?
Jede Malware die du dir mittels Sicherheitslücke IE und anderen diversen Schwachstellen bei deinen Online Aufenthalte installierst, haben die selben Rechte wie der aktuelle Benutzer, in deinem Fall administrative Rechte. Die Malware kann sich so problemlos in die Registry schreiben, in den Systemordner kopieren, Systemdateien verändern usw.
Bei einem eingeschränkten Benutzer kann sich die Schadroutine der Malware nicht oder nur bedingt entfalten und der dadurch entstande Schaden ist relativ gering.

Lese diesen Link und handle danach:
http://www.mathematik.uni-marburg.de...ompromise.html

The_Knight 22.12.2004 20:33
Zitat:
Zitat von Cidre
Dein Systems weist erhebliche Sicherheitslücken auf, die mittels kostenlose Patches von Microsoft geschlossen werden und auch sollten!
Ich habe kein Org. Windows Xp drauf, kann ich das damit auch machen?(Wir haben 3 org. im Haus)


Zitat:
Zitat von Cidre
Dein Informationsfluss ist überwältigend. Wenn du das mal ausführen würdest, dann wäre ich um einiges schlauer: Öffne die mwav.log -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.
In der Datei steht nur: Wed Dec 22 17:23:21 2004 => AV Library Unloaded (3)..

Mfg

The_Knight

Cidre 22.12.2004 20:40
Zitat:
Ich habe kein Org. Windows Xp drauf, kann ich das damit auch machen?
Du kannst dir zwar keine Service Packs installieren, aber die Sicherheitsupdates kannst du dir runterladen.
Für gewöhnlich kauft man auch die Software, die man einsetzt.

Wahrscheinlich hast du eScan abermals gestartet und dann abgebrochen, ansonsten kann ich mir dies nicht erklären.

The_Knight 22.12.2004 22:26
Ja, das habe ich gemacht!

Was kann ich jetzt noch tun? Escan geht ihrgendwie nicht!

Ich werde mir diesen langen Bericht durchlesen..und sonst, was kann ich tun?

Mfg

The_Knight

Ps.

File


Logfile of HijackThis v1.98.2
Scan saved at 22:26:37, on 22.12.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\SYSTEM32\GEARSEC.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\mqsvc.exe
C:\WINDOWS\System32\mqtgsvc.exe
C:\Programme\Microsoft Office\Office10\OUTLOOK.EXE
C:\Programme\Mozilla\mozilla.exe
C:\Programme\ICQ\ICQ.exe
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Symbolleiste\hijackthis1982\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.microsoft.com/isapi/redir...e5update&O1=b1
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.microsoft.com/isapi/redir...0&plcid=0x0407
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\Programme\ICQ\NDetect.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O17 - HKLM\System\CCS\Services\Tcpip\..\{DE0EDD66-C754-412B-B475-66DAEA421867}: NameServer = 213.191.74.19 213.191.92.86

Cidre 22.12.2004 22:35
Dein Log-File sieht momentan sauber aus, aber wie lange der Zustand beibehalten werden kann, hängt von dir ab.
Nochmal, arbeite dies durch:
http://www.mathematik.uni-marburg.de...ompromise.html


Alle Zeitangaben in WEZ +1. Es ist jetzt 23:03 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131