Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Sagt Logfile was dazu: Nach Bildschirmwackeln kein I-Net verfügbar (https://www.trojaner-board.de/12421-sagt-logfile-dazu-bildschirmwackeln-kein-i-net-verfuegbar.html)

Paumuell 19.01.2005 15:36
Sagt Logfile was dazu: Nach Bildschirmwackeln kein I-Net verfügbar
 
Hallo liebe Board-Leser,

könnte es sein, dass sich auf meinem PC ein Trojaner eingenistet hat, den Antivir, Adaware und Spybot nicht finden?

10-15 Min. nach jedem Booten ist kein Internetzugriff mehr möglich. Die anderen PC's am Router/Switch sind offenbar nicht beeinträchtigt.

Könnte das mehrfache kurze Wackeln des Bildes auf dem Monitor damit im Zusammenhang stehen?

Ganz, ganz lieben Dank, wenn sich Jemand mal den Logfile ansehen würde, ob was auffällt:

Logfile of HijackThis v1.99.0
Scan saved at 15:24:27, on 19.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\WatchGuard\Mobile User VPN\IreIKE.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\WatchGuard\Mobile User VPN\IPSecMon.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\Ahead\InCD\InCD.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\WatchGuard\Mobile User VPN\SafeCfg.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe
C:\Programme\HijackThis v1.99.0\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.fujitsu-siemens.de
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [WinVNC] "C:\Programme\RealVNC\WinVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [FinePrint Dispatcher v5] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Mobile User VPN.lnk = C:\Programme\WatchGuard\Mobile User VPN\SafeCfg.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=http://www.fujitsu-siemens.de
O15 - Trusted IP range: 67.19.178.84
O15 - Trusted IP range: 67.19.178.84 (HKLM)
O16 - DPF: {9BC681EE-D40C-4A77-B690-5092AA4B1D5B} (MplayActiveX Element) - http://dzt-schulung.net-pioneer.biz/elearning/Mplay.cab
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: BitDefender Scan Server - Unknown - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: SafeNet Monitor Service - SafeNet - C:\Programme\WatchGuard\Mobile User VPN\IPSecMon.exe
O23 - Service: SafeNet IKE Service - SafeNet - C:\Programme\WatchGuard\Mobile User VPN\IreIKE.exe
O23 - Service: TuneUp WinStyler Theme Service - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: VNC Server - RealVNC Ltd. - C:\Programme\RealVNC\WinVNC\WinVNC.exe

Shadowdance 21.01.2005 07:28
@ Paumuell

um sicher zu gehen, dass Du keine Malware auf dem Rechner hast, überprüfe Dein System bitte mit dem eScan.

Erstelle dazu zunächst einen neuen Ordner "c:\bases". Downloade den eScan. Beachte dazu die Anleitung im Link. Entpacke den eScan in den neuen Ordner "bases" auf "C:". Update den eScan online (siehe Anleitung) und führe ihn offline im abgesicherten Modus aus. Der eScan löscht die gefundene Malware nicht, das wird - so möglich - manuell gemacht.

Teile uns mit wieviel Viren auf Deinem Rechner gefunden wurden:

=>Total Number of Files Scanned:
=>Total Number of Virus(es) Found:
***** Scanning complete. *****

Bitte gib die Namen der Viren an: "öffne die mwav.log (oder die mwXface.log) -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Cidre zitiert)

Paumuell 27.01.2005 15:51
eScan: Total Number of Virus(es) Found: 111
 
Hallo Shadowdance,

zuerst einmal ganz lieben Dank, dass du dir meinen Logfile ansehen willst. :bussi:

Habe alle so wie von dir beschrieben im abgesicherter Modus gemacht. Hier das Ergebnis:

=>Total Number of Files Scanned: 134810
=>Total Number of Virus(es) Found: 111 :snyper:
***** Scanning complete. *****

upps, habe ich erst gedacht, warum finden die aktuellen Scanner von Antivir, Adaware, Spybot nix???


Hier jetzt die Auflistung:

C:\Programme\RealVNC\WinVNC\WinVNC.exe infected by not-a-virus:RiskWare.RemoteAdmin.WinVNC-based.c 12:59:48:500 :[00000001]
File C:\WINDOWS\System32\securer\syshost.exe infected by TrojanSpy.Win32.Agent.w
File C:\WINDOWS\hosts infected by Trojan.Win32.Qhost.k
File C:\WINDOWS\loadnew.exe infected by TrojanDownloader.Win32.Small.yx
File C:\WINDOWS\System32\securers.dll infected by TrojanSpy.Win32.Agent.w
\TEMPOR~1\Content.IE5\6VQ3YXIV\loadadv156[1].exe infected by TrojanDownloader.Win32.Small.yx
\TEMPOR~1\Content.IE5\6VQ3YXIV\x[1].chm infected by TrojanDownloader.Win32.Small.yx
\TEMPOR~1\Content.IE5\AZQV69Y3\classload[1].jar infected by Trojan.Java.ClassLoader.c
\TEMPOR~1\Content.IE5\AZQV69Y3\x[1].chm infected by TrojanDownloader.Win32.Small.yx
\TEMPOR~1\Content.IE5\B3XBZDKO\js[1].htm infected by Exploit.CodeBaseExec
\TEMPOR~1\Content.IE5\B3XBZDKO\x[1].chm infected by TrojanSpy.Win32.Agent.w
\TEMPOR~1\Content.IE5\CJCTQTI7\enter[1].htm infected by Trojan-Downloader.JS.Psyme.ae
\TEMPOR~1\Content.IE5\CJCTQTI7\open[1].exe infected by TrojanSpy.Win32.Agent.w
\TEMPOR~1\Content.IE5\O1CRGNK3\bridge-c15[1].cab infected by not-a-virus:AdWare.WinAD.n
\TEMPOR~1\Content.IE5\O1CRGNK3\loadadv157[1].exe infected by TrojanDownloader.Win32.Small.yx
\TEMPOR~1\Content.IE5\O1CRGNK3\load[1].exe infected by TrojanDownloader.Win32.Small.yx
\TEMPOR~1\Content.IE5\P3JZLT0E\index[1].htm infected by Trojan-Downloader.JS.Small.y
\TEMPOR~1\Content.IE5\W3LFIEJ1\loaderadv156[1].jar infected by Trojan.Java.ClassLoader.h
\TEMPOR~1\Content.IE5\W3LFIEJ1\loaderadv157[1].jar infected by Trojan.Java.ClassLoader.h


Da es offenbar zu viele Zeichen/Zeilen sind, hab ich das kplt. Ergebnis als zweiteiligen Anhang (050124eScan.txt und 050124eScan2.txt) beigefügt...


19:01:16:781 :[00000001] File C:\Programme\RealVNC\WinVNC\othread2.dll infected by not-a-virus:RiskWare.RemoteAdmin.WinVNC-based.c
19:01:16:843 :[00000001] File C:\Programme\RealVNC\WinVNC\vnchooks.dll infected by not-a-virus:RiskWare.RemoteAdmin.WinVNC-based.c
19:09:46:296 :[00000001] File C:\System Volume Information\_restore{9C69B003-367F-4800-B26A-51EFD0541C77}\RP365\A0031436.exe infected by Trojan.Win32.Qhost.al
19:10:40:062 :[00000001] File C:\System Volume Information\_restore{9C69B003-367F-4800-B26A-51EFD0541C77}\RP372\A0032747.exe infected by TrojanDownloader.Win32.Small.yx
19:10:41:296 :[00000001] File C:\System Volume Information\_restore{9C69B003-367F-4800-B26A-51EFD0541C77}\RP372\A0032756.exe infected by TrojanSpy.Win32.Agent.w
19:31:17:609 :VirusCount = 116626 Latest Date = 2005/01/24
[msvLclnt.dll] [0x000001dc] 24/01/2005 20:08:04:359 :VirusCount = 116626 Latest Date = 2005/01/24


Alle Zeitangaben in WEZ +1. Es ist jetzt 13:13 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131