Trojaner-Board - Was ist das denn? Komme gar nicht mehr zurecht.

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Was ist das denn? Komme gar nicht mehr zurecht. (https://www.trojaner-board.de/15137-denn-komme-gar-mehr-zurecht.html)

Was ist das denn? Komme gar nicht mehr zurecht.

Hallo Leute.
Ich hab anscheinend einen Websiteviewer auf meinem PC ( bei der Arbeit!! )
Kennt sich da einer von euch aus? Ich habe schon mal ein Hijack this Log erstellt:

Logfile of HijackThis v1.99.1
Scan saved at 09:52:51, on 09.03.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\NavNT\defwatch.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\NavNT\rtvscan.exe
C:\Programme\Funk Software\Proxy Host\PHOST32.EXE
C:\Programme\NavNT\vptray.exe
C:\Programme\Microsoft AntiSpyware\gcasServ.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe
C:\Programme\Funk Software\Proxy Host\PH32SVC.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\system32\m?hta.exe
C:\Programme\WebSiteViewer\127035.dlr
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Microsoft AntiSpyware\GIANTAntiSpywareMain.exe
C:\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5A678F33-6CA3-6022-83AB-6034E720B4B2} - C:\WINDOWS\System32\tnbavqc.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ProxyHostTrayIcon] "C:\Programme\Funk Software\Proxy Host\PHOST32.EXE" -s
O4 - HKLM\..\Run: [vptray] C:\Programme\NavNT\vptray.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://appldnld.m7z.net/qtinstall.in...lInstaller.exe
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/aio/de/check/qdiagh.cab?316
O17 - HKLM\System\CCS\Services\Tcpip\..\{35410AC9-4E8B-41AF-BD53-B80E1333458A}: NameServer = 213.148.129.10,213.148.130.10
O17 - HKLM\System\CCS\Services\Tcpip\..\{8AB7B4E3-63B6-4847-887B-F69210DC1655}: NameServer = 192.168.122.252,192.168.122.253
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll
O23 - Service: DefWatch - Symantec Corporation - C:\Programme\NavNT\defwatch.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Norton AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Programme\NavNT\rtvscan.exe
O23 - Service: Proxy Host Service (ProxyHostService) - Funk Software, Inc. - C:\Programme\Funk Software\Proxy Host\PH32SVC.EXE

Würde mich riesig freuen, wenn ihr mir helfen könnt.

@boca1
du hast mehrere probleme.
es fängt hier schon an
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
erst system und IE updaten.

lade dann escan
download
anleitung
EscanErgebnis
Teile uns das Ergebnis des eScan mit: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen."

chaosman

Hallo chaosman ,

bitte entschuldige die Verzögerung. Ich kann leider das Betriebssystem nicht aktualisieren, da es mein PC bei der Arbeit ist.

Hier das Ergebnis von eScan:

File C:\WINDOWS\ibs.exe infected by "not-a-virus:Porn-Downloader.Win32.TibSystems" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\shch.exe infected by "Backdoor.Win32.Webdor.p" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\cyzuut.exe infected by "not-a-virus:Porn-Downloader.Win32.TibSystems" Virus. Action Taken: No Action Taken.

Zitat:

Ich kann leider das Betriebssystem nicht aktualisieren, da es mein PC bei der Arbeit ist.

da hast Du wahrscheinlich noch ein größeres Problem, denn Da ist ein Backdoor Trojaner drauf siehe hier

# Ermöglicht Dritten den Zugriff auf den Computer
# Reduziert die Systemsicherheit
# Installiert sich in der Registrierung

Das bedeutet Du bist Kompromittiert lese mal in Ruhe und setze neu auf

Das dauert bei mir sehr lange bis der Link "Kompromittiert" sich öffnet. Wenn er sich überhaupt noch mal öffnet. Ist das normal?

Das klingt ja gar nicht gut.
Âuf diesem Rechner wird kein Online-Banking etc. gemacht. Was kann der 'Angreifer' denn alles manipulieren? Ich habe schon unserem IT-Typen gesagt, dass ein Trojaner/Downloader auf dem System ist. Er meinte nur ganz locker: " Wenn es nicht bei der Arbeit stört...und es wäre ja nicht an ein Modem angeschlossen.
Gibt es noch eine andere Variante wenn ich davon ausgehe, dass die Daten die Möglicherweise schon ausspioniert worden keine Bedeutung für eine dritten haben?

Zitat:

Er meinte nur ganz locker: " Wenn es nicht bei der Arbeit stört...und es wäre ja nicht an ein Modem angeschlossen.

Super cooler Typ.
Wenn Du mit dem Rechner überhaupt nicht ans Netz gehst kann auch nichts mehr ausspioniert werden. Man kann aber auch nicht genau sagen was durch den Virus schon an Systemdateien verändert wurde. Es ist kein vertrauenswürdiges System mehr. Daher die sicherste Lösung des Neuaufsetzen's
Wenn das aber für den IT Typen kein Problem weiter darstellt dann sollte er es unter dem Reiter Erweitert
bereinigen. Eine Sicherheit, das sei nochmal betont, ist das nicht

Hmmm...! Wie immer ist es sehr schwierig das Interesse des IT Typen mal auf meinen Rechner zu lenken. Die haben ja immer "wichtigere" Dinge zu tun. Ich bin natürlich bei der Chef-Etage auch unten durch wenn ich das an die Grosse Glocke hänge. Wie kann so etwas eigentlich passiert sein? Ich öffne nie Dateianhänge zu e-mails und besuche auch keine merkwürdigen Seiten im Internet. Was mich jetzt etwas besorgt, ist dass der PC per LAN permanent im Internet ist.

Zitat:

Wie kann so etwas eigentlich passiert sein? Ich öffne nie Dateianhänge zu e-mail

dein problem hat Dir Chaosman schon beschrieben, Du bist offen wie ein Scheunentor

Zitat:

Zitat Chaosman:es fängt hier schon an
Platform: Windows XP (WinNT 5.01.2600)

Zitat:

Was mich jetzt etwas besorgt, ist dass der PC per LAN permanent im Internet ist.

In meinem letzten Posting stand wenn Du überhaupt nicht ans Netz gehst das schliesst das LAN mit ein, aber Du kannst auch warten bis die anderen Rechner auch verseucht sind :nixda:

Obwohl -oder gerade weil- ich auch so eine IT-Type bin, muss ich nach dem hier gelesenen den Anwender boca1 in Schutz nehmen.

Dass das System auf einem Uralt-Stand ist (keinerlei ServicePacks und dergleichen) ist dem Beschriebenen nach keine Schuld des Anwenders und ein patchen sollte ihm 'normalerweise' auch nicht möglich sein. Genausowenig hilft hier der Ratschlag, er solle das System neu aufsetzen. Das sollte er nämlich gar nicht können!

Ich kann eigentlich nur den Rat geben, dass Du dem Admin (=IT-Type) noch einmal eindringlich schilderst, dass an dem System etwas nicht stimmt. Am Besten per Mail. Evtl. mit nem Link zu diesem Thread.
Viel mehr kann man als Anwender an einem Firmenrechner in so einer Situation nicht tun... :(

Wenn dann die IT meint, nichts Unternehmen zu müssen, ist das zwar traurig und erschreckend, aber als letzte Möglichkeit bleibt imho wirklich nur, die Firmenleitung zu informieren...

Zitat:

Dass das System auf einem Uralt-Stand ist (keinerlei ServicePacks und dergleichen) ist dem Beschriebenen nach keine Schuld des Anwenders und ein patchen sollte ihm 'normalerweise' auch nicht möglich sein. Genausowenig hilft hier der Ratschlag, er solle das System neu aufsetzen. Das sollte er nämlich gar nicht können!

Full Ack.
Aber ich frage mich gerade, WAS dieser IT´ler dann für eine Daseinsberechtigung hat?!
Den Job vernachlässigen, die Stunden absitzen und dafür noch Kohle kassieren! Kann eigentlich nicht im Sinne der Firma sein.

So...jetzt bin ich zuhause an meinem 'sauberen PC' (hoffentlich).
Ich danke euch schon mal für eure Ratschläge. Ich werde das mich noch mal mit dem Admin in Verbindung setzen. Hoffentlich kann euch bald etwas erfreuliches berichten.

Zitat:

Zitat von boca1

... zuhause an meinem 'sauberen PC' (hoffentlich)....

Da fällt mir selbst grad ein: Viellecht könnt ihr mir das mal bestätigen? Kann mir ja doch ncht so sicher sein.

Also mal ein HijackThis Log von meinem Privatem Pc:

Logfile of HijackThis v1.99.1
Scan saved at 09:23:17 PM, on 2005/03/14
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Norman\bin\ZANDA.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\fxssvc.exe
C:\Norman\bin\NJEEVES.EXE
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\Norman\bin\ZLH.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\Microsoft AntiSpyware\gcasServ.exe
C:\Programme\FRITZ!\FriVox32.exe
C:\Programme\FRITZ!\FriFax32.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe
C:\Norman\Nvc\BIN\nipsvc.exe
C:\NORMAN\nvc\BIN\nvcoas.exe
C:\NORMAN\nvc\BIN\NVCSCHED.EXE
C:\Norman\Nvc\BIN\NIP.EXE
C:\NORMAN\Nvc\BIN\nipsvc.exe
C:\Norman\Nvc\bin\cclaw.exe
C:\Programme\Internet Explorer\iexplore.exe
c:\Programme\Microsoft Works\MSWorks.exe
c:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\Microsoft Office\Office\WINWORD.EXE
C:\WINDOWS\msagent\AgentSvr.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\HJT\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wein-plus.de/weinjobs/index.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wein-plus.de/weinjobs/index.htm
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Norman ZANDA] C:\Norman\bin\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKCU\..\Run: [FritzVox] C:\Programme\FRITZ!\FriVox32.exe
O4 - HKCU\..\Run: [FritzFax] C:\Programme\FRITZ!\FriFax32.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Backward Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Similar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://c:\programme\google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\PROGRA~1\AIM\aim.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/v...fo/webscan.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{611E8D7F-30BE-4AB5-BED0-90052D0EDA58}: NameServer = 62.26.136.136 62.27.27.62
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\NORMAN\Nvc\BIN\nipsvc.exe
O23 - Service: Norman NJeeves - Unknown owner - C:\Norman\bin\NJEEVES.EXE
O23 - Service: Norman ZANDA - Unknown owner - C:\Norman\bin\ZANDA.EXE
O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\NORMAN\nvc\BIN\nvcoas.exe
O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman Data Defense Systems - C:\NORMAN\nvc\BIN\NVCSCHED.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe

Dein Log-File von deinem eigenen System sieht sauber aus.