Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Hilfe!!! (https://www.trojaner-board.de/16764-hilfe.html)

Christoph15 17.04.2005 15:54
Hilfe!!!
 
Ich bin eine absolute Computerniete - so viel vorneweg, um euch vorzuwarnen.
In letzter zeit ahbe ich zwei Probleme:

1) Verknüpfungen, Programme, Dateien etc. sind plötzlich weg. ich weiß nicht wie ich das sagen soll... So ist Mozilla Firefox zwar noch da, aber ich kann ihn nicht öffnen. Was ist das??

2) Mein AntiVIr - Guard meldet mir immer wieder, dass in "C:\DOKUME~1\Besitzer\LOKALE~1\Temp\se.dll" ein Trojaner hockt. Nämlich: "TR/StartPage.qr.dll"

Ich habe "Hijackthis" heruntgeladen, da ich im internet den Hinweis gefunden habe, dass ich das brauche, zum entfernen. Ich habe also gescannt und alle mit se.dll durch Neustart entfernen wollen. Jedoch weiß ich ncith, ob sich da wirklich was getan hat, er hat wzar neu gestartet, aber es ist ekiN programm zum Löschen hochgefahren oder so...
Na ja, dann habe ich sie mal nur gefixt, aber sie sind immer noch da...
Ich kopier mal das Logfile hier rein udn hoffe,d ass ihr mir helfen könnt...


Logfile of HijackThis v1.99.1
Scan saved at 16:53:43, on 17.04.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\userinit32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\hkcmd.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Microsoft AntiSpyware\gcasServ.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\OpenOffice.org1.1.4\program\soffice.exe
C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe
C:\Programme\Microsoft AntiSpyware\GIANTAntiSpywareMain.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Windows NT\Zubehör\WORDPAD.EXE
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\Temporäres Verzeichnis 12 für hijackthis_199.zip\HijackThis.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Microsoft AntiSpyware\gcasServAlert.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\Besitzer\LOKALE~1\Temp\se.dll/spage.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\Besitzer\LOKALE~1\Temp\se.dll/spage.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
F2 - REG:system.ini: UserInit=userinit.exe,userinit32.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {13EA1A5E-59CC-49A3-98A6-B2DEB7462479} - C:\WINDOWS\System32\ibld.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: OpenOffice.org 1.1.4.lnk = C:\Programme\OpenOffice.org1.1.4\program\quickstart.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{30F5FB8B-0132-4152-B9E6-03A86EA4F566}: NameServer = 217.237.150.141 217.237.150.97
O18 - Filter: text/html - {E83F2812-7689-486D-858A-8A77A8136BF4} - C:\WINDOWS\System32\ibld.dll
O18 - Filter: text/plain - {E83F2812-7689-486D-858A-8A77A8136BF4} - C:\WINDOWS\System32\ibld.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE

chaosman 17.04.2005 16:07
@Christoph15

als erstes: Bleibe bitte in einen thread.
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
dein system ist völlig veraltet,
also update system und IE ASAP

danach das hier
downloaden und laufen lassen.

dann ein neues HJT logfile posten

chaosman

Christoph15 17.04.2005 16:44
Wie, ine inem Thread bleiben??! Waqs meinst du??
Eigentlich nehme ich ja gar keinen IE, sondern Firefox...Geht das nicht?

chaosman 17.04.2005 16:51
@Christoph15
es reicht um alles in einen thread zu fragen.
http://www.trojaner-board.de/showthread.php?t=16766

Eigentlich nehme ich ja gar keinen IE, sondern Firefox...Geht das nicht?

zum windows und IE updaten benützt man den IE, würde ich an deiner stelle mal ASAP machen. Mit firefox kannst du dein system nicht updaten.


chaosman

Christoph15 18.04.2005 11:11
Der andere Thread war doch auch was anderes...
Okay, mit System auf den neuesten Stand bringen meinst du, ich soll mir den Service Pack 2 runterladen, oder?
Entschuldigt bitte mein Unwissen.

Christoph15 18.04.2005 13:04
Habe mir das ASPA runtergeladen und woltle es installieren, da kam das:

Error 1931: Der Windows Installer-Dienst kann die Systemdatei C:\WINDOWS\Sstem32\itircl.dll nicht aktuallisieren, weil die Datei von Windows geschützt wird. Sie müssen möglicherweiße Ds Betriebsystem aktalisieren, damitt dieses Programm korrekt funktionieren kann.

Cidre 18.04.2005 17:35
Zwei Threads mit fast gleichen Inhalt zu erstellen macht keinen Sinn und verärgert nur die Regulars! Entscheide dich nun für diesen Thread.

Führe dies aus -> http://www.trojaner-info.de/anleitun...out_blank.html

Scanne anschliessend mit eScan AntiVirus im abgesicherten Modus wie beschrieben und entferne die restliche Malware manuell.

Poste danach ein aktuelles HJT Log-File.

Christoph15 23.04.2005 18:03
Ich hab jetzt das System aktuallisiert und das Ding heruntergeladen hier das LOgfile. Das ist alles:

(23.4.05 19:00:29) SPSeHjFix started v1.1.2
(23.4.05 19:00:29) OS: WinXP Service Pack 2 (5.1.2600)
(23.4.05 19:00:29) Language: deutsch
(23.4.05 19:00:29) Win-Path: C:\WINDOWS
(23.4.05 19:00:29) System-Path: C:\WINDOWS\system32
(23.4.05 19:00:29) Temp-Path: C:\DOKUME~1\Besitzer\LOKALE~1\Temp\
(23.4.05 19:00:33) Disinfection started
(23.4.05 19:00:33) Bad-Dll(IEP): (not found)
(23.4.05 19:00:33) Bad-Dll(IEP) in BHO: (not found)
(23.4.05 19:00:33) UBF: 4 - UBB: 1 - UBR: 8
(23.4.05 19:00:33) UBF: 4 - UBB: 1 - UBR: 8
(23.4.05 19:00:33) Bad IE-pages: (none)
(23.4.05 19:00:33) Stealth-String not found
(23.4.05 19:00:33) Not infected->END



Ist so wenig....also nochmal mit dem alten programm:

Logfile of HijackThis v1.99.1
Scan saved at 19:03:27, on 23.04.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\fxssvc.exe
C:\WINDOWS\system32\userinit32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Microsoft AntiSpyware\gcasServ.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\OpenOffice.org1.1.4\program\soffice.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\DOKUME~1\Besitzer\LOKALE~1\Temp\Temporäres Verzeichnis 13 für hijackthis_199.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
F2 - REG:system.ini: UserInit=userinit.exe,userinit32.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: OpenOffice.org 1.1.4.lnk = C:\Programme\OpenOffice.org1.1.4\program\quickstart.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{30F5FB8B-0132-4152-B9E6-03A86EA4F566}: NameServer = 217.237.150.141 217.237.150.97
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE

chaosman 23.04.2005 19:03
@Christoph15
lasse diese datei
C:\WINDOWS\system32\userinit32.exe
ASAP
überprüfen
http://virusscan.jotti.org/de/
und poste das ergebnis

chaosman

Christoph15 23.04.2005 23:41
Datei: userinit32.exe
Status:
INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme:
EXESTEALTH

AntiVir
Worm/RBot.139684 gefunden
Avast
Keine Viren gefunden
AVG Antivirus
Keine Viren gefunden
BitDefender
Backdoor.RBot.4A4692EE gefunden
ClamAV
Keine Viren gefunden
Dr.Web
Win32.HLLW.MyBot.based gefunden
F-Prot Antivirus
Keine Viren gefunden
Fortinet
W32/RBot.B711 gefunden
Kaspersky Anti-Virus
Backdoor.Win32.Rbot.gen gefunden
mks_vir
Trojan.Rbot.A11 gefunden
NOD32
probably unknown NewHeur_PE gefunden (mögliche Variante)
Norman Virus Control
Sandbox: W32/Malware; [ General information ]

* **Locates window "NULL [class mIRC]" on desktop.
* File length: 139684 bytes.

[ Changes to filesystem ]
* Creates file C:\WINDOWS\SYSTEM\userinit32.exe.
* Deletes file 1.

[ Changes to registry ]
* Creates key "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon".
* Sets value "Userinit"="userinit.exe,userinit32.exe" in key "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon".
* Sets value "restrictanonymous"="" in key "HKLM\System\CurrentControlSet\Control\Lsa".
* Sets value "restrictanonymoussam"="" in key "HKLM\System\CurrentControlSet\Control\Lsa".

[ Network services ]
* Looks for an Internet connection.
* Connects to "tokeat.4two0.com" on port 13222 (TCP).
* Connects to IRC Server.

[ Process/window information ]
* Creates a mutex mpnewusit. gefunden
VBA32
Backdoor.Win32.Rbot.gen gefunden

Yopie 24.04.2005 00:51
Dir bleibt nichts anderers übrig als http://www.trojaner-info.de/report_i...nleitung.shtml zu beherzigen.

Grund dafür ist, dass Dein Betriebssystem völlig veraltet war und somit erhebliche Sicherheitslücken aufwies.

Gruß :daumenhoc
Yopie


Alle Zeitangaben in WEZ +1. Es ist jetzt 16:57 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131