|
Goabot oder Desktop.html Hallo, bin hier am Rechner eines Kollegen, der mich um Hilfe gebeten hat.... Ich würde Ihm gerne Helfen, aber die Anwendung von gängigen Tools bringt keine Verbesserung. Deshalb wende ich mich jetzt an die Profis.... Also... ich fand den Rechner mit etwa 20 Spy-tools vor.... und dem allseits bekannten desktop.html "Windows Error"... schwarzes Fenster auf bleuem Grund.... Spysweeper, Bitdefender, und Symantec Goabot fix, sowie Spybot Search&Destroy glauben das System wäre clean.... allerdings passieren hier mitunter Bitdefender Warnungen das Programme geblockt wurden.... Und das Desktopbild läßt sich immernochnicht ändern... Hier ist noch was faul... Würde mich freuen wenn Ihr mir nen Tipp geben könntet.... Hier das Logfile.... Logfile of HijackThis v1.99.1 Scan saved at 16:27:14, on 27.05.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\Services\{71B6341D-E0AC-4C61-A91D-2440DA5BA6BB}\SVCHOST.EXE C:\PROGRA~1\SecCopy\SecCopy.exe C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe C:\Programme\Spybot - Search & Destroy\SpybotSD.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe C:\Programme\Softwin\BitDefender8\vsserv.exe c:\programme\softwin\bitdefender8\bdmcon.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Dokumente und Einstellungen\Line\Desktop\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - C:\Programme\Ipswitch\WS_FTP Home\wsbho2k0.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [StarMoneyRunEntry] "C:\Programme\StarMoney Business 1.0 S-Edition\oflagent.exe" O4 - HKLM\..\Run: [BDOESRV] C:\Programme\Softwin\BitDefender8\\bdoesrv.exe O4 - HKLM\..\Run: [BDNewsAgent] C:\PROGRA~1\Softwin\BITDEF~1\bdnagent.exe O4 - HKLM\..\Run: [BDMCon] C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKCU\..\Run: [Second Copy 2000] "C:\PROGRA~1\SecCopy\SecCopy.exe" O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /0 O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: + Offline &Explorer: Download the link - file://C:\Programme\Offline Explorer\Add_UrlO.htm O8 - Extra context menu item: + Offline E&xplorer: Download the current page - file://C:\Programme\Offline Explorer\Add_AllO.htm O17 - HKLM\System\CCS\Services\Tcpip\..\{9FAB252A-7D72-41F8-A2E4-A8B6B688B97C}: NameServer = 192.168.0.1 O17 - HKLM\System\CS1\Services\Tcpip\..\{9FAB252A-7D72-41F8-A2E4-A8B6B688B97C}: NameServer = 192.168.0.1 O17 - HKLM\System\CS2\Services\Tcpip\..\{9FAB252A-7D72-41F8-A2E4-A8B6B688B97C}: NameServer = 192.168.0.1 O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Programme\Softwin\BitDefender8\vsserv.exe O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe O23 - Service: {9fitnaegnl - Softwin - (no file) PS: Sieht auf den ersten Blick eigentlich gut aus.... aber gebt mir mal nen OK, damit ich mich beruhigen kann ;) VLG Chris |
@Christian Sturm Zitat:
Zitat:
Zitat:
Bitte neu aufsetzen. Anleintung -Link in meiner Signatur. |
Alternativen? *heul* Das dauert Jahre die Mühle wieder so herzustellen, das es so ist wie jetzt (ohne Backdoor). Im Ernst, ist mir schon klar, daß 100%tige Sicherheit nur durch neuaufsetzen des OS gegeben ist, aber gibt es nicht eine.... Feierabendfreundlichere Variante? :heulen: :balla: :pukeface: :headbang: :eek: :huepp: :lmaa: Neiiiiieeennnn!!!!!! HÜÜÜLLLFFEEE!!!!!! |
Überprüfe die folgenden Dateien online bei http://virusscan.jotti.org/de und poste das Ergebnis. Zitat:
|
Datei: winstall.exe Status: INFIZIERT/MALWARE (Anmerkung: Es wurde nur nicht-destruktive Malware gefunden. Obwohl diese Art von Malware lästig sein kann, werden die Ergebnisse nicht in der Datenbank gespeichert.) Entdeckte Packprogramme: - AntiVir Keine Viren gefunden Avast Keine Viren gefunden AVG Antivirus Keine Viren gefunden BitDefender Keine Viren gefunden ClamAV Keine Viren gefunden Dr.Web Trojan.Fakealert gefunden F-Prot Antivirus Keine Viren gefunden Fortinet Keine Viren gefunden Kaspersky Anti-Virus not-virus:Hoax.Win32.Renos.a gefunden mks_vir Keine Viren gefunden NOD32 Keine Viren gefunden Norman Virus Control Keine Viren gefunden VBA32 Trojan.Fakealert gefunden --------------------------------------------------------------------- C:\Programme\StarMoney Business 1.0 S-Edition\oflagent.exe ist ok.... --------------------------------------------------------------------- VLG Chris |
Hier starren gerade 4 Personen auf den Monitor, und prosten auf Trojaner-Board.de :) Jungs bis hierher habt Ihr euch nen virtuelles Bierchen verdient ;) *prost* :aplaus: VLG Chris |
Um Klarheit zu bekommen, würde ich mal nach folgender Anleitung vorgehen: http://www.trojaner-board.com/showthread.php?t=17492 :party: Gruß :daumenhoc Yopie |
:kloppen: Logfile of HijackThis v1.99.1 Scan saved at 19:26:28, on 27.05.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe C:\Programme\Softwin\BitDefender8\vsserv.exe C:\WINDOWS\Explorer.EXE C:\Programme\StarMoney Business 1.0 S-Edition\_offla2.exe C:\WINDOWS\System32\taskmgr.exe C:\Programme\StarMoney Business 1.0 S-Edition\_mloaded.exe C:\Dokumente und Einstellungen\Line\Desktop\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - C:\Programme\Ipswitch\WS_FTP Home\wsbho2k0.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [StarMoneyRunEntry] "C:\Programme\StarMoney Business 1.0 S-Edition\oflagent.exe" O4 - HKLM\..\Run: [BDMCon] C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe O4 - HKLM\..\Run: [BDOESRV] C:\Programme\Softwin\BitDefender8\\bdoesrv.exe O4 - HKLM\..\Run: [BDNewsAgent] C:\PROGRA~1\Softwin\BITDEF~1\bdnagent.exe O4 - HKCU\..\Run: [Second Copy 2000] "C:\PROGRA~1\SecCopy\SecCopy.exe" O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /0 O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: + Offline &Explorer: Download the link - file://C:\Programme\Offline Explorer\Add_UrlO.htm O8 - Extra context menu item: + Offline E&xplorer: Download the current page - file://C:\Programme\Offline Explorer\Add_AllO.htm O17 - HKLM\System\CCS\Services\Tcpip\..\{9FAB252A-7D72-41F8-A2E4-A8B6B688B97C}: NameServer = 192.168.0.1 O17 - HKLM\System\CS1\Services\Tcpip\..\{9FAB252A-7D72-41F8-A2E4-A8B6B688B97C}: NameServer = 192.168.0.1 O17 - HKLM\System\CS2\Services\Tcpip\..\{9FAB252A-7D72-41F8-A2E4-A8B6B688B97C}: NameServer = 192.168.0.1 O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Programme\Softwin\BitDefender8\vsserv.exe O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe O23 - Service: {9fitnaegnl - Softwin - (no file) -------------------------------------------------------------------- Sind bereits bei Whisky angekommen :) Ich sag nur "Systemwiederherstellungspunkt" ;) *prost* :party: VLG Chris Gibst nen Statement zu unserer Lösung? Schönes Wochenende! |
Auf eine Anleitung für escan postest Du ein HJT-Log? Zuviel Whisky? :D Poste mal die escan-Funde, z.B. mithilfe der find.bat! SP2 fehlt! Gruß :daumenhoc Yopie |
Naja, also hauptproblem war die winstall.exe.... die ist weg.... ist der Weg der Systemwiederherstellung eine reelle Lösung? -Ich meine mal abgesehen von escan etc. ... VLG Chris |
Da du oben GAOBot erwähntest, solltest Du mit escan auf Nummer sicher gehen. Wenn so ein Backdoor aktiv war, dann ist Neuinstallation der einzig gangbare Weg. Gruß :daumenhoc Yopie |
OK, ich danke euch ertmal für die Hilfe..... Wünsche Euch nochmal nen schönes WE..... :aplaus: VLG Chris |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 11:16 Uhr. |
Copyright ©2000-2025, Trojaner-Board