Trojaner-Board - Kann ma bitte jemand prüfen, Prob nach Virenmeldung

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Kann ma bitte jemand prüfen, Prob nach Virenmeldung (https://www.trojaner-board.de/19699-ma-bitte-jemand-pruefen-prob-virenmeldung.html)

Kann ma bitte jemand prüfen, Prob nach Virenmeldung

Hallo,

ich habe letztens ausversehen auf einen popup geklickt, seither habe ich eine Fehlermeldung einer fehlenden dll, ich kann sie aber nicht richtig lesen, da sie immer nur beim herunterfahren für einen Bruchteil einer sek zu sehen ist, ich habe mal einen Virencheck gemacht und in der quarantäne folgende einträge:

h**p://198.88.20.158/get/get.php?40080&M=0
h**p://222.208.168.130/b?,0.21,2,1

mit hijack ergibt sich folgender logfile:

Logfile of HijackThis v1.99.1
Scan saved at 11:26:09, on 10.07.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Java\j2re1.4.2_02\bin\jusched.exe
C:\Programme\GigaByte\VGA Utility Manager\G-VGA.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Eset\nod32kui.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\WINDOWS\system32\xjnad.exe
C:\WINDOWS\system32\tnack.exe
C:\WINDOWS\fw_304.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Adobe\Distillr\AcroTray.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\LANCOM\Advanced_VPN_Client\ncprwsnt.exe
C:\Programme\LANCOM\Advanced_VPN_Client\ncpsec.exe
C:\Programme\Eset\nod32krn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\LANCOM\Advanced_VPN_Client\rwsrsu.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\fw_304.exe
C:\WINDOWS\system32\wuauclt.exe
U:\Tool+Programme\HighJack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_02\bin\jusched.exe
O4 - HKLM\..\Run: [NVidia System Utility] "C:\Programme\NVIDIA Corporation\NVIDIA System Utility\\NVSystemUtility.exe" clear
O4 - HKLM\..\Run: [NVRTCLK] C:\WINDOWS\system32\NVRTCLK\NVRTClk.exe
O4 - HKLM\..\Run: [PathNvidiaTV] C:\Program Files\Gigabyte\Nvidia\patchnvidiaTVout.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [VGAUtil] C:\Programme\GigaByte\VGA Utility Manager\G-VGA.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [NcpPopup] "C:\Programme\LANCOM\Advanced_VPN_Client\ncppopup.exe" noerrmsg
O4 - HKLM\..\Run: [NcpBudget] "C:\Programme\LANCOM\Advanced_VPN_Client\ncpbudgt.exe"
O4 - HKLM\..\Run: [HDAudio Driver 1.0] C:\WINDOWS\system32\xjnad.exe
O4 - HKLM\..\Run: [HDAudio Driver 2.0] C:\WINDOWS\system32\tnack.exe
O4 - HKLM\..\Run: [antivirus] C:\WINDOWS\fw_304.exe /i
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Acrobat Assistant.lnk = D:\Adobe\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_02\bin\npjpi142_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_02\bin\npjpi142_02.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1120983078671
O17 - HKLM\System\CCS\Services\Tcpip\..\{C47C0469-87A6-4BCE-A61C-5B9F82711B00}: NameServer = 217.237.149.225 217.237.151.97
O23 - Service: ncprwsnt - Unknown owner - C:\Programme\LANCOM\Advanced_VPN_Client\ncprwsnt.exe
O23 - Service: NcpSec - Unknown owner - C:\Programme\LANCOM\Advanced_VPN_Client\ncpsec.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Programme\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: RwsRsu (rwsrsu) - Unknown owner - C:\Programme\LANCOM\Advanced_VPN_Client\rwsrsu.exe

danke für die Hilfe im Voraus

alex

Editiere zunächst bitte alle aktiven Links-->mach aus http->h**p.
Scanne dein System wie beschrieben mit Escan .
Teile uns die Ergebnisse mit.

habe nach e-scan alle infizierten dateien die mit backdoor.w32... waren entfernt und dann e-scan nochmals durchlaufen lassen, danach wurden keine weiteren dateien dieser art angezeigt nur noch addware im file-bereich, diese kann ich aber nicht finden, ebenfalls werden mehrere dateien angezeigt mit der bezeichnung w32.reboot... was sind das für dateien???

habe mir überlegt aufgrund der tatsache das es sich um einen backdoor handelte das ich mein sys neu aufsetzen werde, denke das dann alle dateifrakmente verschwunden seien sollten.

hier noch mal mein neuer hijack file, schaut mal drüber:

Logfile of HijackThis v1.99.1
Scan saved at 20:56:17, on 11.07.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Java\j2re1.4.2_02\bin\jusched.exe
C:\Programme\GigaByte\VGA Utility Manager\G-VGA.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Eset\nod32kui.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\WINDOWS\system32\xjnad.exe
C:\WINDOWS\system32\tnack.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Adobe\Distillr\AcroTray.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\LANCOM\Advanced_VPN_Client\ncprwsnt.exe
C:\Programme\LANCOM\Advanced_VPN_Client\ncpsec.exe
C:\Programme\Eset\nod32krn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\LANCOM\Advanced_VPN_Client\rwsrsu.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
U:\Tool+Programme\HighJack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_02\bin\jusched.exe
O4 - HKLM\..\Run: [NVidia System Utility] "C:\Programme\NVIDIA Corporation\NVIDIA System Utility\\NVSystemUtility.exe" clear
O4 - HKLM\..\Run: [NVRTCLK] C:\WINDOWS\system32\NVRTCLK\NVRTClk.exe
O4 - HKLM\..\Run: [PathNvidiaTV] C:\Program Files\Gigabyte\Nvidia\patchnvidiaTVout.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [VGAUtil] C:\Programme\GigaByte\VGA Utility Manager\G-VGA.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [NcpPopup] "C:\Programme\LANCOM\Advanced_VPN_Client\ncppopup.exe" noerrmsg
O4 - HKLM\..\Run: [NcpBudget] "C:\Programme\LANCOM\Advanced_VPN_Client\ncpbudgt.exe"
O4 - HKLM\..\Run: [HDAudio Driver 1.0] C:\WINDOWS\system32\xjnad.exe
O4 - HKLM\..\Run: [HDAudio Driver 2.0] C:\WINDOWS\system32\tnack.exe
O4 - HKLM\..\Run: [antivirus] C:\WINDOWS\fw_304.exe /i
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Acrobat Assistant.lnk = D:\Adobe\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_02\bin\npjpi142_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_02\bin\npjpi142_02.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1120983078671
O17 - HKLM\System\CCS\Services\Tcpip\..\{C47C0469-87A6-4BCE-A61C-5B9F82711B00}: NameServer = 217.237.149.225 217.237.151.97
O23 - Service: ncprwsnt - Unknown owner - C:\Programme\LANCOM\Advanced_VPN_Client\ncprwsnt.exe
O23 - Service: NcpSec - Unknown owner - C:\Programme\LANCOM\Advanced_VPN_Client\ncpsec.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Programme\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: RwsRsu (rwsrsu) - Unknown owner - C:\Programme\LANCOM\Advanced_VPN_Client\rwsrsu.exe

Hallo alex2206,

eine Neuinstallation ist auf jeden Fall anzuraten.
Zumal bei Dir immer noch 2 Backdoors sehr aktiv sind!

dartus

Danke euch allen, habe jetzt wieder alles neu und mir mal ne ordendliche BackupPartition angelegt und ein sauberes image mit allen features angelegt)))

glaube jetzt, geschützt durch hardwarerouter und virensoftware ein einigermassen sicheres sysem zu besitzen und falls mal wieder so ne scheisse passiert, einfach mein startimage wieder herstellkann für die nächste zeit gewappnet zu sein.
:huepp:

also danke danke danke