Trojaner-Board
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Bitte anschauen ;) (https://www.trojaner-board.de/21427-bitte-anschauen.html)

Wasp 02.09.2005 09:44
Bitte anschauen ;)
 
Nachdem ich nu einiges erfolglos versucht habe, wende ich mich an die Profis hier um den Viren den Gar auszumachen. Ichhoffe ich bin noch nicht ganz verloren und komm um ein Neuaufsetzen des Systems herum :)

Ich weiß das einiges aktiv ist, das nicht sein sollte, aber da ich es nicht selbst in den Griff bekomme brauch ich eure Hilfe und bedanke mich dafür schonmal sehr im Vorraus .

Gruß Wasp

Logfile of HijackThis v1.99.1
Scan saved at 10:43:11, on 02.09.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\WINDOWS\Mixer.exe
C:\WINDOWS\System32\Grxp4exe.exe
C:\Program Files\Preview AdService\PrevAdServ.exe
C:\WINDOWS\System32\neta.exe
C:\Program Files\Preview AdService\PrevAdKeep.exe
C:\Programme\ISTsvc\istsvc.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\WINDOWS\System32\brss01a.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
C:\WINDOWS\system32\spoolsv.exe
c:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\msdos.pif
C:\Downloads\HijackThis.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\System32\msdos.pif

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem220.dll
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [Gravis Xperience Driver Support] Grxp4exe.exe /init
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Anti-Blaxx Manager] C:\Programme\Anti-Blaxx\Anti-Blaxx.exe
O4 - HKLM\..\Run: [Preview AdService] C:\Program Files\Preview AdService\PrevAdServ.exe
O4 - HKLM\..\Run: [Microsoft Update 32] neta.exe
O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [MSDOS Security Service] msdos.pif
O4 - HKLM\..\RunServices: [sysmngr32] sys64mnger.exe
O4 - HKLM\..\RunServices: [MSDOS Security Service] msdos.pif
O4 - HKLM\..\RunServices: [Microsoft Update 32] neta.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSDOS Security Service] msdos.pif
O4 - HKCU\..\RunServices: [MSDOS Security Service] msdos.pif
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1120762017750
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe
O23 - Service: Sophos Anti-Virus Statusreporter (SAVAdminService) - Sophos plc - c:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe
O23 - Service: Sophos Anti-Virus (SAVService) - Sophos plc - c:\Programme\Sophos\Sophos Anti-Virus\SavService.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: change me please (virus) - Unknown owner - C:\WINDOWS\sysdat.exe (file missing)

stupormundi 02.09.2005 09:59
Hallo Wasp!

Kurz und Bündig!
Allein dieser Eintrag
Zitat:
C:\WINDOWS\System32\msdos.pif
stammt von einem Backdoortrojaner
http://www.sophos.de/virusinfo/analyses/w32rbotaiy.html
Damit kann Dir nur noch ein neu Aufsetzen nach Cidres Anleitung
http://www.trojaner-board.de/showthread.php?t=12154
empfohlen werden. Alles andere macht keinen Sinn
bis denn, stupormundi

felix1 02.09.2005 10:03
Du solltest auch Dein Sicherheitsverhalten überprüfen, das System ist veraltet und ungepatcht.
Weiterhin war das aktiv:
C:\WINDOWS\sysdat.exe
Das ist der hier:
http://www.sophos.de/virusinfo/analyses/w32rbotgh.html

Du kommst um eine Neuinstallation nicht herum. Nehme den PC schnellstmöglich vom Netz.

Rene-gad 02.09.2005 10:08
@Wasp
Zitat:
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Dein System ist nicht uptodate. Davon kommt's:
Zitat:
C:\WINDOWS\System32\neta.exe
C:\WINDOWS\System32\msdos.pif
und ein Häufchen Kramm, wie IstBar & Co.
Also full ack @felix1. Link zur Anleitung in meiner Signatur.

felix1 02.09.2005 10:22
Zitat:
Zitat von Rene-gad
@felix1. Link zur Anleitung in meiner Signatur.
Warum soll ich die Anleitung lesen. Ich kenne sie doch. :nixda: :party:

Rene-gad 02.09.2005 10:29
@felix1
Frage:
Zitat:
Warum soll ich die Anleitung lesen. Ich kenne sie doch.
Antwort:
Zitat:
Zitat von Cidre
Doppelt gemoppelt hält besser :D

Wasp 04.09.2005 11:08
So hab jetzt mein System neuaufgesetzt nachdem ich ja wohl keine andere Möglichkeit hatte ;) Danke nochmal für die Hinweise !

Hier jetzt ein Log nachdem ich die Sachen drauf habe dir mir wichtig sind.

Logfile of HijackThis v1.99.1
Scan saved at 12:06:06, on 04.09.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\Programme\Anti-Blaxx\Anti-Blaxx.exe
C:\WINDOWS\Mixer.exe
C:\WINDOWS\system32\Grxp4exe.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Downloads Apps\HijackThis.exe

F3 - REG:win.ini: run=
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [Anti-Blaxx Manager] C:\Programme\Anti-Blaxx\Anti-Blaxx.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [Gravis Xperience Driver Support] Grxp4exe.exe /init
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1125700442953
O17 - HKLM\System\CCS\Services\Tcpip\..\{2C00FAF1-5807-4BCC-BFAB-EAE0C241E766}: NameServer = 217.237.149.225 217.237.151.97
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)



Ich hoffe es hat sich noch nichts eingeschlichen ;)

Chris14 04.09.2005 11:11
Das Log sieht sauber aus. Firefox installiert, SP2 drauf - System in Ordnung!
der einzige eintrag der verdächtig aussieht ist:
F3 - REG:win.ini: run=
fixe den mal. ich denke dass da aber nichts schlimmes dahinter steckt..

Wasp 04.09.2005 11:13
Der Eintrag ist gefixed , war mir auch sofort verdächtig :)

Ich denke ein Backup wäre jetzt ganz sinnvoll, kann mir jemand einen Link nennen womit dies am sinnvollsten wäre ?

Gruß Wasp

Rene-gad 04.09.2005 11:52
@Wasp
Zitat:
So hab jetzt mein System neuaufgesetzt
Könntest du freundlicherweise uns sagen, wieviel Zeit hast du fürs Neuaufsetzen inkl. Datensicherung und -wiederherstellung gebraucht, auch die Angaben zu deinem PC: Prozessor, FP-Größe usw? Das würde ich gerne für statistische Zwecken verwenden. Wenn du meinst, diese Daten seien sensibel, bitte um eine PM ;).

Wasp 04.09.2005 12:39
Hmm also erstmal mein System :

Intel(R) Pentium(R) 4 CPU 2.80GHz Northwood (0.13 µm)
RADEON 9800 XT
512 MB RAM
Windows XP Professional
Maxtor 120 GB 2Gb Cache

Das ganze in ein Zeitfenster einzugrenzen ist schwierig, aber ich würde sagen 4 Stunden inklusive installieren aller Programme die ich selbst noch benötige, reines Neuaufsetzen nach dem Plan ca. 2 1/2 Stunden. Datensicherung selbst folgt noch da ich meinen Brenner ersetzen muss der den Geist aufgegeben hat und ich keine Backup cd momentan erstellen kann ;)

Rene-gad 04.09.2005 12:42
@Wasp
TNX. Schönes WE noch.

Wasp 05.09.2005 01:35
So tut mir ja leid das ich schon wieder da bin aber ich weiß keinen anderen Weg ;) Nach dem Neuaufsetzen , SP2, Avast Antivirus und der Win XP Firewall
ist es dann doch wieder passiert, alerdings hab ich es noch nie so erlebt. Nach einem Neustart, ich hatte Partition Magic installiert, ist der Bildschirm hängengeblieben für ca. 2 Minuten beim Bild "Windows wird gestartet" Ich habe MsBlaster vermutet da nachdem ich mich irgendwann einloggen konnte der Remoteprozeduraufruf kam und das System nach 1 Minute neugestartet wurde. Ohne groß zu überlegen hab ich mich entschlossen eine erneute Installation durchzuführen mit dem selben Ergebniss, allerdings ohne eine Installation von Part. Magic da ich in der Exe einen Virus vermutete, dann kam das Problem mit dem Hängenbleiben als ich den Tip von der Windows Secure Seite ausführen wollte ( Datei und Druckerfreigabe unter WIndows ), plötzlich hing das System erneut nach dem Reboot bei "Windows wird gestartet".. Ich hoffe ich habe mein Problem gut genug beschrieben sodaß Ihr mir helfen könnt, Das nervt nämlich tierisch da ich nicht weiß wovon das kommt. ALso ganz schnell Hilfe, dies ist meine zweite Neuinstallation heute Nacht :(

Gruß Wasp

Chris14 05.09.2005 07:44
alles muss vor der ersten internetverbindung gemacht werden. danach ist es schon zu spät.
deswegen hab ich auf meiner seite bewusst auf regedit-anleitungen verzichtet und gleich n paar files gebaut die das bereits erledigen.

Wasp 05.09.2005 07:53
Das Problem ist ich kann es nicht vor der ersten Internetverbindung machen da ich mir die Files nicht brennen kann die ich brauche. (Brenner futsch)

Aber es kann doch nicht sein das niemand diesen Virus kennt der ein System runterfährt ? Und bei dem Bildschirm "Windows wird gestartet" ca. 2 MIn. hängen bleibt, zudem hab ich vergessen das sämtliche Netzwerkverbindungen danach entfernt sind und ich eigentlich nichts mehr machen kann außer von CD zu booten und neuinstallieren ?


Alle Zeitangaben in WEZ +1. Es ist jetzt 01:05 Uhr.
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131