Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Rechner voll mit Trojanern und Viren??? (https://www.trojaner-board.de/22620-rechner-voll-trojanern-viren.html)

Hasemann 10.10.2005 15:00
Rechner voll mit Trojanern und Viren???
 
Habe ein Problem mit nem Rechner! Internet Explorer startet nicht mehr normal, will immer nen Problembericht senden und neu starten.
Hatte vorhin auch noch das Problem, dass der Rechner einfach runtergefahren wurde mit dem hinweis system32 services mit status 128 beendet System wird heruntergefahren!!!
Kann mir vielleicht irgendjemand helfen Bitte!
Ich vermute ja das sich hier auf dem Rechner einiges tummelt.
Hier mal ein HJT Logfile das ich grad erstellt hab

Logfile of HijackThis v1.99.1
Scan saved at 16:02:39, on 10.10.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\rcapi.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINNT\system32\regsvc.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\igfxtray.exe
C:\WINNT\system32\hkcmd.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb09.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\WINNT\system32\qwdqSDw.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINNT\etb\pokapoka75.exe
C:\WINNT\system32\internat.exe
C:\WINNT\system32\qwdqSDw.exe
C:\WINNT\system32\clipservr.exe
C:\Programme\HP\hpcoretech\comp\hptskmgr.exe
C:\WINNT\system32\msw32.pif
C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = h**p://w*w.xosearchox.com/sp2.php
R1 - HKCU\Software\Microsof
t\Internet Explorer\Main,Search Bar = http://w*w.xosearchox.com/sp2.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://w*w.xosearchox.com/sp2.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://w*w.xosearchox.com/sp2.php
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=ftp-proxy.btx.dtag.de:80;http=w*w-proxy.btx.dtag.de:80
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [IgfxTray] C:\WINNT\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\system32\hkcmd.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [Microsoft Windows WKS Service] gt.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [msnplus] C:\WINNT\SYSTEM32\dfghddp.exe
O4 - HKLM\..\Run: [Regional Value] isng.exe
O4 - HKLM\..\Run: [mIRC Exchanger] C:\WINNT\system32\qwdqSDw.exe
O4 - HKLM\..\Run: [asfqft] C:\Dokumente und Einstellungen\Administrator\WDDWsad.exe
O4 - HKLM\..\Run: [fqfeqajw] C:\WINNT\SYSTEM32\gandol.exe
O4 - HKLM\..\Run: [epovohot] atiqik.exe
O4 - HKLM\..\Run: [Windows Serices Host] WindowsFirewall32.exe
O4 - HKLM\..\Run: [hASHSx] C:\WINNT\SYSTEM32\idesej.exe
O4 - HKLM\..\Run: [tepim] C:\WINNT\SYSTEM32\etotixapy.exe
O4 - HKLM\..\Run: [vsdvsdfq] fascvqe.exe
O4 - HKLM\..\Run: [Yywipo] jywipo.exe
O4 - HKLM\..\Run: [FAasdq] C:\WINNT\SYSTEM32\ewikopihe.exe
O4 - HKLM\..\Run: [bxvbsv] C:\WINNT\SYSTEM32\yybyces.exe
O4 - HKLM\..\Run: [Ewikopih] ayakyy.exe
O4 - HKLM\..\Run: [bavifafi] kodymamum.exe
O4 - HKLM\..\Run: [dqwdasdqw] C:\WINNT\SYSTEM32\csadqw.exe
O4 - HKLM\..\Run: [Windows Spoolsrv Service] spoolmsv.exe
O4 - HKLM\..\Run: [Sxcasdwqas] C:\WINNT\SYSTEM32\rizamu.exe
O4 - HKLM\..\Run: [CalcScience] cscientist.exe
O4 - HKLM\..\Run: [Win Security] msw32.pif
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [System service75] C:\WINNT\etb\pokapoka75.exe
O4 - HKLM\..\RunServices: [Microsoft Windows WKS Service] gt.exe
O4 - HKLM\..\RunServices: [Regional Value] isng.exe
O4 - HKLM\..\RunServices: [mIRC Exchanger] C:\WINNT\system32\qwdqSDw.exe
O4 - HKLM\..\RunServices: [epovohot] atiqik.exe
O4 - HKLM\..\RunServices: [vsdvsdfq] fascvqe.exe
O4 - HKLM\..\RunServices: [Yywipo] jywipo.exe
O4 - HKLM\..\RunServices: [Ewikopih] ayakyy.exe
O4 - HKLM\..\RunServices: [bavifafi] kodymamum.exe
O4 - HKLM\..\RunServices: [Windows Spoolsrv Service] spoolmsv.exe
O4 - HKLM\..\RunServices: [ClipSrv] clipservr.exe
O4 - HKLM\..\RunServices: [CalcScience] cscientist.exe
O4 - HKLM\..\RunServices: [Win Security] msw32.pif
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Regional Value] isng.exe
O4 - HKCU\..\Run: [mIRC Exchanger] C:\WINNT\system32\qwdqSDw.exe
O4 - HKCU\..\Run: [epovohot] atiqik.exe
O4 - HKCU\..\Run: [Windows Serices Host] WindowsFirewall32.exe
O4 - HKCU\..\Run: [vsdvsdfq] fascvqe.exe
O4 - HKCU\..\Run: [Yywipo] jywipo.exe
O4 - HKCU\..\Run: [Ewikopih] ayakyy.exe
O4 - HKCU\..\Run: [bavifafi] kodymamum.exe
O4 - HKCU\..\Run: [ClipSrv] clipservr.exe
O4 - HKCU\..\Run: [CalcScience] cscientist.exe
O4 - HKCU\..\Run: [Win Security] msw32.pif
O4 - HKCU\..\RunServices: [Win Security] msw32.pif
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Symantec Fax Starter Edition-Anschluss.lnk = C:\Programme\Microsoft Office\Office\1031\OLFSNT40.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{8BB116B9-5CCA-4D0A-9F11-CC05A09CF8AC}: NameServer = 217.237.149.161 217.237.151.225
O20 - Winlogon Notify: igfxcui - C:\WINNT\SYSTEM32\igfxsrvc.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: LANCAPI Control (LcsCapiCtl) - LANCOM Systems GmbH - C:\WINNT\System32\rcapi.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Microsoft SSL (ssl) - Unknown owner - C:\WINNT\system32\ssl.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe
O23 - Service: Windows UPnP Service (wupnp) - Unknown owner - C:\WINNT\system32\wupnp.exe (file missing)

Danke schon ma im vorraus für die Hilfe

stupormundi 10.10.2005 15:12
Servus, Hasemann!
Tja, Du scheinst ja wirklich eine ganze Bande zu Dir eingeladen zu haben
Beginnen wir ganz unten:
Zitat:
O23 - Service: Windows UPnP Service (wupnp) - Unknown owner - C:\WINNT\system32\wupnp.exe (file missing)
Hier war/ist ein BAckdoor aktiv(http://www.sophos.com/virusinfo/anal...32cuebotf.html) und der hat auch gleich noch ein paar Freunde nachgeholt!
Zitat:
C:\WINNT\system32\msw32.pif
Immer suspekt, diese *.pif Kerle.
Zitat:
O4 - HKLM\..\RunServices: [Windows Spoolsrv Service] spoolmsv.exe
ist aller Wahrscheinlichkeit nach der hier http://www.sophos.com/virusinfo/anal...32sdbotzs.html auch ein Backdoor-Trojaner
Da gäbe es noch viel mehr zu beanstanden, aber das reicht bereits um Dir zu raten, Dein System neu aufzusetzen nach Cidres Anleitung http://www.trojaner-board.de/showthread.php?t=12154 Um Deiner Frage, ob es nicht doch eine andere Möglichkeit gäbe - NEIN-zumindest keine sinnvolle.
Die von mir zitierten Schädlinge haben Dein System bloßgestellt, Du weißt nicht mehr, ob Du Herr am eigenen PC bist (ja ich weiß, das klingt sehr dramatisch), aber ließ´in der verlinkten Anleitung dazu alles über Kompromittierung und die Backdoor-Trojaner nach!
Alles Gute, stupormundi

cronos 10.10.2005 15:14
Zitat:
Ich vermute ja das sich hier auf dem Rechner einiges tummelt.
Da hast du völlig recht.

Alleine dieser Eintrag :

O4 - HKLM\..\RunServices: [Windows Spoolsrv Service] spoolmsv.exe

(es handelt sich um diesen: http://www.sophos.com/virusinfo/anal...32sdbotzs.html).

Reicht aus, um dein system als kompromittiert anzusehen.
Dir kann zu nichts anderem geraten werden, als dein System neu aufzusetzen und vor der ersten Internetverbindung vernünftig abzusichern.
Hier eine Anleitung:

http://www.trojaner-board.de/showthread.php?t=12154

dartus 10.10.2005 15:15
Hallo Hasemann,

Dein System ist rettungslos verseucht!!
Min. 5 Trojaner mit Backdoorfunktionalität.

Bereits bei einem Trojaner mit Backdoorfunktionalität wird Dir hier dringend eine Neuinstallation empfohlen, um wieder ein vertrauenswürdiges System herzustellen.

http://de.wikipedia.org/wiki/Backdoor
http://de.wikipedia.org/wiki/Botnet

http://www.mathematik.uni-marburg.de...c-removal.html
http://www.mathematik.uni-marburg.de...ompromise.html

Empfohlene Anleitung zur Neuinstallation:
http://www.trojaner-board.de/showthread.php?t=12154

Thema Datensicherung :
http://www.trojaner-board.de/showpos...8&postcount=11

dartus

cronos 10.10.2005 15:21
Aller guten Dinge sind ja bekanntlich 3. ;)


Alle Zeitangaben in WEZ +1. Es ist jetzt 14:21 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131