Trojaner-Board - System verseucht...mit hj-this fixen geht nicht

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - System verseucht...mit hj-this fixen geht nicht (https://www.trojaner-board.de/23766-system-verseucht-hj-this-fixen-geht.html)

System verseucht...mit hj-this fixen geht nicht

Hallo...ich habe Probleme damit erkannte Probleme mit Hijackthis zu beseitigen

z.b.
O23 - Service: Windows Archiver (winarc) - Unknown owner - C:\WINDOWS\devldr.exe
O23 - Service: MS Dns Service (WinNet) - Unknown owner - C:\WINDOWS\system32\wincntrl.exe

Auch die wincntrl.exe kann ich nicht löschen. Ich hab Windows im abgesicherten modus gestartet und versucht mit hijackthis probleme zu fixen...erfolglos.

evido suite, SB search and destroy, Ad-aware konnten die Probleme nicht beseitigen/finden

Hier noch mal das ganze Log:

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\System32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\security suite\ewidoctrl.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Agnitum\Outpost Firewall\outpost.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\UAService7.exe
C:\WINDOWS\devldr.exe
C:\WINDOWS\system32\wincntrl.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\Programme\Mozilla\mozilla.exe
C:\Dokumente und Einstellungen\Jens\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - C:\WINDOWS\System32\ssqpo.dll
O2 - BHO: MSEvents Object - {79A576C4-B7A9-47EC-B57C-2CE5CA6ECC6A} - C:\WINDOWS\System32\vtsqp.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O9 - Extra button: Outpost Firewall Pro-Schnelleinrichten - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Programme\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{9247302C-F93D-4F34-9E9B-777D2E056E98}: NameServer = 217.237.150.225 217.237.150.141
O20 - Winlogon Notify: ssqpo - C:\WINDOWS\SYSTEM32\ssqpo.dll
O20 - Winlogon Notify: vtsqp - C:\WINDOWS\System32\vtsqp.dll
O23 - Service: ewido security suite control - ewido networks - C:\Programme\security suite\ewidoctrl.exe
O23 - Service: Msdebugsrv1 (Msdebugsrv) - Unknown owner - C:\WINDOWS\dbg32hlp.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\Programme\Agnitum\Outpost Firewall\outpost.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\System32\UAService7.exe
O23 - Service: Windows Archiver (winarc) - Unknown owner - C:\WINDOWS\devldr.exe
O23 - Service: MS Dns Service (WinNet) - Unknown owner - C:\WINDOWS\system32\wincntrl.exe

Was muss ich alles löschen und wie mache/schaffe ich das?

Ich hoffe mir kann geholfen werden ;)

Gruss,
Detox

Hallo,
sorry aber du hast dir höchstwahrscheinlich dieses "Prachtstück" eingefangen und somit ist dein system kompromittiert und sollte neu aufgesetzt werden. Nochmal zur Verdeulichung die Side effects:

Zitat:

# Allows others to access the computer
# Downloads code from the internet
# Reduces system security
# Installs itself in the Registry
# Exploits system or software vulnerabilities
# Used in DOS attacks

Also hier eine Anleitung wie du vorgehen solltest damit das zukünftig nicht mehr vorkommt.

Grüße Wildone

Hi,
verseucht trifft´s ganz gut:
Beim ersten Hinschauen einen Backdoortrojaner gefunden: den hier.
Er steckt in der C:\WINDOWS\devldr.exe
C:\WINDOWS\system32\wincntrl.exe kann auf einen SD-Bot, ebenfalls Backdoor verweisen.
Smitfraud sehe ich ebenso.
Deshalb nur ein Rat: System neu aufsetzen.
Halte Dich bitte peinlich genau an die von Cidre beschriebene Vorgehensweise.
cacatoa

Edit: servus Wildone!:party:

*Buhuhhh*:heulen: ...ich hab doch kein Windows zur Hand.

Mir ist schon klar das ich mein System neu installieren muss...geht aber gerade einfach nicht.

Habt ihr ne Idee was ich gegen das Wurm und Trojanergelumpe tun kann bis ich mein System ne aufsetzen kann? :confused:

Ich hoffe euch fällt was ein...

Gruss,
Detox

Hallo,
das ist aber wirklich nur bis du neu installierst!
Gehe auf Start>>Ausführen services.msc
Die Dienste
MS Dns Service
Windows Archiver
doppelklicken, den Starttyp auf deaktiviert ändern, und bei Dienstatus auf beenden klicken.
Dann die Dateien:
C:\WINDOWS\devldr.exe
C:\WINDOWS\system32\wincntrl.exe
mit killbox(delete file on reboot) löschen
Dann diese Anleitung abarbeiten und neues Log posten.

Das dies nur gefrickel ist, und die Symptome bekämpft brauche ich dir nicht zu sagen, desweiteren sollte klar sein das du mit diesem System keine sensiblen Sachen wie Onlinebanking oder Ebay machen solltest.
Außerdem solltest du dir eine legale Windowsversion besorgen, mit den illegalen Versionen wirst du keinen Spass an deinem Computer haben, da du dich immer wieder infizieren wirst, weil du dein System nicht updaten kannst.

Grüße Wildone

Ich hoffe das ist jetzt sauber.

Woran liegt es das ich mir andauernd so ein Trojanergesocks einfange? Nur an der veralteten Windoof Version kann es ja net liegen. Ich hab das Gefühl, dass es daran liegt das ich der svchost.exe zugriff aufs Internet erlaube. Gibt es ne Internetseite die einem Idiotensicher erklärt was man der Firewall erlauben darf und was nicht?

Das Ding hier bekomm ich nicht weg..aber dürfte ja jetzt wenigstens inaktiv sein und keine Gefahr mehr darstelen, oder? :
O23 - Service: Msdebugsrv1 (Msdebugsrv) - Unknown owner - C:\WINDOWS\dbg32hlp.exe (file missing)

Hier noch mal das ganze log:
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\System32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\security suite\ewidoctrl.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Agnitum\Outpost Firewall\outpost.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\UAService7.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\tonchkml32.exe
C:\Programme\Mozilla\mozilla.exe
C:\Dokumente und Einstellungen\Jens\Desktop\HijackThis.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O9 - Extra button: Outpost Firewall Pro-Schnelleinrichten - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Programme\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{9247302C-F93D-4F34-9E9B-777D2E056E98}: NameServer = 217.237.150.225 217.237.150.141
O23 - Service: ewido security suite control - ewido networks - C:\Programme\security suite\ewidoctrl.exe
O23 - Service: Msdebugsrv1 (Msdebugsrv) - Unknown owner - C:\WINDOWS\dbg32hlp.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\Programme\Agnitum\Outpost Firewall\outpost.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\System32\UAService7.exe

Zitat:

Zitat von Detox
Nur an der veralteten Windoof Version kann es ja net liegen.

...aber zum größten Teil.
Weiterhin denk dran:
Sauber und o.k. ist Dein System nicht.
cacatoa