Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Neuling Braucht hilfe !!!! (https://www.trojaner-board.de/26288-neuling-braucht-hilfe.html)

Flashlightburn 28.01.2006 14:33
Neuling Braucht hilfe !!!!
 
hallo guten tag an alle habe mich geade mal angemeldet und brauch vielleicht hilfe !!!!!
hier mein log


Logfile of HijackThis v1.99.1
Scan saved at 13:38:02, on 28.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\SYSTEM\DRIVER\ntuser.exe
C:\WINDOWS\SYSTEM\DRIVER\ntsrv.exe
C:\WINDOWS\SYSTEM\DRIVER\ntsrv.exe
C:\WINDOWS\system\driver\csrss.exe
C:\WINDOWS\system\driver\services.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\T-Online\DSL-Manager\TODslMgr.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\winupdates\winupdates.exe
C:\WINDOWS\system32\ctfmon.exe
c:\progra~1\intern~1\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\T-Online\DSL-Manager\TODslSvc.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRA~1\T-Online\T-ONLI~1\Notifier\Notifier.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\\Desktop\hijackthis\HijackThis.exe

O2 - BHO: (no name) - {041CE1DD-E4A5-94B7-B9E2-66DF536B9E02} - C:\DOKUME~1\\ANWEND~1\TICKAC~1\Team Ball.exe
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [T-Online DSL-Manager] "C:\Programme\T-Online\DSL-Manager\TODslMgr.exe"
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Way Size Chic Real] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mail camp way size\Name Lies.exe
O4 - HKLM\..\Run: [winupdates] C:\Programme\winupdates\winupdates.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [defyvga] C:\DOKUME~1\\ANWEND~1\CLOSEA~1\Each about.exe
O4 - Startup: BHODemon 2.0.lnk = C:\Programme\BHODemon 2\BHODemon.exe
O4 - Startup: ERUNT AutoBackup.lnk = E:\Programme\ERUNT\AUTOBACK.EXE
O8 - Extra context menu item: in/mit BitSpirit runterladen - E:\BitSpirit\bsurl.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{BB4748F4-1052-401B-B123-934E23171013}: NameServer = 217.237.150.33 217.237.151.161
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Boonty Games - BOONTY - C:\Programme\Gemeinsame Dateien\BOONTY Shared\Service\Boonty.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NTBOOTMGR (NTBOOT) - Unknown owner - C:\WINDOWS\SYSTEM\DRIVER\ntuser.exe
O23 - Service: NTLOAD - Unknown owner - C:\WINDOWS\SYSTEM\DRIVER\ntsrv.exe
O23 - Service: NTSVCMGR - Unknown owner - C:\WINDOWS\SYSTEM\DRIVER\ntsrv.exe
O23 - Service: T-Online DSL-Manager (TODslService) - T-Systems International GmbH - C:\Programme\T-Online\DSL-Manager\TODslSvc.exe

ich hoffe das ich alles richtig gemacht habe naja aller anfang is schwer wenn was nich stimmt bitte bescheid geben

Wildone 28.01.2006 14:42
Hallo,
das sieht aber gar nicht gut aus, ev. wirst du da nicht an einem Neuaufsetzen vorbeikommen, aber jetzt schauen wir erstmal genauewr nach mit was wir es zu tun haben.
Gehe mal in den abgesicherten Modus (F8 beim booten) und verschiebe mal folgende Dateien:
C:\WINDOWS\SYSTEM\DRIVER\ntuser.exe
C:\WINDOWS\SYSTEM\DRIVER\ntsrv.exe
C:\WINDOWS\system\driver\csrss.exe
C:\WINDOWS\system\driver\services.exe

in einen neuen Ordner den du Quarantäne (o.ä.) nennst.
Dann gehst du wieder in den normalen Modus und überprüfst die Dateien aus dem Quarantäneordner(und noch die C:\Programme\winupdates\winupdates.exe) hier und postest das jeweilige Ergebnis.


Grüße Wildone

Flashlightburn 28.01.2006 15:09
Zitat:
Zitat von Wildone
Hallo,
das sieht aber gar nicht gut aus, ev. wirst du da nicht an einem Neuaufsetzen vorbeikommen, aber jetzt schauen wir erstmal genauewr nach mit was wir es zu tun haben.
Gehe mal in den abgesicherten Modus (F8 beim booten) und verschiebe mal folgende Dateien:
C:\WINDOWS\SYSTEM\DRIVER\ntuser.exe
C:\WINDOWS\SYSTEM\DRIVER\ntsrv.exe
C:\WINDOWS\system\driver\csrss.exe
C:\WINDOWS\system\driver\services.exe

in einen neuen Ordner den du Quarantäne (o.ä.) nennst.
Dann gehst du wieder in den normalen Modus und überprüfst die Dateien aus dem Quarantäneordner(und noch die C:\Programme\winupdates\winupdates.exe) hier und postest das jeweilige Ergebnis.


Grüße Wildone





danke dir erst mal werde mich nachdem ich mit meinen kindern ein bischen drausen war sofort an die arbeit begeben (frau hatt schon geknurrt ) LOL bis gleich

Flashlightburn 28.01.2006 17:40
huhu hallo hir das ergebniss jetzt beckomme ich richtig angst was ich so gesehen habe :heulen: hir die ergebnisse



This is a report processed by VirusTotal on 01/28/2006 at 17:09:36 (CET) after scanning the file "csrss.exe" file.
Antivirus Version Update Result
AntiVir 6.33.0.81 01.28.2006 BDS/Iroffer.14b2.C
Avast 4.6.695.0 01.27.2006 Win32:Trojano-1331
AVG 718 01.27.2006 no virus found
Avira 6.33.0.81 01.27.2006 BDS/Iroffer.14b2.C
BitDefender 7.2 01.28.2006 Trojan.Servu.AZ
CAT-QuickHeal 8.00 01.27.2006 RiskWare.FTP.Serv-U.gen (Not a Virus)
ClamAV devel-20051123 01.28.2006 no virus found
DrWeb 4.33 01.28.2006 no virus found
eTrust-InoculateIT 23.71.62 01.28.2006 Win32/ServUFTP!Trojan
eTrust-Vet 12.4.2058 01.27.2006 Win32/IRCFlood
Ewido 3.5 01.28.2006 Backdoor.ServU-based
Fortinet 2.54.0.0 01.28.2006 HackerTool/ServUDmn
F-Prot 3.16c 01.28.2006 security risk or a "backdoor" program
Ikarus 0.2.59.0 01.27.2006 Backdoor.Win32.ServU-based.GEN
Kaspersky 4.0.2.24 01.28.2006 not-a-virus:Server-FTP.Win32.Serv-U.gen
McAfee 4684 01.27.2006 potentially unwanted program ServU-Daemon
NOD32v2 1.1385 01.28.2006 Win32/ServU-Daemon
Norman 5.70.10 01.27.2006 no virus found
Panda 9.0.0.4 01.28.2006 Application/ServUBased.A
Sophos 4.02.0 01.28.2006 Troj/ServU-Gen
Symantec 8.0 01.28.2006 Hacktool
TheHacker 5.9.3.082 01.27.2006 Aplicacion/Serv-U.gen
UNA 1.83 01.27.2006 Backdoor.ServU
VBA32 3.10.5 01.28.2006 no virus found
--------------------------------------------------------------------------------
This is a report processed by VirusTotal on 01/28/2006 at 17:13:22 (CET) after scanning the file "ntsrv.exe" file.
Antivirus Version Update Result
AntiVir 6.33.0.81 01.28.2006 BDS/Iroffer.14b2.A
Avast 4.6.695.0 01.27.2006 Win32:Trojano-1332
AVG 718 01.27.2006 Potentially harmful program G6Service
Avira 6.33.0.81 01.27.2006 BDS/Iroffer.14b2.A
BitDefender 7.2 01.28.2006 Trojan.Runas.A
CAT-QuickHeal 8.00 01.27.2006 no virus found
ClamAV devel-20051123 01.28.2006 no virus found
DrWeb 4.33 01.28.2006 Trojan.Runas
eTrust-InoculateIT 23.71.62 01.28.2006 no virus found
eTrust-Vet 12.4.2058 01.27.2006 no virus found
Ewido 3.5 01.28.2006 no virus found
Fortinet 2.54.0.0 01.28.2006 Misc/G6service
F-Prot 3.16c 01.28.2006 destructive program named W32/Trojan.AUH
Ikarus 0.2.59.0 01.27.2006 no virus found
Kaspersky 4.0.2.24 01.28.2006 no virus found
McAfee 4684 01.27.2006 G6Service
NOD32v2 1.1385 01.28.2006 Win32/Tool.ServiceRunner
Norman 5.70.10 01.27.2006 no virus found
Panda 9.0.0.4 01.28.2006 HackTool/Disilitra.B
Sophos 4.02.0 01.28.2006 no virus found
Symantec 8.0 01.28.2006 no virus found
TheHacker 5.9.3.082 01.27.2006 Aplicacion/ServiceRunner.d
UNA 1.83 01.27.2006 no virus found
VBA32 3.10.5 01.28.2006 Trojan.Runas
---------------------------------------------------------------------------------
This is a report processed by VirusTotal on 01/28/2006 at 17:16:14 (CET) after scanning the file "ntuser.exe" file.
Antivirus Version Update Result
AntiVir 6.33.0.81 01.28.2006 BDS/Iroffer.14b2.B
Avast 4.6.695.0 01.27.2006 Win32:Trojano-1333
AVG 718 01.27.2006 BackDoor.Generic.URF
Avira 6.33.0.81 01.27.2006 BDS/Iroffer.14b2.B
BitDefender 7.2 01.28.2006 Backdoor.Irc.Elmer.A
CAT-QuickHeal 8.00 01.27.2006 no virus found
ClamAV devel-20051123 01.28.2006 no virus found
DrWeb 4.33 01.28.2006 BackDoor.IRC.Elmer
eTrust-InoculateIT 23.71.62 01.28.2006 no virus found
eTrust-Vet 12.4.2058 01.27.2006 Win32/Identdhack.A
Ewido 3.5 01.28.2006 no virus found
Fortinet 2.54.0.0 01.28.2006 W32/CPB.A-bdr
F-Prot 3.16c 01.28.2006 security risk named W32/Backdoor.HVJ
Ikarus 0.2.59.0 01.27.2006 Backdoor.Win32.Noer
Kaspersky 4.0.2.24 01.28.2006 no virus found
McAfee 4684 01.27.2006 BackDoor-CPB
NOD32v2 1.1385 01.28.2006 no virus found
Norman 5.70.10 01.27.2006 no virus found
Panda 9.0.0.4 01.28.2006 Bck/Zapchast.BB
Sophos 4.02.0 01.28.2006 no virus found
Symantec 8.0 01.28.2006 no virus found
TheHacker 5.9.3.082 01.27.2006 Trojan/Small
UNA 1.83 01.27.2006 Backdoor.Noer
VBA32 3.10.5 01.28.2006 BackDoor.Noer
---------------------------------------------------------------------------------
This is a report processed by VirusTotal on 01/28/2006 at 17:18:58 (CET) after scanning the file "services.exe" file.
Antivirus Version Update Result
AntiVir 6.33.0.81 01.28.2006 BDS/Iroffer.14b2
Avast 4.6.695.0 01.27.2006 Win32:Iroffer-006
AVG 718 01.27.2006 BackDoor.Iroffer.3.AG
Avira 6.33.0.81 01.27.2006 BDS/Iroffer.14b2
BitDefender 7.2 01.28.2006 Backdoor.Iroffer.14b2.B
CAT-QuickHeal 8.00 01.27.2006 Backdoor.Iroffer.14b2
ClamAV devel-20051123 01.28.2006 no virus found
DrWeb 4.33 01.28.2006 BackDoor.Iroffer.14
eTrust-InoculateIT 23.71.62 01.28.2006 no virus found
eTrust-Vet 12.4.2058 01.27.2006 no virus found
Ewido 3.5 01.28.2006 Backdoor.Iroffer.14b2
Fortinet 2.54.0.0 01.28.2006 W32/Iroffer
F-Prot 3.16c 01.28.2006 security risk or a "backdoor" program
Ikarus 0.2.59.0 01.27.2006 Backdoor.Win32.Iroffer.14b2
Kaspersky 4.0.2.24 01.28.2006 Backdoor.Win32.Iroffer.14b2
McAfee 4684 01.27.2006 potentially unwanted program Iroffer
NOD32v2 1.1385 01.28.2006 Win32/Iroffer.1402
Norman 5.70.10 01.27.2006 W32/Iroffer.AE
Panda 9.0.0.4 01.28.2006 Bck/Iroffer.AC
Sophos 4.02.0 01.28.2006 no virus found
Symantec 8.0 01.28.2006 Backdoor.IRC.Aladinz.R
TheHacker 5.9.3.082 01.27.2006 Backdoor/Iroffer.14b2
UNA 1.83 01.27.2006 Backdoor.Iroffer
VBA32 3.10.5 01.28.2006 Backdoor.Win32.Iroffer.14b2
------------------------------------------------------------------------------------
eins kann ich mir allerdings nicht erklären die datei

C:\programme\winupdates\winupdates.exe iss auf meinem rechner nirgens zu finden
weder im AGM noch normalmodus :heulen:

Wildone 28.01.2006 18:08
Hallo,
so was ähnliches habe ich schon befürchtet(um genau zu sein sind meine Befürchtungen sogar übertroffen worden), du bist ganz böse mit Backdoortrojanern verseucht, die dritten vollen Zugriff auf deinem System gewähren. Da niemand wissen kann was alles verändert wurde ist dein System als kompromittiert anzusehen und sollte neu aufgesetzt werden.

Hier ist eine Anleitung wie du das System neu aufsetzen und anschließend absichern solltest damit soetwas nicht wieder vorkommt. Achte vorallem darauf das dein System schon abgesichert sein muss bevor du zum ersten mal online gehst.
Lies dir alles gut durch und nimm dir genügend Zeit dann ist das Neuaufspielen ein Kinderspiel, und lass dich nicht durch knurren der Frau aus der Ruhe bringen :blabla:


Grüße Wildone

Flashlightburn 28.01.2006 21:23
hallo und guten abend ich danke dir rechtherzlich am montag muss ich mir erst mal ne neue druckerpatrone kaufen :lach: ach ja papier auch noch es waren bestimmt 70 seiten vorder und rückseite :D naja ich kann leider erst am montag damit beginnen brauch noch rohline zu sicherung meiner privaten daten eins macht mich echt stuzig trotz firewall und serive pack 2 router firewall und netzkarten firewall so nen müll naja doch jetz ist bald geht es ihm an den kragen :kloppen: ganz schützen kann mann sich ja nich kann ich mir jedenfals nich vorstelln :confused: nun ich werde mich melden sobald ich das notwendigste gemacht habe :daumenhoc

im namen von mir und meinem rechner bedanke ich mich noch mal rechtherzlich

wünsche dir noch einen schönen samstag abend und einen schönen sontag ;)

gruß Flashlightburn


Alle Zeitangaben in WEZ +1. Es ist jetzt 17:55 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129