Was bedeutet der Eintrag unter "O 20" ?
 

Guten Tag,

hier mein Log !

Was für eine Bedeutung hat der Eintrag unter "O 20" und "O 2"

Seit dem Besuch der Seite "globalsecurity.com" ist bei mir der Eintrag vorhanden.

Vielen Dank für einen Rat.

Wolf

Logfile of HijackThis v1.99.1
Scan saved at 18:18:56, on 21.04.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\cisvc.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\Explorer.EXE
C:\WINNT\SYSTEM32\3cmlink.exe
C:\WINNT\SYSTEM32\3cshtdwn.exe
C:\WINNT\SYSTEM32\3cmlink.exe
C:\WINNT\system32\rundll32.exe
C:\Dokumente und Einstellungen\Schink1\Eigene Dateien\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = -
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {E8DEC8EA-8D80-4ec6-AF6B-190A765F1D2F} - C:\WINNT\system32\ddccd.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [3c1807pd] C:\WINNT\SYSTEM32\3cmlink.exe RunServices \Device\3cpipe-3c1807pd
O4 - HKCU\..\Run: [Registry Optimierer] C:\Programme\Registry Optimierer\RegOptimierer.exe /d
O20 - Winlogon Notify: ddccd - C:\WINNT\SYSTEM32\ddccd.dll
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe

Nach einigem Suchen habe ich die Lösung gefunden.

Hier die Dokumentation dazu :


[04/21/2006, 23:27:47] - VirtumundoBeGone v1.5 ( "C:\Dokumente und Einstellungen\Schink1\Desktop\VirtumundoBeGone.exe" )
[04/21/2006, 23:28:05] - Detected System Information:
[04/21/2006, 23:28:05] - Windows Version: 5.0.2195, Service Pack 4
[04/21/2006, 23:28:05] - Current Username: Wolfgang (Admin)
[04/21/2006, 23:28:05] - Windows is in SAFE mode with Networking.
[04/21/2006, 23:28:05] - Searching for Browser Helper Objects:
[04/21/2006, 23:28:05] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (AcroIEHlprObj Class)
[04/21/2006, 23:28:05] - BHO 2: {E8DEC8EA-8D80-4ec6-AF6B-190A765F1D2F} ()
[04/21/2006, 23:28:05] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/21/2006, 23:28:05] - Checking for HKLM\...\Winlogon\Notify\ddccd
[04/21/2006, 23:28:05] - Found: HKLM\...\Winlogon\Notify\ddccd - This is probably Virtumundo.
[04/21/2006, 23:28:05] - Assigning {E8DEC8EA-8D80-4ec6-AF6B-190A765F1D2F} MSEvents Object
[04/21/2006, 23:28:05] - BHO list has been changed! Starting over...
[04/21/2006, 23:28:05] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (AcroIEHlprObj Class)
[04/21/2006, 23:28:05] - BHO 2: {E8DEC8EA-8D80-4ec6-AF6B-190A765F1D2F} (MSEvents Object)
[04/21/2006, 23:28:05] - ALERT: Found MSEvents Object!
[04/21/2006, 23:28:05] - Finished Searching Browser Helper Objects
[04/21/2006, 23:28:05] - *** Detected MSEvents Object
[04/21/2006, 23:28:05] - Trying to remove MSEvents Object...
[04/21/2006, 23:28:06] - Terminating Process: IEXPLORE.EXE
[04/21/2006, 23:28:06] - Terminating Process: RUNDLL32.EXE
[04/21/2006, 23:28:06] - Disabling Automatic Shell Restart
[04/21/2006, 23:28:06] - Terminating Process: EXPLORER.EXE
[04/21/2006, 23:28:06] - Suspending the NT Session Manager System Service
[04/21/2006, 23:28:06] - Terminating Windows NT Logon/Logoff Manager
[04/21/2006, 23:28:06] - Re-enabling Automatic Shell Restart
[04/21/2006, 23:28:06] - File to disable: C:\WINNT\system32\ddccd.dll
[04/21/2006, 23:28:06] - Renaming C:\WINNT\system32\ddccd.dll -> C:\WINNT\system32\ddccd.dll.vir
[04/21/2006, 23:28:06] - File successfully renamed!
[04/21/2006, 23:28:06] - Removing HKLM\...\Browser Helper Objects\{E8DEC8EA-8D80-4ec6-AF6B-190A765F1D2F}
[04/21/2006, 23:28:06] - Removing HKCR\CLSID\{E8DEC8EA-8D80-4ec6-AF6B-190A765F1D2F}
[04/21/2006, 23:28:06] - Adding Kill Bit for ActiveX for GUID: {E8DEC8EA-8D80-4ec6-AF6B-190A765F1D2F}
[04/21/2006, 23:28:06] - Deleting ATLEvents/MSEvents Registry entries
[04/21/2006, 23:28:06] - Removing HKLM\...\Winlogon\Notify\ddccd
[04/21/2006, 23:28:06] - Searching for Browser Helper Objects:
[04/21/2006, 23:28:06] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (AcroIEHlprObj Class)
[04/21/2006, 23:28:06] - Finished Searching Browser Helper Objects
[04/21/2006, 23:28:06] - Finishing up...
[04/21/2006, 23:28:06] - A restart is needed.
[04/21/2006, 23:28:25] - Attempting to Restart via STOP error (Blue Screen!)

Kann ich davon ausgehen, daß der Rechner nun "sauber" ist ?

Viele Grüsse
Wolf

Sauber ? Gute Frage... laut dem Log File hats Du ein Backdoor Trojaner auf deinem System. Allerdings kenn ich das Programm nicht was Du da zum reinigen verwendest hast...

Poste doch mal ein neues Log File.

Bin kein Profi... ;) Also lieber warten was die andern "Chraks" dazu sagen.

Hier ist das hjt-log nach dem hoffentlich erfolgreichen "Bereinigen" :

Logfile of HijackThis v1.99.1
Scan saved at 00:16:17, on 22.04.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\cisvc.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\Explorer.EXE
C:\WINNT\SYSTEM32\3cmlink.exe
C:\WINNT\SYSTEM32\3cshtdwn.exe
C:\WINNT\SYSTEM32\3cmlink.exe
C:\WINNT\system32\rundll32.exe
C:\WINNT\system32\cidaemon.exe
C:\Dokumente und Einstellungen\Schink1\Eigene Dateien\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = -
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [3c1807pd] C:\WINNT\SYSTEM32\3cmlink.exe RunServices \Device\3cpipe-3c1807pd
O4 - HKCU\..\Run: [Registry Optimierer] C:\Programme\Registry Optimierer\RegOptimierer.exe /d
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe

Möglicherweise ist ja noch was versteckt an Malware :heulen:

Hi wolfi,

lade dir auf jeden Fall AV PE herunter. Deinem Log zufolge hast du kein Antivirenprogramm...na dann wird's 'mal Zeit!! Da solltest du dann sehen, ob sich noch Malware auf einem PC versteckt. Oder lade dir Ad-Aware Se Personal herunter <----- ein ziemlich gutes Prog.


Ich bin eigentlich gegen das Downloaden von vielen Programmen, aber ein AV-Scanner ist unerlässlich.

An deinem neuen! Log konnte ich auf jeden Fall nichts merkwürdiges feststellen.
Ich denke, da hast du dir selbst geholfen....gute Arbeit.

@rotaran,

wo siehst Du da einen Backdoor?
Wenn Du Dir nicht sicher bist, lass es mit Deinen Kommentaren!

@wolfi,

hast Du bereits mit Hijackthis Einträge gefixt?
Mit Ausnahme dieser Einträge, die gefixt werden können, sieht Dein Logfile sauber aus:
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = about:blank
re\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = -

dartus

@ dartus

Oki doki ........ :cool:

Guten Tag,

ich bitte um einen Rat:

Der bei mir vorgefundene Trojaner wurde von "Dr.Web" beim Jottis Malwarescan als "Trojan.Virtumond" gefunden.

Was hätte er auf meinem Rechner "gemacht", wenn er nicht gelöscht worden wäre ?

Gibt es zu ihm weitere Infos ?

Viele Grüsse
Wolf

Hallo,
soweit mir bekannt ist spielt vundo.b (alias Virtumond) lediglich Popups ein. Du hast ihn ja schon mit der richtigen Methode entfernt, das sollte es dann eigentlich auch schon gewesen sein.


Grüße Wildone

@wolfi:
Ist die Datei ddccd.dll noch vorhanden?

Hallo,
*hüstel*

Grüße Wildone

Sie ist nicht mehr da.

Aber noch eine Frage: Der Trojaner hat nach den Angaben von
Symantec u.a. Dateien gelöscht und Dateien verändert sowie die
Systemleistung herabgesetzt.

Vermutlich ist dieser "Schaden" auch nach dem Entfernen des Trojaner noch
da.

Ich habe den Eindruck, daß der Rechner hier ein wenig "lahmer" geworden ist.

Wie kann ich denn das wieder verändern ?

Gibts dazu Erfahrungen ?

Viele Grüsse
Wolf

Hallo,
Link?
Meiner Erfahrung nach ist mit der Entfernung der betreffenden Datei und der Registryeinträge die Sache gegessen. Habe auch noch nichts von einer Verlangsamung des Systems danach gehört.


Grüße Wildone

Hier ist der Hinweis von Symantec (siehe unter "Schaden"):

http:http://www.symantec.com/region/de/te...n.vundo.b.html

Hallo,
du weißt aber schon das n/a wahrscheinlich not available heißen soll, also es liegen keine Informationen vor das er soetwas macht. Also das einzige was über den Schaden gesagt wird ist:
Und das ist auch das einzige was mir als "Schaden" bekannt ist.


Grüße Wildone

Nein, das war nicht bekannt.

Dann habe ich mal wieder etwas gelernt.

Danke für den Hinweis !

Wolf :)

Woher kommen eigentlich die Trojaner ?

Wer versendet sie ?

Wolf

Hallo,
soweit ich weiß werden sie nicht von E-Mails übertragen sondern durch Lücken im Browser. Also wäre vielleicht das oder das ganz interessant für dich.


Grüße Wildone

Nach meiner Erfahrung ist der Benutzer selbst der größte Trojaner :aplaus:
User ABC benötigt Programm XYZ, downloadet es, führt es aus und blub ...

Letztens ist mir beim kollegen übrigens etwas sehr komisches passiert wenn ich dsa hier nennen soll. Er hat mir über einen Trojaner in einem Installer berichtet, diverse Antivirenprogramme fanden allerdings NICHTS.

Erst nach dem AKtivieren des Installers wurde der Trojanner "zusammengeflickt" und ins System integriert. Und dsa komplett ohne aktive Verbindung zu der Zeit.

Wie können sich Trojaner derartig gut verstecken .. tztz
Das würde theoretisch eine permanente unauffindbarkeit möglich machen :teufel1:

mfg,
Markus

Ein Trojaner (Trojanisches Pferd, fälschlich auf Trojaner verkürzt) versteckt sich nicht, er ist das Versteck.
Zugegeben, jeder AV-Hersteller verwendet zwar in seinem Glossar die richtige Definition, wendet diese aber oft selber inkonsequent oder falsch an.

Und natürlich muss in einem "Installer" (welches das Trojanische Pferd ist) eine Malware nicht im "Klartext" herumliegen. Gut verschlüsselt und komprimiert wird diese durchaus (anfänglich) übersehen, bis die AV-Hersteller dies in ihre Heuristik oder Virensignatur übernommen haben (oder auch nicht).

ja aber theoretisch könnte der trojaner bzw das trojanische pferd immer "neu" erstellt werden ... sozusagen spontane varianten die sich aber im aufbau total unterscheiden was das auffinden praktisch unmöglich machen würde.

Noch eine Frage: Was haben denn die o.a. Einträge für eine Funktion?

Hat das Entfernen bestimmt keine Nachteile zur Folge ?

Viele Grüsse
Wolf

Schau mal hier, da findest Du eine Auflistung zu den Kürzeln und deren Bedeutungen von Hijackthis.

Vielen Dank für die Info.

Danach werde ich sie doch wohl nicht entfernen.

Viele Grüsse
Wolf