Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Spywareflut überwältigt, brauche Hilfe beim reinigen! (https://www.trojaner-board.de/29383-spywareflut-ueberwaeltigt-brauche-hilfe-beim-reinigen.html)

Fatzo 21.05.2006 12:22
Spywareflut überwältigt, brauche Hilfe beim reinigen!
 
Moin :daumenhoc

Ich habe vor kurzem einen kleinen Fehler beim Surfen gemacht und mir so eine Menge Spyware und Viren eingefangen... mittels Foren(auch durch eures) konnte ich alle offensichtlichen Viren/Spyware entfernen, jedoch bin ich mir nicht sicher, ob mein Rechner wirklich clean ist, da er sehr unstabil läuft.

Ich hoffe jemand nimmt sich die Zeit und prüft die Hijack Log von mir, wäre sehr nett! :)

Zitat:
Logfile of HijackThis v1.99.1
Scan saved at 13:17:43, on 21.05.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
F:\AVPersonal\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
F:\AVPersonal\AntiVir PersonalEdition Classic\avguard.exe
F:\refreshlock\RefreshLock.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\Logitech\KhalShared\KHALMNPR.EXE
C:\WINDOWS\System32\svchost.exe
F:\Ventrilo\Ventrilo.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
D:\hijackthis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R3 - URLSearchHook: (no name) - {3413DE8A-1935-77B3-64D3-464692E0D9CA} - (no file)
O2 - BHO: (no name) - {b0398eca-0bcd-4645-8261-5e9dc70248d0} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - (no file)
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [RefreshLock] F:\refreshlock\RefreshLock.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - Global Startup: Logitech SetPoint.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {74CD40EA-EF77-4BAD-808A-B5982DA73F20} - h**p://yax-download.yazzle.net/YazzleActiveX.cab?refid=1162
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - h**p://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O20 - Winlogon Notify: winjks32 - winjks32.dll (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - F:\AVPersonal\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - F:\AVPersonal\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ewido security suite control - ewido networks - C:\Dokumente und Einstellungen\Fatzo.FATZKE\Desktop\ewido anti-malware\ewidoctrl.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Unknown owner - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe (file missing)
mfg!

Markus1234 21.05.2006 16:10
Zitat:
O20 - Winlogon Notify: winjks32 - winjks32.dll (file missing)
Ist ein Rückstand des Trojan.Agent.qt.
Du sagst etwas von "sicherem System" ...

Erstmal ist dein System nun kompromittiert, sprich verseucht, ziemlich sicher von innen mit einem Hintertürchen geprägt.
Und Zweitens hast du das SP2 nicht installiert, infolgedessen fehlt dir auch das SP2 für den Internet Explorer, was wohl diese "Attacke" ausgelöst und dir die Schädlinge zugezogen hat.

Du sagst dass der Rechner unstabil läuft.
Ich kann dir also nur den Rat geben nach Anleitung(und zwar haargenau nach Anleitung) dein System neu Aufzusetzen.

Da allerdings viele Leute lieber das Risiko eingehen als Zwischenlager für Raubkopien und/oder Kinderpornos benutzt zu werden (was natürlich einen Besuch der Männer in Grün herbeiführt), hier nochmal die provesorische Schnellösung, die aber keinesfalls alles rückgängig macht was der/die Schädlinge auf deinem Rechner angestellt haben.

Fixe:
Zitat:
O16 - DPF: {74CD40EA-EF77-4BAD-808A-B5982DA73F20} - h**p://yax-download.yazzle.net/YazzleActiveX.cab?refid=1162
O20 - Winlogon Notify: winjks32 - winjks32.dll (file missing)
Edit: Wenn der zweite Eintrag nach einem Neustart noch da ist, ist der Backdoor immer noch aktiv (das file missing irritiert mich immer) und wir müssen das Ganze mit einer kleinen Killbox-Aktion erweitern (will heißen - starte neu - erstelle neues hjt logfile und schau ob der Eintrag noch/wieder da ist).

mfg,
Markus

Fatzo 21.05.2006 17:45
Hallo!

Danke für die rasche Antwort, meinen PC werde ich demnächst neu aufsetzen..

Ich hab alles(Dateien und Registryeinträge) in Bezug auf winjks32 gelöscht und mittlerweile wird es auch nicht mehr im Hijack Log angezeigt.

Vielen dank! ;)

mfg


Alle Zeitangaben in WEZ +1. Es ist jetzt 06:08 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131