|
bitte um auswertung, keylogger u.a. wüsste zu gerne was ich mir da eingefangen habe, und noch wichtiger wie ich es wieder los werde.. google öffnet manchmal zufällige werbeseiten statt den links, keylogger smitfraud drauf (?) etc.. HIIILFE Logfile of HijackThis v1.99.1 Scan saved at 23:17:21, on 07.05.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\CTsvcCDA.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\MsPMSPSv.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE C:\WINDOWS\system32\CTHELPER.EXE C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Java\jre1.6.0_01\bin\jusched.exe C:\Programme\Razer\CopperHead\razerhid.exe C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe C:\Programme\Razer\CopperHead\razerofa.exe C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\lcdmon.exe C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\Applets\LCDMedia.exe C:\Programme\Schmads Inc\G15_TeamSpeak\G15_TeamSpeak.exe C:\WINDOWS\scvhost.exe C:\WINDOWS\explorer.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\DOKUME~1\xxx\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis_199[1].zip\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O2 - BHO: (no name) - {C7E0A285-D62D-4FB8-86E4-7CD01D5DFA80} - C:\WINDOWS\system32\kerbfros.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r O4 - HKLM\..\Run: [CTDVDDET] C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE O4 - HKLM\..\Run: [AsioReg] REGSVR32.EXE /S CTASIO.DLL O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe" O4 - HKLM\..\Run: [razer] C:\Programme\Razer\CopperHead\razerhid.exe O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe -startup O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start O4 - HKLM\..\Run: [Windows Update] C:\WINDOWS\scvhost.exe O4 - HKLM\..\Run: [msconfig] C:\WINDOWS\scvhost.exe O4 - HKLM\..\Run: [icq lite] C:\WINDOWS\scvhost.exe O4 - HKLM\..\Run: [Update Checker] C:\WINDOWS\scvhost.exe O4 - HKLM\..\Run: [AntiVir] C:\WINDOWS\scvhost.exe O4 - HKLM\..\Run: [] C:\WINDOWS\scvhost.exe O4 - HKLM\..\Run: [shdef] C:\WINDOWS\shdef.exe O4 - HKLM\..\Run: [Launch LCDMon] "C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\lcdmon.exe" O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Gemeinsame Dateien\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [RemoteCenter] C:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe O4 - Global Startup: CAPIControl.lnk = ? O4 - Global Startup: HomeNet Control.lnk = ? O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe |
Moin Zitat:
Zitat:
Lass diese Dateien : C:\WINDOWS\system32\kerbfros.dll C:\WINDOWS\scvhost.exe C:\WINDOWS\shdef.exe hier Virustotal oder hier Jotti überprüfen (kann bisschen dauern), poste die Ergebnisse mit der Angabe der größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben, auch wenn nichts gefunden wurde. Außerdem würde ich gern ein log von Blacklight sehen, lade dir Blacklight und poste anschließend das Log (findest du im selben Ordner wie Blacklight). MFG |
05/08/07 18:41:47 [Info]: BlackLight Engine 1.0.61 initialized 05/08/07 18:41:47 [Info]: OS: 5.1 build 2600 (Service Pack 2) 05/08/07 18:41:47 [Note]: 7019 4 05/08/07 18:41:47 [Note]: 7005 0 05/08/07 18:41:48 [Note]: 7006 0 05/08/07 18:41:48 [Note]: 7011 3116 05/08/07 18:41:49 [Note]: 7026 0 05/08/07 18:41:49 [Note]: 7026 0 05/08/07 18:41:49 [Note]: FSRAW library version 1.7.1021 05/08/07 18:46:05 [Note]: 7007 0 no hidden items found virustotal läuft noch.. |
scvhost - es mayor größe der datei - 10,0 MB (10.555.599 Bytes) |
Ich tippe auf einen backdoor und würde neu aufsetzen... |
Moin Zitat:
C:\WINDOWS\system32\kerbfros.dll und wenn es geht diese auch noch C:\WINDOWS\shdef.exe MFG EDITH das mit der scvhost.exe ist seltsam!? |
es mayor kommt immer bei nichts gefunden oder was ist das überhaupt für ne seite? sieht auch seltsam aus.. EDIT: die seite scheint die scvhost gar nicht anzunehmen, komme damit nicht in eine queue. die anderen beiden sind jetzt gequeued.. |
sieht aber definitiv nur so aus... |
Ich denke wir haben es mit einer neuen SdBot Wurm Variante zu tun. Der hier wäre ein Beispiel. Führe die online Auswertungen aus; könnte allerdings auch sein, dass du einige Dateien an das KasperskyLab schicken musst. Und nach dem wahrscheinlichen Neauaufsetzten musst du unbedingt alle Passwörter ändern!! [EDIT:] zum "mayor" Peoblem eine !Idee! (Ahnung habe ich keine): Kann Virustotal evtl. laufende Prozess Dateien oder der Gleichen nicht anfassen? Kann es im Moment nicht ausprobieren da die Seite total überlasstet ist.. Gruß Undoreal |
passwörter sind alle geändert .. auch nix bisher passiert obwohl seit ende märz die tastatureingaben in offset datei mitgelogt wurden O_O |
Das Teil nennnt sich TR/RKit.Nuclear |
Zitat:
@mightymarc: Zitat:
|
kerberos: AhnLab-V3 2007.5.9.0 05.08.2007 no virus found AntiVir 7.4.0.15 05.08.2007 ADSPY/Stud.D Authentium 4.93.8 05.07.2007 no virus found Avast 4.7.997.0 05.07.2007 Win32:Trojano-3384 AVG 7.5.0.467 05.08.2007 Adware Generic.WNV BitDefender 7.2 05.08.2007 Adware.Stud.I CAT-QuickHeal 9.00 05.08.2007 no virus found ClamAV devel-20070416 05.08.2007 Adware.BHO-15 DrWeb 4.33 05.08.2007 no virus found eSafe 7.0.15.0 05.08.2007 no virus found eTrust-Vet 30.7.3618 05.08.2007 no virus found Ewido 4.0 05.08.2007 Adware.Stud FileAdvisor 1 05.08.2007 no virus found Fortinet 2.85.0.0 05.08.2007 no virus found F-Prot 4.3.2.48 05.08.2007 W32/Adware.IJT F-Secure 6.70.13030.0 05.08.2007 no virus found Ikarus T3.1.1.7 05.08.2007 not-a-virus:AdWare.Win32.Stud.d Kaspersky 4.0.2.24 05.08.2007 not-a-virus:AdWare.Win32.Stud.d McAfee 5026 05.08.2007 no virus found Microsoft 1.2503 05.08.2007 Trojan:Win32/Webprefix NOD32v2 2249 05.08.2007 Win32/Adware.BHO.AA Norman 5.80.02 05.08.2007 W32/Stud.Y Panda 9.0.0.4 05.08.2007 no virus found Prevx1 V2 05.08.2007 no virus found Sophos 4.17.0 05.07.2007 no virus found Sunbelt 2.2.907.0 05.05.2007 no virus found Symantec 10 05.08.2007 Adware.Webprefix TheHacker 6.1.6.109 05.08.2007 Adware/Stud.d VBA32 3.12.0 05.08.2007 AdWare.Win32.Stud.d VirusBuster 4.3.7:9 05.08.2007 Adware.BHO.EC Webwasher-Gateway 6.0.1 05.08.2007 Ad-Spyware.Stud.D Aditional Information File size: 19188 bytes MD5: 368f875bbd716ad4b2d9575efeb1ef28 SHA1: b202af32614c3a23ad678b6743fb89bf54830671 packers: UPX packers: UPX packers: UPX EDIT: die passwörter wurden nicht auf dem rechner geändert und interne passwörter sind erstmal egal da jetzt alle ports durch router gesperrt sind |
Zitat:
Das wichtigste Wort ist NACH! |
Zitat:
|
Zitat:
|
Man hätte ja mal um ein eScan-Log bitten können :rolleyes: |
SHDEF.exe: AhnLab-V3 2007.5.9.0 05.08.2007 Win-Trojan/Nucleroot.69632 AntiVir 7.4.0.15 05.08.2007 TR/RKit.Nuclear.0.B Authentium 4.93.8 05.07.2007 W32/Backdoor.ABOL Avast 4.7.997.0 05.07.2007 Win32:Trojan-gen. {UPX!} AVG 7.5.0.467 05.08.2007 BackDoor.Generic3.RHV BitDefender 7.2 05.08.2007 Dropped:Backdoor.Nucleroot.A CAT-QuickHeal 9.00 05.08.2007 Backdoor.Nucleroot.a ClamAV devel-20070416 05.08.2007 Trojan.Nuclear-11 DrWeb 4.33 05.08.2007 BackDoor.Nuclear.33 eSafe 7.0.15.0 05.08.2007 Win32.Nucleroot.a eTrust-Vet 30.7.3618 05.08.2007 no virus found Ewido 4.0 05.08.2007 Rootkit.Nuclear FileAdvisor 1 05.08.2007 no virus found Fortinet 2.85.0.0 05.08.2007 W32/Nucleroot.A!tr F-Prot 4.3.2.48 05.08.2007 W32/Backdoor.ABOL F-Secure 6.70.13030.0 05.08.2007 Backdoor.Win32.Nucleroot.a Ikarus T3.1.1.7 05.08.2007 Backdoor.Win32.Nucleroot.A Kaspersky 4.0.2.24 05.08.2007 Backdoor.Win32.Nucleroot.a McAfee 5026 05.08.2007 BackDoor-CXP Microsoft 1.2503 05.08.2007 Backdoor:Win32/Nucleroot.B NOD32v2 2249 05.08.2007 Win32/Nucleroot.A Norman 5.80.02 05.08.2007 W32/Nucleroot.EJ Panda 9.0.0.4 05.08.2007 Bck/Nucleroot.A Prevx1 V2 05.08.2007 Covert.Sys.Exec Sophos 4.17.0 05.07.2007 Troj/RKNu-A Sunbelt 2.2.907.0 05.05.2007 Trojan.Unclassified.gen Symantec 10 05.08.2007 Trojan Horse TheHacker 6.1.6.109 05.08.2007 Backdoor/Nucleroot.a VBA32 3.12.0 05.08.2007 Backdoor.Win32.Nucleroot.a VirusBuster 4.3.7:9 05.08.2007 no virus found Webwasher-Gateway 6.0.1 05.08.2007 Trojan.RKit.Nuclear.0.B Aditional Information File size: 27648 bytes MD5: 57229658f33396cec185bfc96af42e9d SHA1: a4a2433901f66922fa32aabf83e3f6c74b8dadc6 packers: UPX packers: UPX packers: UPX Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PXC=2e8048410239 Sunbelt info: Trojan.Unclassified.gen is a group of various malicious applications that have not been fully categorized. Detection has been added as Trojan.Unclassified.gen until such applications can be further classified. |
Zitat:
aber das übersichtlichste wäre es da hat Marc schon Recht. Eine Anleitung findet sich u.a. in meiner Signatur shatraug.. Zitat:
|
scvhost ist beendet. läuft nicht als Prozess und trotzdem kommt der bei VirusTotal und auf der anderen scanseite nicht in eine queue/upload :snyper: |
Ahso. Habe noch eine (Schnaps)Idee: Vielleicht macht ein Rootkit Virustotal zu schaffen.?. |
jo ich gebs auf und mach am WE windows neu drauf. |
Zitat:
|
danke für die mühe udn sry das ich euch spielkinder nichts zu spielen geb mit escan aber hab momentan nich soviel zeit ;-) |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 00:40 Uhr. |
Copyright ©2000-2025, Trojaner-Board