|
HiJackThis Log analysieren Hallo, auf meinen Desktop- Pc, den eigentlich vor allem mein Bruder nutzt hatte ich / habe ich einen ziemlichen Virenbefall! Also ich konnte das System wieder soweit bringen, dass man jetzt wieder damit arbeiten kann. AntiVir zeigt auch keinen gefunden Trojaner mehr an, weil ich soweit was ging im abgesicherten Modus gelöscht habe. HijackThis gibt folgendes aus, sicher noch Bedenkliches dabei!!! Wer kann mir sagen was??????? Dankeschön im Vorraus!!! Gruss Rexina Logfile of HijackThis v1.99.1 Scan saved at 12:58:18, on 23.07.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\SCardSvr.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\slserv.exe C:\WINDOWS\System32\wdfmgr.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Programme\RealVNC\VNC4\WinVNC4.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\Explorer.EXE C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\T-Online\ISDN SpeedManager\Tomcat.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\DVD\PowerDVD\PDVDServ.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\ICQLite\ICQLite.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe C:\Programme\Trafficdetector3\TrafficdetectorV3.exe C:\Programme\Trafficdetector3\catcher_.exe C:\Programme\Trafficdetector3\SpeedMinifenster.exe C:\Programme\Trafficdetector3\minifenster.exe C:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\SEBAST~1\LOKALE~1\Temp\Rar$EX11.812\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/ F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe, O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: T3ToolbarHelper Class - {164E93C4-09BF-4647-9E0B-D5FBB1D35E63} - C:\PROGRA~1\DASRTL~1\DASOER~1.DLL O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O3 - Toolbar: DasÖrtliche Such-Leiste - {6E5B18CB-0EB6-4461-88B8-33B4683613D5} - C:\PROGRA~1\DASRTL~1\DASOER~1.DLL O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [ISDN SpeedManager] "C:\Programme\T-Online\ISDN SpeedManager\Tomcat.exe" O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe O4 - HKLM\..\Run: [KAZAA] C:\Programme\KaZaA Lite\Kazaa.exe /SYSTRAY O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [RemoteControl] C:\Programme\DVD\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe O4 - Global Startup: Adobe Gamma Loader.lnk = ? O4 - Global Startup: Trafficdetector.lnk = C:\Programme\Trafficdetector3\TrafficdetectorV3.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://C:\foo.mht!http://82.179.166.130/e9xr2.chm::/file.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{A2B7B4F3-CE7C-40E8-9D09-5344364807F0}: NameServer = 192.168.0.1 O20 - AppInit_DLLs: C:\WINDOWS\system32\mscikci.dll O20 - Winlogon Notify: rege2usb - rege2usb.dll (file missing) O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Programme\RealVNC\VNC4\WinVNC4.exe" -log "*:EventLog:0" -log Connections:EventLog:100 -service (file missing) |
Setzt bitte den Rechner neu auf, Du hast Backdoor-Befall. - Backdoor.Win32.Small.lu Ausserdem, kennst Du diese Adresse? 30.10.2006 - RUNNET-ILCA1 descr: ICS TM, JSC descr: 70 Bolshoy pr. V.O. descr: 199002 St.-Petersburg Sogar mein Antivir hat eine Warnmeldung rausgegeben als ich Dein Log untersucht habe. :confused: http://www.trojaner-board.de/12154-a...sicherung.html EDIT: Moin Rene-gad EDIT2 : Moin Joeyblack : Schwebebahn fährt leider zur Zeit nicht weil nächste Ausbauphase, aber der Zoo hat neuen Baby-Elefanten ;-) |
Hallo, hinter: F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDO WS\system32\ntos.exe, O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe verbirgt sich imho ein backdoor, daraus ergibt sich nur eine sinnvolle Lösung: NEU AUFSETZEN ! (Anleitung findest Du hier im Board sowie Empfehlungen zur zukünftigen Risikominimierung. Bitte alle Passwörter ändern !) LG Joey :) ___________________________________________________ Wer eine Frage stellt verpflichtet sich, der Antwort zuzuhören ! @Mobius Grüße an den Schnelleren...wo sitzt Du denn an der Schwebebahn, wollte am Sonntag meinen Kindern mal die Bahn und den Zoo zeigen... LG Joey :party: @Rene-gad Moin Rene-gad, wollte ich mich nochmal bedanken, Du hast mir vor 2 Jahren hier im Board echt geholfen, vllt kann ich ja etwas der Community zurückgeben.. LG Joey :party: EDIT: Moin Mobius, danke für die Info, werden dann "nur" Zoo besichtigen und schweben nach dem 06.08.07 :) |
Zitat:
Zitat:
EDIT: Moin Mobius07 :party: und joeyblack :party: :) |
Hi, ok es handelt sich also um einen Backdoor Trojaner, was heißt der Computer meines Bruders wird ausspioniert oder könnte sehr gut ausspionniert werden. Krasse Geschichte!!! Ja ich hab mir eh schon gedacht, dass man da bald mal ne Neuinstallation vornehmen muss. Eine Frage noch: was meinst du mit :30.10.2006 - RUNNET-ILCA1 descr: ICS TM, JSC descr: 70 Bolshoy pr. V.O. descr: 199002 St.-Petersburg ob ich diese Adresse kennen würde??? Danke Gruss Rexina |
Hallo Rexina, das: Zitat:
...und das weiss er daher: O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://C:\foo.mht!h**p://82.179.166.130/e9xr2.chm::/file.exe LG Joey :) _____________________________________________________ Wer eine Frage stellt verpflichtet sich, der Antwort zuzuhören ! |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 03:55 Uhr. |
Copyright ©2000-2025, Trojaner-Board