Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Trojaner eingefangen? (https://www.trojaner-board.de/44121-trojaner-eingefangen.html)

ISSDUC 01.10.2007 12:31
Trojaner eingefangen?
 
Ich habe den Verdacht,dass ich mit einem Trojaner infiziert wurde...
Außerdem kann ich den IE 7 nicht mehr benutzen ...>.<
Ich habe es auch schon ohne Kaspersky 7.0 Inernet Security gestartet..Es funktioniert dennoch nicht...

Habe CCleaner,Adaware 2007,SpyBot S&D und a-squared laufen lassen.Werde heute Nachmittag noch meinen Kaspersky 7.0 scannen lassen...
SpyBot S&D Log
Code:
--- Search result list ---
Microsoft.Windows.IEFirewallBypass: [SBI $1744AE5C] Einstellungen (Registrierungsdatenbank-Wert, fixed)
  HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\C:\Programme\Internet Explorer\IEXPLORE.EXE

PWS.LDPinchIE: [SBI $1A50E9D3] Einstellungen (Registrierungsdatenbank-Schlüssel, fixed)
  HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\RpcApi

MailSkinner.rtk: [SBI $68FD185E] Root class (Registrierungsdatenbank-Schlüssel, fixing failed)
  HKEY_LOCAL_MACHINE\SOFTWARE\Classes\OutlookAddin.Addin

MailSkinner.rtk: [SBI $68FD185E] Root class (Registrierungsdatenbank-Schlüssel, fixing failed)
  HKEY_LOCAL_MACHINE\SOFTWARE\Classes\OutlookAddin.Addin.1

MailSkinner.rtk: [SBI $68FD185E] Class ID (Registrierungsdatenbank-Schlüssel, fixed)
  HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C704648D-6030-47E9-ADBA-1E13B6A784AE}

MailSkinner.rtk: [SBI $6DA3251B] Einstellungen (Registrierungsdatenbank-Schlüssel, fixed)
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Outlook\Addins\OutlookAddin.Addin
Code:
Hijack Log:
Logfile of HijackThis v1.99.1
Scan saved at 13:30:34, on 01.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 SP2 (7.00.6000.16512)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\CTHELPER.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\QuickTime\QTTask.exe
D:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\a-squared Free\a2service.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\MSN Messenger\usnsvc.exe
D:\Programme\iTunes\iTunes.exe
D:\Programme\CursorXP\CursorXP.exe
C:\Programme\a-squared Free\a2free.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
D:\Teamspeak2_RC2\TeamSpeak.exe
C:\Dokumente und Einstellungen\Besitzer\Desktop\cleaner\HijackThis1991.exe
C:\Programme\Internet Explorer\iexplore.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://us.rd.yahoo.com/customize/ie/defaults/sb/msgr8/*http://www.yahoo.com/ext/search/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://us.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*http://www.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://us.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://www.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
O1 - Hosts: 121.128.133.26 gwgt1.joymax.com
O1 - Hosts: 121.128.133.27 gwgt1.joymax.com
O1 - Hosts: 121.128.133.28 gwgt1.joymax.com
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (filesize 62080 bytes, MD5 C11F6A1F61481E24BE3FDC06EA6F7D2A)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll (filesize 1122128 bytes, MD5 B8958471DAA4481E93B03DF8F991DD6E)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll (filesize 501400 bytes, MD5 70FD57D6EDBED8D80C1995257C99D27E)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (filesize 322368 bytes, MD5 E43F7CFDEE2B00A22C96C168147B20D3)
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 (filesize 208952 bytes, MD5 7BBE4CF421AECC7F0226EDD75F12079F)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup (filesize 33792 bytes, MD5 9082AD264D95541DDC7CB2AC6513DC0D)
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE (filesize 17920 bytes, MD5 866346F3D82F0CA2C7D80AFF41A6E1D3)
O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE (filesize 18944 bytes, MD5 279615246E6343B7C4BADBCB8CF37067)
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install (filesize 1626112 bytes, MD5 C6B1971E12A35FB69D64D01B915E1AA1)
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exeC:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit (filesize 33792 bytes, MD5 9082AD264D95541DDC7CB2AC6513DC0D)
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime (filesize 286720 bytes, MD5 49CCFBE5D5225B9D3CC78C09DEE147D0)
O4 - HKLM\..\Run: [iTunesHelper] "D:\Programme\iTunes\iTunesHelper.exe" (filesize 267064 bytes, MD5 7BD9F0839E7F55DD66D3F9CE9C61D810)
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" (filesize 218376 bytes, MD5 38BA040617859C0610DDC6FEF9016703)
O4 - HKLM\..\RunOnce: [IERESETATTRIB] %SystemRoot%\system32\cmd.exe /d /q /c %SystemRoot%\system32\ieudinit.exe -ResetFileAttributes
O4 - HKLM\..\RunOnce: [IERESETICONS] %SystemRoot%\system32\cmd.exe /d /q /c %SystemRoot%\iereseticons.exe
O4 - HKLM\..\RunOnce: [Installing-ie7] C:\DOKUME~1\Besitzer\LOKALE~1\Temp\IE7-WindowsXP-x86-deu_2.exe /passive (filesize 14842672 bytes, MD5 0E3130216F1DFE3682C48888B64C039D)
O4 - HKLM\..\RunOnce: [SpybotSnD] "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck (filesize 4943184 bytes, MD5 C92780F50B8BB7A89E919585916494A9)
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exeC:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NVIDIA nTune] "C:\Programme\NVIDIA Corporation\nTune\nTuneCmd.exe" clear (filesize 81920 bytes, MD5 4A953B234C418C75934C4994CEA6A82B)
O4 - HKCU\..\Run: [CursorXP] D:\Programme\CursorXP\CursorXP.exeD:\Programme\CursorXP\CursorXP.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll (filesize 501400 bytes, MD5 70FD57D6EDBED8D80C1995257C99D27E)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll (filesize 501400 bytes, MD5 70FD57D6EDBED8D80C1995257C99D27E)
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll (filesize 222472 bytes, MD5 A89F8FCE1FFEDAFD910B26783DB1CC5A)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (filesize 3144800 bytes, MD5 C0F38029C013894B668AECA496F6DB50)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (filesize 3144800 bytes, MD5 C0F38029C013894B668AECA496F6DB50)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll (filesize 1122128 bytes, MD5 B8958471DAA4481E93B03DF8F991DD6E)
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll (filesize 1122128 bytes, MD5 B8958471DAA4481E93B03DF8F991DD6E)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (filesize 1694208 bytes, MD5 74E6E96C6F0E2ECA4EDBB7F7A468F259)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (filesize 1694208 bytes, MD5 74E6E96C6F0E2ECA4EDBB7F7A468F259)
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/su/ocx/15030/CTSUEng.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Programme\Yahoo!\Common\Yinsthelper.dll
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su/ocx/15030/CTPID.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3A1BE313-1932-46B2-A8AF-23C0B0EE8480}: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CCS\Services\Tcpip\..\{8AD310BE-C888-4A04-828F-3B8EBE1FDDAC}: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 208.67.220.220 208.67.222.222
O17 - HKLM\System\CS4\Services\Tcpip\Parameters: NameServer = 208.67.220.220 208.67.222.222
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 208.67.220.220 208.67.222.222
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL (filesize 63344 bytes, MD5 CD241D38F4B0777A6381EA23C8CAF427)
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll (filesize 866304 bytes, MD5 69D31C69172B000C775C4E0D36D707FA)
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL (filesize 63344 bytes, MD5 CD241D38F4B0777A6381EA23C8CAF427)
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~2.0\adialhk.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dllC:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dllC:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll (filesize 133632 bytes, MD5 045E228F71C31901084B64BE59093499)
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exeC:\Programme\a-squared Free\a2service.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exeC:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exeC:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exeC:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" -r (file missing)
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exeC:\Programme\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exeC:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: lxbu_device - Lexmark International, Inc. - C:\WINDOWS\system32\lxbucoms.exeC:\WINDOWS\system32\lxbucoms.exe
O23 - Service: SQL Server (SQLEXPRESS) (MSSQL$SQLEXPRESS) - Unknown owner - C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe" -sSQLEXPRESS (file missing)
O23 - Service: nTune Service (nTuneService) - NVIDIA - C:\Programme\NVIDIA Corporation\nTune\nTuneService.exeC:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exeC:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exeC:\WINDOWS\system32\oodag.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exeC:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exeC:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)

myrtille 01.10.2007 12:44
Hi,

ich vermute ja, dass du eher ein Opfer von Spybot geworden bist. ;)

Mailskinner.rtk ist dir bekannt? Ist das ein Plugin/Programm, das du installieren willst?

Was genau funktioniert beim IE nicht?

lg myrtille

EDIT: Weitere logs bitte ohne die code-tags posten.
Darf ich fragen wo du deine Hijackthisversion runtergeladen hast?

ISSDUC 01.10.2007 14:03
hi,
Mailskinner.rtk ist mir nicht bekannt...

Ich habe Hijack von http://www.hijackthis.de heruntergeladen.Habe Hijack aber umbenannt,könnte wahrscheinlich daran liegen...

Wenn ich den IE 7 öffne,kann ich keine Website öffnen,obwohl ich mit dem Internet verbunden bin.Mit Mozilla FireFox klappt es und MSN hat auch eine Verbindung.

Werde wohl mein Computer formatieren müssen..naja,wir sowieso langsam zeit ;-)

myrtille 01.10.2007 14:10
Hi,
das du mit dem IE nicht mehr ins Netz kommst liegt an Spybot:
Zitat:
Microsoft.Windows.IEFirewallBypass: [SBI $1744AE5C] Einstellungen (Registrierungsdatenbank-Wert, fixed)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\C:\Programme\Inter net Explorer\IEXPLORE.EXE
Der hat dem IE den Internetzugang entzogen, weil er versucht hat die Firewall zu umgehen.

Zu Mailskinner werd ich mal ein paar recherchen anstellen, aber ich denke nicht, dass das was richtig böse ist.

lg myrtille

EDIT:
Das ging schnell:
mailskinner.rtk gehört zu Kaspersky und ist ein falsepositive, das heißt ein gutes Programm, das nur Spybot als böse erkennt. Da brauchst du dir keine Sorgen drum zu machen.

Was sind denn die Probleme? Nur die Spybotergebnisse? Oder gibts da noch mehr?

ISSDUC 01.10.2007 14:23
hey,
eigentlich ja.Werde trotzdem formatieren,nur um sicher zu gehen :-)

Danke für deine Hilfe

myrtille 01.10.2007 14:30
Es steht dir natürlich frei zu formatieren. :D
Halte dich dabei möglichst an folgende Anleitung: neuaufsetzen

Außerdem würde ich dir empfehlen die Hintergrundwächter von Spybot zu deaktivieren. Der hat häufiger mal solche Ausfälle und behindert "normale" Einträge in der Registry.


Meines Erachtens gibt es allerdings keine dringende Gründe Neuaufzusetzen. ;)

lg myrtille


Alle Zeitangaben in WEZ +1. Es ist jetzt 20:40 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131