Trojaner-Board
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Mein PC sendet ständig! Trojaner oder normal? (https://www.trojaner-board.de/44154-pc-sendet-staendig-trojaner-normal.html)

Chagall1985 02.10.2007 14:19
Mein PC sendet ständig! Trojaner oder normal?
 
EDIT: Dies ist der zweite versuch! Mein erster wurde wohl gelöscht! Habe alle Links editiert und hoffe nun auf Hilfe!
Also Ich habe ANTIVIR, SPYBOT, Ad-Aware und Zonealarm alle auf neuestem Stand!
Sie finden nichts!

Mein PC sendet ständig Daten! Etwa 6-8kb was bei meiner Rotzverbindung etwa maximum ist!

Ich denke einen Trojaner an Board zu haben der vielleicht Spammails versendet!
Probleme:
1.Windows fährt nicht korrekt runter! Bleibt hängen und muss dann richtig ausgestellt werden!
2.Ich habe ständig einen Poker Button auf dem Desktop

Ansonsten läuft alles!

Bitte um Hilfe bei der Auslesung und um Tipps die keine Systemneuaufsetzung erfodern!! Kann Ich nicht da ich keine DVD dafür habe!

Hijack This:
Logfile of HijackThis v1.99.1
Scan saved at 01:35:34, on 02.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\QuickTime\QTTask.exe
C:\Programme\Java\jre1.5.0_10\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe
C:\Programme\Muiltmedia keyboard Utility\2.0\KbdAp32A.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\Dokumente und Einstellungen\**\Eigene Dateien\s?mbols\r?ndll32.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\klickTel\Telefon- und Branchenbuch Sommer 2007\KSTART32.EXE
C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\Belkin\Belkin Wireless Network Utility\WLService.exe
C:\Programme\Belkin\Belkin Wireless Network Utility\WLanCfgG.exe
C:\WINDOWS\System32\cisvc.exe
c:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\Programme\Java\jre1.5.0_10\bin\jucheck.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Programme\totalcmd\TOTALCMD.EXE
c:\Programme\hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.finderg.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {0AD65868-5C1A-41D9-945E-639B7C5EEF88} - C:\WINDOWS\system32\pmkhf.dll (file missing)
O2 - BHO: (no name) - {2CCCA297-A9E6-4ECA-8F08-C5D212C8091A} - (no file)
O2 - BHO: Editor plugin - {3298487F-5064-48e9-B5E4-4BF50F4F9006} - mountr.dll (file missing)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {598CD603-07EA-41F6-A92C-60B5DF67B6C6} - (no file)
O2 - BHO: (no name) - {60FCE9C2-6049-40B1-9C53-574507672D01} - (no file)
O2 - BHO: (no name) - {71795A24-4757-4ABA-8FCB-809F2D415E92} - (no file)
O2 - BHO: (no name) - {726A838D-1864-3EC5-6524-4D71BE729EED} - C:\WINDOWS\system32\dydjvyf.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: (no name) - {8B322692-9689-4E00-8C6F-9F0968F9A58D} - (no file)
O2 - BHO: (no name) - {9370EFDE-C0DA-42C9-B609-41C87B462011} - (no file)
O2 - BHO: (no name) - {9FD7C436-5B00-4C1B-BE40-36CDA8AEC6FF} - (no file)
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: (no name) - {BA963E96-5295-449F-A1E8-B6B2EB21D08B} - C:\WINDOWS\system32\ddaya.dll (file missing)
O2 - BHO: (no name) - {C0422DF1-F9E0-4E2F-8A09-8CC51B001211} - (no file)
O2 - BHO: (no name) - {E80BBB4A-3507-4603-AB22-C17BF98451B9} - C:\WINDOWS\system32\ddayx.dll (file missing)
O2 - BHO: (no name) - {FFFFFFA2-C40D-475D-8C91-9A9876ACFCDD} - C:\PROGRA~1\klickTel\KLICKT~2\KTTOOL~1.DLL
O3 - Toolbar: &klickTel Toolbar - {FFFF8BAD-BB43-4A08-8258-BFB40A29FBD7} - C:\PROGRA~1\klickTel\KLICKT~2\KTTOOL~1.DLL
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ISUSPM] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" -scheduler
O4 - HKLM\..\Run: [FLMK08KB] C:\Programme\Muiltmedia keyboard Utility\2.0\KbdAp32A.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKCU\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKCU\..\Run: [Nuas] "C:\DOKUME~1\**~1\ANWEND~1\ICROSO~1.NET\lsass.exe" -vt ndrv
O4 - HKCU\..\Run: [Mhvvut] "C:\Dokumente und Einstellungen\**\Eigene Dateien\s?mbols\r?ndll32.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: Telefon- und Branchenbuch Sommer 2007 - Schnellstarter.lnk = C:\Programme\klickTel\Telefon- und Branchenbuch Sommer 2007\KSTART32.EXE
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Search - h**p://kp.bar.need2find.com/KP/menusearch.html?p=KP
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} -
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1190053331640
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IPSUploader Control) - h**ps://photoservice.fujicolor.de/ips-opdata/operator/19780613/activex/IPSUploader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3985F6A7-A716-4C65-B356-85DD8D2CD789}: NameServer = 217.237.149.142 217.237.150.205
O17 - HKLM\System\CCS\Services\Tcpip\..\{6C4A96A8-D25A-40EA-BACE-7B390E3D3DC3}: NameServer = 127.0.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{E8D0406E-8217-4D67-89B7-A3C0E6B5CFD3}: NameServer = 127.0.0.1,10.0.0.2
O17 - HKLM\System\CCS\Services\Tcpip\..\{F11E0511-5CC9-4875-829A-B90AB5F4D43A}: NameServer = 127.0.0.1
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: winrzf32 - winrzf32.dll (file missing)
O20 - Winlogon Notify: wvuvwuv - wvuvwuv.dll (file missing)
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Belkin Wireless USB Network Adapter (Belkin Wireless USB Network Adapter Service) - Unknown owner - C:\Programme\Belkin\Belkin Wireless Network Utility\WLService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: IviRegMgr - InterVideo - c:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe
O23 - Service: Microsoft NetWork FireWall Services - Unknown owner - NetServices.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: twdns - Unknown owner - C:\WINDOWS\system32\dns\bin\named.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Pro-Burner 02.10.2007 15:27
Es gibt viele Programme die ab und an mal Daten über das I-net Synchronisieren.In gewisser Hinsicht ist das auch normal! Hol dir eine Firewall wie Kaspersky oder Zone Alarm. Beide Firewalls zeigen dir an welches Programm auf das I-net zugreifen will, je nachdem kannst du dann die Verbindung erlauben oder nicht.

Ich empfehle dir eine dieser Firewalls zu installieren und alle Programm zu löschen die du nicht kennst und die auf das I-net zugreifen wollen.


Gruß: Pro-Burner

Chagall1985 02.10.2007 16:21
Also Zonealarm habe ich installiert! In der Testversion!

Das sagt zwar das Programme aufs inet zugreifen wollen!
Aber wie ich die unerwünschten löschen kann begreif ich nicht!
Es sei den ich soll das per hand machen!
Ausserdem würde ich mir nicht zutrauen welche Programme ich löschen darf!
Den ich kenne nicht jede wichtige Windowsroutine die auch auf inet zugreift!

Wie sieht das den mit dem Lockfile aus???
Irgentwelche schadhaften files zu sehen??

EDIT: Jepp Trojanerade!! Kein Problem! Dachte nur Ich sollte darauf antworten!

Trojanerade 02.10.2007 16:34
Ein Moderator oder Admin wird dir bald helfen also habe etwas gedult:daumenhoc

Chagall1985 02.10.2007 18:25
Nur zur Info:
Also Ich muss mich korrigieren!

Zone alarm hat das senden beendet! Allerdings sehe Ich nicht was es war!
Ich habe zwar alles verboten aber ich sehe nur die Übersicht!
ca. 5000 Zugriffsversuche
120 Warnungen ersten Ranges
1200 eingehende verhindert!
Checke nicht wie man sich diese ansehen kann!

Zone alarm ist in der Testversion seit gestern drauf!!

Chagall1985 03.10.2007 10:13
Editieren kann ich nicht! Oder nicht mehr! Sehe den Button mehr!
Zone Alarm schafft es manchmal das senden zu beenden!
Den gesamten gestriegen Tag gings wieder weiter!
Wo ist der EDIT Button geblieben? Ich konnte das schonmal! Und in den Rechten steht es als Aktiv!

R3D3 03.10.2007 10:27
Du kannst ja mal dein Logfile auf hijackthis.de untersuchen lassen. Der wird in deinem Falle leider etwas finden .....

Chagall1985 03.10.2007 11:25
Also Ergebniss ist folgendes:

Ich habe ne Menge unnötige Prozesse bei O2.

Eine Fuzzy algorythmus Prüfung!
O4 - HKCU\..\Run: [Nuas] "C:\DOKUME~1\**~1\ANWEND~1\ICROSO~1.NET\lsass.exe" -vt ndrv

einen schädlichen Prozess:
O8 - Extra context menu item: &Search - h**p://kp.bar.need2find.com/KP/menusearch.html?p=KP

und einen sehr schädlichen Prozess:
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} -

Und nun? Soll ich die alle per Hand löschen? Sind die danach weg? Oder kommen die wieder? Was ist das? Oder wie kriege ich raus was es ist?

Den Need to find habe ich jetzt gelöscht! Allerdings unter Programme, da er unter software nicht löschbar war!
Der kommt allerdings bestimmt wieder! Wo versteckt sich den die passende dll?? habe das mal gegoogelt! Die Antworten passen aber nicht!

Chagall1985 03.10.2007 20:57
So die besagten Dateien habe ich gefixt!
Was macht mann mit den unnötigen Prozessen?
PC sendet immer noch!

Logfile sieht jetzt so aus:

Logfile of HijackThis v1.99.1
Scan saved at 21:50:12, on 03.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\QuickTime\QTTask.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Java\jre1.5.0_10\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe
C:\Programme\Muiltmedia keyboard Utility\2.0\KbdAp32A.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\Dokumente und Einstellungen\**\Eigene Dateien\s?mbols\r?ndll32.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Belkin\Belkin Wireless Network Utility\WLService.exe
C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Programme\Belkin\Belkin Wireless Network Utility\WLanCfgG.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\WINDOWS\System32\cisvc.exe
C:\Programme\klickTel\Telefon- und Branchenbuch Sommer 2007\KSTART32.EXE
c:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\Programme\Java\jre1.5.0_10\bin\jucheck.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Programme\totalcmd\TOTALCMD.EXE
c:\Programme\hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {0AD65868-5C1A-41D9-945E-639B7C5EEF88} - C:\WINDOWS\system32\pmkhf.dll (file missing)
O2 - BHO: (no name) - {2CCCA297-A9E6-4ECA-8F08-C5D212C8091A} - (no file)
O2 - BHO: Editor plugin - {3298487F-5064-48e9-B5E4-4BF50F4F9006} - mountr.dll (file missing)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {598CD603-07EA-41F6-A92C-60B5DF67B6C6} - (no file)
O2 - BHO: (no name) - {60FCE9C2-6049-40B1-9C53-574507672D01} - (no file)
O2 - BHO: (no name) - {71795A24-4757-4ABA-8FCB-809F2D415E92} - (no file)
O2 - BHO: (no name) - {726A838D-1864-3EC5-6524-4D71BE729EED} - C:\WINDOWS\system32\dydjvyf.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: (no name) - {8B322692-9689-4E00-8C6F-9F0968F9A58D} - (no file)
O2 - BHO: (no name) - {9370EFDE-C0DA-42C9-B609-41C87B462011} - (no file)
O2 - BHO: (no name) - {9FD7C436-5B00-4C1B-BE40-36CDA8AEC6FF} - (no file)
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: (no name) - {BA963E96-5295-449F-A1E8-B6B2EB21D08B} - C:\WINDOWS\system32\ddaya.dll (file missing)
O2 - BHO: (no name) - {C0422DF1-F9E0-4E2F-8A09-8CC51B001211} - (no file)
O2 - BHO: (no name) - {E80BBB4A-3507-4603-AB22-C17BF98451B9} - C:\WINDOWS\system32\ddayx.dll (file missing)
O2 - BHO: (no name) - {FFFFFFA2-C40D-475D-8C91-9A9876ACFCDD} - C:\PROGRA~1\klickTel\KLICKT~2\KTTOOL~1.DLL
O3 - Toolbar: &klickTel Toolbar - {FFFF8BAD-BB43-4A08-8258-BFB40A29FBD7} - C:\PROGRA~1\klickTel\KLICKT~2\KTTOOL~1.DLL
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ISUSPM] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" -scheduler
O4 - HKLM\..\Run: [FLMK08KB] C:\Programme\Muiltmedia keyboard Utility\2.0\KbdAp32A.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKCU\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKCU\..\Run: [Mhvvut] "C:\Dokumente und Einstellungen\**\Eigene Dateien\s?mbols\r?ndll32.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Acrobat\AdobeUpdateManager.exe" AcPro7_0_5
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: Telefon- und Branchenbuch Sommer 2007 - Schnellstarter.lnk = C:\Programme\klickTel\Telefon- und Branchenbuch Sommer 2007\KSTART32.EXE
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1190053331640
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IPSUploader Control) - h**ps://photoservice.fujicolor.de/ips-opdata/operator/19780613/activex/IPSUploader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6C4A96A8-D25A-40EA-BACE-7B390E3D3DC3}: NameServer = 127.0.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{E8D0406E-8217-4D67-89B7-A3C0E6B5CFD3}: NameServer = 127.0.0.1,10.0.0.2
O17 - HKLM\System\CCS\Services\Tcpip\..\{F11E0511-5CC9-4875-829A-B90AB5F4D43A}: NameServer = 127.0.0.1
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: winrzf32 - winrzf32.dll (file missing)
O20 - Winlogon Notify: wvuvwuv - wvuvwuv.dll (file missing)
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Belkin Wireless USB Network Adapter (Belkin Wireless USB Network Adapter Service) - Unknown owner - C:\Programme\Belkin\Belkin Wireless Network Utility\WLService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: IviRegMgr - InterVideo - c:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe
O23 - Service: Microsoft NetWork FireWall Services - Unknown owner - NetServices.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: twdns - Unknown owner - C:\WINDOWS\system32\dns\bin\named.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Chagall1985 05.10.2007 23:31
Wie lange dauert das hier eigentlich bis mal jemand Stellung bezieht?
Oder gibt es kein Problem? Das währe allerdings auch interessant!

KarlKarl 06.10.2007 00:01
Hi,

dann gebe ich mir mal diese unangenehme Aufgabe.

Code:
O23 - Service: Microsoft NetWork FireWall Services - Unknown owner - NetServices.exe (file missing)
Castlecops -> Sophos: Backdoor. Höchste Zeit für diese Anleitung.

Außerdem ist dein Log überflutet mit Einträgen, die zumindestens einen Teil seiner umfangreichen Infektionsgeschichte nachzeichnen. Jede Infektion fügt einem System weitere Schäden hinzu, das addiert sich, dann ist mal der Punkt erreicht, wo man neu anfangen sollte. Wenn man dann auf etwas mehr Sicherheit achtet (z.B. nicht ein aus der Steinzeit stammendes Java nutzt), hat man beste Aussichten, dass es nicht noch einmal passiert.

Gruß, Karl

Chagall1985 06.10.2007 11:41
Also: Kaspersky ist jetzt installiert!

Er erkennt services.exe sofort als spammail versender!

Wenn Ich den Prozess schliesse oder in Quarantäne verschiebe passiert folgendes!

Das System lässt sich nicht mehr bedienen da: services.exe die CPU zu 75-80% auslastet und CSRSS.EXE die restlichen 20-25% in Anspruch nimmt!

Chagall1985 06.10.2007 15:52
OK KARL KARL! Wie ich am Anfang schon sagte kann ich mein System nicht neuaufsetzen!

Ansonsten danke für die Identifiktion!!

Ich wundere mich schon stark, das sowohl antiv oder spybot als auch Adaware den nicht identifizieren konnten!?

Ich habe immer ein sauberes System bescheinigt bekommen!

Dann werde ich mich mal schlau machen wie ich den entfernen kann!
Zumindest seine hinterlassenschaften!

Java habe ich dank deines Tipps jetzt auch auf Vorderman gebracht!!

Dann schau ich mal wie ich mich über die zeit retten kann bis jemand mir mein System neu aufsetzt!

Thanks

KarlKarl 06.10.2007 21:10
Kein Argument, noch gibt es Windows XP zu kaufen. Falls dir die paar Euros zuviel sind, kannst Du auch ein leistungsfähiges und relativ sicheres Betriebssystem hier ganz legal frei runterladen.

Chagall1985 06.10.2007 21:15
So mit Freund gesprochen!
Symantec Remove Toll für Lovegate im abgesicherten Modus laufen lassen!

Das ist es nicht!!! Wird nichts gefunden!

Noch ne andere Idee?

Antwort auf deinen letzten Post: Ich traue mir das nicht zu!!
Ich muss das machen lassen und das dauert!
Wenn ich ne möglichkeit habe das senden bis dahin zu beenden währe das Genial!

Mal ne ketzerische Frage am Rande:
Wozu gibt es ein Trojaner Board wenn 99% aller Trojaner in euren Augen nur durch sýstemaufsetzung zu besiegen sind!?
Da kann man sich doch die mühe des suchens und identifizierens ersparen!
Fast jeder Tread den ich bislang hier gelesen habe endet immer mit der selben aufforderung!


Alle Zeitangaben in WEZ +1. Es ist jetzt 14:40 Uhr.
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24