Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Bitte mal checken (https://www.trojaner-board.de/58832-bitte-mal-checken.html)

Riu 30.08.2008 15:53
Bitte mal checken
 
Hallo,
also ich hab mir irgendetwas eingefangen und weiß nun nicht mehr weiter. Bei mir geht der Taskmanager nicht mehr, regedit kann ich auch nicht mehr starten. Habe Datenträger C und D. Win 2000 habe ich auf C und hab auch schon mehrmals C formatiert, nur nach einer Weile kommen die Probleme wieder. Manchmal kommt auch eine Fehrlermeldung als Desktop Hintergrund, in der behauptet wird, dass ich einen Virus habe und ich meinen Virus programm starten solle. Und diesen Hintergrund kann ich noch nichtmal weg machen.
Vielleicht hat ja jemand tipps dazu. Danke




Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:29:36, on 30.08.2008
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\savedump.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\G DATA InternetSecurity\AVK\AVKService.exe
C:\Programme\G DATA InternetSecurity\AVK\AVKWCtl.exe
C:\WINNT\System32\svchost.exe
C:\Programme\AMD\Cool'n'Quiet\GemServ.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
C:\Programme\G DATA InternetSecurity\Firewall\GDFwSvc.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\Programme\G DATA InternetSecurity\Firewall\GDFirewallTray.exe
C:\Programme\G DATA InternetSecurity\AVKTray\AVKTray.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINNT\system32\internat.exe
C:\Programme\VIA\RAID\raid_tool.exe
C:\Programme\Alice\Signup\AliceCnn.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://alice.aol.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://alice.aol.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://alice.aol.de
O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA InternetSecurity\Webfilter\AVKWebIE.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: G DATA WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA InternetSecurity\Webfilter\AVKWebIE.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [GDFirewallTray] C:\Programme\G DATA InternetSecurity\Firewall\GDFirewallTray.exe
O4 - HKLM\..\Run: [AVKTray] "C:\Programme\G DATA InternetSecurity\AVKTray\AVKTray.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O4 - Global Startup: G DATA Firewall Tray.lnk = C:\Programme\G DATA InternetSecurity\Firewall\GDFirewallTray.exe
O4 - Global Startup: VIA RAID TOOL.lnk = C:\Programme\VIA\RAID\raid_tool.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{B2E23AB3-7F43-43CB-BC53-743A86BD29B0}: NameServer = 213.191.74.11 213.191.92.82
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
O23 - Service: G DATA AntiVirus Proxy (AVKProxy) - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: G DATA Scheduler (AVKService) - G DATA Software AG - C:\Programme\G DATA InternetSecurity\AVK\AVKService.exe
O23 - Service: AntiVirus Wächter (AVKWCtl) - G DATA Software AG - C:\Programme\G DATA InternetSecurity\AVK\AVKWCtl.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: G DATA Personal Firewall (GDFwSvc) - G DATA Software AG - C:\Programme\G DATA InternetSecurity\Firewall\GDFwSvc.exe
O23 - Service: AMD PowerNow! (tm) Technology Service (GemServ) - Advanced Micro Devices - C:\Programme\AMD\Cool'n'Quiet\GemServ.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe

--
End of file - 4511 bytes

Humpestos 30.08.2008 16:14
Sers,

Zitat:
O17 - HKLM\System\CCS\Services\Tcpip\..\{B2E23AB3-7F43-43CB-BC53-743A86BD29B0}: NameServer = 213.191.74.11 213.191.92.82
Das ist nicht gut. Du wirst ausspioniert. Ändere deine Passwörterund
hol dir am Besten SpyBot. Ich habe das im abgesicherten Modus bei crypt.Xpack und Virtumonde und PrivacyRemover.m64 laufen lassen. Auch zur Sicherheit MalwareBytes und CCleaner falls etwas in der Temp gefunden wurde.
SpyBot erkennt nämlich Vundo und hat viele Definitionen dafür.
Lösch nach allen Schritten alle Systemwiederherstellungspunkte unter Datenträger bereinigen auf dem Hauptfach. Davor erstellst du aber einen neuen unter Start->Programme->Zubehör

DIe Links zu den Programmen:


SpyBot: http://filepony.de/download-spybot_search_destroy/
Malwarebytes: http://www.malwarebytes.org/
CCleaner: http://filepony.de/download-ccleaner/


Gruß
Humpestos

myrtille 30.08.2008 16:43
Mit Verlaub,

Zitat:
Sers,
Zitat:
O17 - HKLM\System\CCS\Services\Tcpip\..\{B2E23AB3-7F43-43CB-BC53-743A86BD29B0}: NameServer = 213.191.74.11 213.191.92.82
Das ist nicht gut. Du wirst ausspioniert. Ändere deine Passwörterund
Alice wird es nicht gerne sehen, wenn du behauptest, sie würde ihre Kunden ausspionieren!
Der Eintrag ist vollkommen legitim und sollte NICHT gefixt werden.


Mache bitte einen Scan mit Malwarebytes und poste das Ergebnis dann hier.
Alles andere ist vorerst nicht nötig.

lg myrtille

Humpestos 30.08.2008 18:54
Was heißt hier Alice. Der o.g. Server ist mit dem Computer verbunden und greift auf Daten zu. Nur weil ich jetzt T-Online habe, steht eine IP-Nummer im Log drin. Auch bei Downloads kommt so etwas nicht vor.
Bei anderen Logs, die dasselbe zeigten, wurde dazu geraten, schnell die Verbindung zu trennen...


Gruß

nochdigger 30.08.2008 22:22
Moin

Zitat:
Was heißt hier Alice
Ist sein I-Netanbieter

Zitat:
Der o.g. Server ist mit dem Computer verbunden und greift auf Daten zu. Nur weil ich jetzt T-Online habe, steht eine IP-Nummer im Log drin. Auch bei Downloads kommt so etwas nicht vor.
:balla:Waaaas meinst du?

Zitat:
Bei anderen Logs, die dasselbe zeigten, wurde dazu geraten, schnell die Verbindung zu trennen...
Die Verbindung zu Hansenet?
Macht jetzt keinen wirklichen Sinn

NUR FÜR DICH die WhoIs Abfrage
Zitat:
Whois Info

[Querying whois.ripe.net]
[whois.ripe.net]
% This is the RIPE Whois query server #3.
% The objects are in RPSL format.
%
% Rights restricted by copyright.
% See http://www.ripe.net/db/copyright.html

% Note: This output has been filtered.
% To receive output for a database update, use the "-B" flag.

% Information related to '213.191.71.128 - 213.191.76.255'

inetnum: 213.191.71.128 - 213.191.76.255
netname: HANSENET
descr: HanseNet Telekommunikation GmbH
country: DE
admin-c: DM3738-RIPE
tech-c: HANO-RIPE
status: ASSIGNED PA
mnt-by: HANSENET-MNT
source: RIPE # Filtered

role: HanseNet Network Operators
address: HanseNet Telekommunikation GmbH
address: Ueberseering 33a
address: D-22297 Hamburg
abuse-mailbox: abuse@hansenet.com
admin-c: DM3738-RIPE
tech-c: TG819-RIPE # Thomas Graumann
tech-c: EULE-RIPE # Marco Eulenfeld
tech-c: SA1375-RIPE # Svend Andersen
tech-c: ASZ-RIPE # Andreas Schwarz
nic-hdl: HANO-RIPE
mnt-by: HANSENET-NOC
source: RIPE # Filtered

person: Danny Maack
address: HanseNet Telekommunikation GmbH
address: Ueberseering 33 A
address: D-22297 Hamburg
address: GERMANY
phone: +49 40 237 26 0
fax-no: +49 40 237 26 3996
nic-hdl: DM3738-RIPE
mnt-by: HANSENET-MNT
source: RIPE # Filtered
alle Klarheiten beseitigt?

@Riu mach bitte weiter wie myrtille beschrieben hat.

MFG

myrtille 30.08.2008 23:53
Hi,

@Humpestos

welche Logs hast du dir angeguckt?
Wenn ich mal nach der IP suche, finde ich nur Treffer, wo die Einträge nicht angemeckert wurde:

Etwa hier und hier und hier und hier und hier und und und... Alle Themen findest du hier: google ist dein Freund

Nicht jede IP ist automatisch böse.
Ich lege dir die Hijackthis Anleitung ans Herz, insbesondere die Erklärungen zu den einzelnen Einträgen:

Und da steht für O17:
Zitat:
Wenn die hier angegebene Domäne nicht zum ISP, bzw. des Firmen-Netzwerks ist, sollte dieser Eintrag mit HijackThis gefixt werden. Das Gleiche gilt für die 'SearchList'-Einträge (Suchlisten-Einträge).
Für vorhandene 'NameServer' (DNS Server) Einträge, hilft im Zweifel eine Suche mit Google nach den IP-Adressen bei der Entscheidung, ob diese Einträge 'gut' oder 'schlecht' sind.
ISP=Internet Service Provider=Dienstleister, der Internet zur Verfügung stellt, wie zb Alice.


lg myrtille

Riu 31.08.2008 03:39
so hier ist der mbam log:

Malwarebytes' Anti-Malware 1.25
Datenbank Version: 1062
Windows 5.0.2195 Service Pack 4

04:28:36 31.08.2008
mbam-log-08-31-2008 (04-28-36).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 45818
Laufzeit: 29 minute(s), 54 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

in den abgesichtern Modus kann ich übrigens auch nicht mehr, da kommt ein blauer Bildschirm mit Fehlermeldung

myrtille 31.08.2008 10:55
Hi,

lade dir bitte auch mal Smitfraudfix herunter und arbeite den Schritt Reinigung ab (im normalen Modus).

Ich bräuchte außerdem die genaue Fehlermeldung des Bluescreens. (Wenn die Meldung nicht lang genug angezeigt wird, dann nimm bitte den Haken bei Start->Systemsteuerung->System->Erweitert->Start und Wiederherstellen->bei Systemfehler den Haken vor "Automatisch Neustart durchführen" rausnehmen )

lg myrtille


Alle Zeitangaben in WEZ +1. Es ist jetzt 23:36 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131