Trojaner-Board - Hijeck ansehen

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Hijeck ansehen (https://www.trojaner-board.de/6629-hijeck-ansehen.html)

Bitte einmal ansehen, bei mir geht nichts mehr. Danke.

Log einfach hier reinstellen (ich tu es mal)

Zitat:

Logfile of HijackThis v1.98.0
Scan saved at 10:09:27, on 03.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\TSI32\tsircusr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\OmniPageSE2.0\OpwareSE2.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Softwin\Live\avxlive.exe
C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\Programme\FRITZ!\IWatch.exe
C:\Programme\BitDefender 6.5\lmgui.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\Programme\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\TSIRCSRV.EXE
C:\WINDOWS\system32\xcommsvr.exe
C:\Programme\Microsoft SQL Server\MSSQL\Binn\sqlagent.EXE
E:\Virus Removl Tools\Hijack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.t-online.de/service/redir/tosw5_webtour.htm
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\TSI32\tsircusr.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Acrobat Reader 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [OpwareSE2] "C:\Programme\OmniPageSE2.0\OpwareSE2.exe"
O4 - HKLM\..\Run: [ISDN SpeedManager] "C:\PROGRA~1\T-Online\ISDNSP~1\Tomcat.exe"
O4 - HKLM\..\Run: [OPSE reminder] "C:\Programme\OmniPageSE2.0\EregGer\Ereg.exe" -r "C:\Programme\OmniPageSE2.0\EregGer\ereg.ini"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: BitDefender Live!.lnk = ?
O4 - Global Startup: Dienst-Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Murphy Shield.lnk = ?
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{980D9EC3-A9C0-4AAF-8A0F-19A84EBA0168}: NameServer = 192.168.120.252,192.168.120.253
O20 - AppInit_DLLs: scorillont.dll

Was heist bei dir geht nichts mehr?

Zitat:

Zitat von Shadow

Log einfach hier reinstellen (ich tu es mal)

Was heist bei dir geht nichts mehr?

Hatte einen Backdoor SDBot.Gen bei mir drauf, wurde auch erkannt und gelöscht, aber das System läuft jetzt super langsam. Woran könnte es liegen?

Benutzt du Laplink?

Wenn nicht dann schau dir dies mal näher an:
C:\WINDOWS\System32\TSIRCSRV.EXE und F2

Zitat:

Zitat von Shadow

Benutzt du Laplink?

Wenn nicht dann schau dir dies mal näher an:
C:\WINDOWS\System32\TSIRCSRV.EXE und F2

Was ist Laplink?
Du meinst ob diese Datei bei mir im verzeichniss steht?

Laplink ist ein "legales" Fernwartungsprogramm, wenn Du es nicht kennst, es dein PC ist und du es nicht nutzt, bitte unbedingt die erwähnten Dateien näher ansehen (suchen Mausklick 'rechts' drauf => Eigenschaften)

Laut Web könnte TSIRCSRV von Laplink kommen

Zitat:

Zitat von Shadow

OK werde ich mal machen, kann aber erst Morgen schauen. Und sonst in dem Log alles ok?

Ansonsten schauts gut aus ..... ;)

Bitte mit dem System nicht mehr online gehen, solange die genaueren Umstände nicht geklärt sind. Da du offensichtlich kein Wissen um Das Fernwartungstool hast, ist es wahrscheinlich, dass dieses über den aktiven Backdoor installiert wurde. Beende den laufenden Fernwartungsprozess (Strg Alt Entf, Prozess markieren, beenden). Sichere die Datei dann in einem Quarantäneordner.

Zitat:

Zitat von mmk

Das ist schon klar, bin mit dem PC schon seit ein paar Tagen nicht mehr online.
Und wie sieht es nun mit dem rest der Log aus? Ist sonst alles ok?

Ich hatte gegoogleg nach TSIRCSRV und die einzige verwertbare Info war einmal dass es zu Laplink gehören würde. Alle anderen von mir angesehenen Fundstellen von TSIRCSRV hatten daran garnichts auszusetzen.
(und ich habe keine Lust Laplink nochmal zu installieren um zu schauen ob die Datei überhaupt davon kommen kann).
1.) Suche die Datei und schau sie an (rechte Maustaste)
2.) Suche die Datei und sende sie zu Kaspersky: http://www.kaspersky.com/de/remoteviruschk.html

allerdings wenn(!) sie von Laplink ist, wird Kaspersky daran auch nichts auszusetzen haben! aber dann sollte dir 1.) schon Laplink als Ergebnis gebracht haben!