Trojaner-Board
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Würmer/Trojaner/Viren??? (https://www.trojaner-board.de/7277-wuermer-trojaner-viren.html)

trancer09 02.09.2004 13:23
Würmer/Trojaner/Viren???
 
Hi,
ich hab da ein kleines Problem mit obengenanntem.
Hab einiges probiert,wie z.B Löschen,und Deinstallation.
Beim Check durch anti-vir kommt jedoch immer wieder Worm Rbot.IQ.03,twaintec.cab,polall1m.exe und alchem.cab in Datei DC31.cab...alchem.ini.Ausserdem versucht Web_Rebates immer wieder auf's Internet zuzugreifen.
Habe es einmal mit Hi-Jack this durchlaufen lassen.
Hier der Logfile.
Wenn mir da jemand weiterhelfen könnte wäre das echt super.
Logfile of HijackThis v1.98.0
Scan saved at 14:05:35, on 02.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\mysql\bin\mysqld-nt.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\PROGRA~1\GEMEIN~1\TerraTec\SCHEDU~1\TTTimer.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\cFos\cFosDNT.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Program Files\Winad Client\Winad.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Netscape\Netscape\Netscp.exe
C:\Programme\Teledat\IWatch.exe
C:\Program Files\Winad Client\WinClt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\rundll32.exe
C:\Dokumente und Einstellungen\Christian\Eigene Dateien\Downloads\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
O2 - BHO: AltaVista Toolbar - {4E7BD74F-2B8D-469E-92EA-EC65A294AE31} - C:\WINDOWS\DOWNLO~1\ALTAVI~1.DLL
O2 - BHO: (no name) - {82315A18-6CFB-44a7-BDFD-90E36537C252} - (no file)
O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} - C:\WINDOWS\2_0_1browserhelper2.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: NLS UrlCatcher Class - {AEECBFDA-12FA-4881-BDCE-8C3E1CE4B344} - C:\WINDOWS\System32\nvms.dll
O2 - BHO: CB UrlCatcher Class - {CE188402-6EE7-4022-8868-AB25173A3E14} - C:\WINDOWS\System32\mscb.dll
O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\System32\msbe.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: AltaVista Toolbar - {4E7BD74F-2B8D-469E-92EA-EC65A294AE31} - C:\WINDOWS\DOWNLO~1\ALTAVI~1.DLL
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [TerraTec Scheduler] C:\PROGRA~1\GEMEIN~1\TerraTec\SCHEDU~1\TTTimer.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] C:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\winampa.exe"
O4 - HKLM\..\Run: [cFosDNT] C:\Programme\cFos\cFosDNT.exe
O4 - HKLM\..\Run: [Realtime Audio Engine] mmrtkrnl.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [josyecaejyhd] C:\WINDOWS\System32\qwekeg.exe
O4 - HKLM\..\Run: [Winad Client] C:\Program Files\Winad Client\Winad.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [YAW starten] "C:\Programme\YAW 3.5\yawguard.exe"
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\Netscape\Netscape\Netscp.exe" -turbo
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\Teledat\IWatch.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: AltaVista Suche - file://C:\Programme\ALTAVISTA Toolbar\Cache\SelectedContextSearch.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Übersetzen - file://C:\Programme\ALTAVISTA Toolbar\Cache\SelectedContextTranslation.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O16 - DPF: {4E7BD74F-2B8D-469E-92EA-EC65A294AE31} (AltaVista Toolbar) - http://toolbar.altavista.com/static/...b?r=1080762700
O17 - HKLM\System\CCS\Services\Tcpip\..\{D191BBAB-0D3E-4092-AE0A-F709C97DE7BD}: NameServer = 192.168.121.252,192.168.121.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{F1424F99-EB2B-4ECE-AA64-2E77B7C4D4E7}: NameServer = 195.71.210.4 193.189.244.205

*Christian* 02.09.2004 18:31
Scanne mal im abgesicherten Modus mit eScan: http://www.trojaner-board.de/showthread.php?t=6083

Danach poste ein neues HijackThis-Log.

trancer09 02.09.2004 20:03
So hab ich gemacht.
Allerdings hat er das nur gescannt(e-scan),habe keine Funktion zum Löschen gefunden.
Oder macht er das von selber?
Danke erstmal.
Logfile of HijackThis v1.98.0
Scan saved at 21:01:18, on 02.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\PROGRA~1\GEMEIN~1\TerraTec\SCHEDU~1\TTTimer.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\cFos\cFosDNT.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Program Files\Winad Client\Winad.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Netscape\Netscape\Netscp.exe
C:\Programme\Teledat\IWatch.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\mysql\bin\mysqld-nt.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Christian\Eigene Dateien\Downloads\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
O2 - BHO: AltaVista Toolbar - {4E7BD74F-2B8D-469E-92EA-EC65A294AE31} - C:\WINDOWS\DOWNLO~1\ALTAVI~1.DLL
O2 - BHO: (no name) - {82315A18-6CFB-44a7-BDFD-90E36537C252} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: NLS UrlCatcher Class - {AEECBFDA-12FA-4881-BDCE-8C3E1CE4B344} - C:\WINDOWS\System32\nvms.dll
O2 - BHO: CB UrlCatcher Class - {CE188402-6EE7-4022-8868-AB25173A3E14} - C:\WINDOWS\System32\mscb.dll
O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\System32\msbe.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: AltaVista Toolbar - {4E7BD74F-2B8D-469E-92EA-EC65A294AE31} - C:\WINDOWS\DOWNLO~1\ALTAVI~1.DLL
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [TerraTec Scheduler] C:\PROGRA~1\GEMEIN~1\TerraTec\SCHEDU~1\TTTimer.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] C:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\winampa.exe"
O4 - HKLM\..\Run: [cFosDNT] C:\Programme\cFos\cFosDNT.exe
O4 - HKLM\..\Run: [Realtime Audio Engine] mmrtkrnl.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [Winad Client] C:\Program Files\Winad Client\Winad.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\Netscape\Netscape\Netscp.exe" -turbo
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\Teledat\IWatch.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: AltaVista Suche - file://C:\Programme\ALTAVISTA Toolbar\Cache\SelectedContextSearch.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Übersetzen - file://C:\Programme\ALTAVISTA Toolbar\Cache\SelectedContextTranslation.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O16 - DPF: {4E7BD74F-2B8D-469E-92EA-EC65A294AE31} (AltaVista Toolbar) - http://toolbar.altavista.com/static/...b?r=1080762700
O17 - HKLM\System\CCS\Services\Tcpip\..\{D191BBAB-0D3E-4092-AE0A-F709C97DE7BD}: NameServer = 192.168.121.252,192.168.121.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{F1424F99-EB2B-4ECE-AA64-2E77B7C4D4E7}: NameServer = 195.71.210.4 193.189.244.205

*Christian* 02.09.2004 20:21
Ja, das mach eScan automatisch.

Fixe dies:
O2 - BHO: (no name) - {82315A18-6CFB-44a7-BDFD-90E36537C252} - (no file)
O2 - BHO: NLS UrlCatcher Class - {AEECBFDA-12FA-4881-BDCE-8C3E1CE4B344} - C:\WINDOWS\System32\nvms.dll
O2 - BHO: CB UrlCatcher Class - {CE188402-6EE7-4022-8868-AB25173A3E14} - C:\WINDOWS\System32\mscb.dll
O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\System32\msbe.dll
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)


Lösche diese Dateien:
C:\WINDOWS\System32\nvms.dll
C:\WINDOWS\System32\mscb.dll
C:\WINDOWS\System32\msbe.dll


Hast du die altavista-toolbar bewusst installiert?


Dies kenne ich nicht:
C:\Program Files\Winad Client\Winad.exe

Cidre 02.09.2004 20:55
@ trancer09

Hallo,

poste doch bitte mal den Inhalt der mwXface.log.

@ *Christian*

Zitat:
Dies kenne ich nicht:
C:\Program Files\Winad Client\Winad.exe
Das ist Adware WinAD:
http://www.2-spyware.com/file-winad-exe.html

trancer09 02.09.2004 21:54
So,ich hab die Sachen gefixt.
Die Dateien
C:\WINDOWS\System32\nvms.dll
C:\WINDOWS\System32\mscb.dll
C:\WINDOWS\System32\msbe.dll
die ich löschen sollte waren nicht da.

Bin auf Lokaler Datenträger (C:)gegangen,dann auf Windows,dann auf system 32 und hab dort geschaut,waren aber nicht mehr da.
Hab dann anti-vir xp scannen lassen,hat noch einen Trojaner gefunden,der nach Neustart von Windows gelöscht werden konnte,war gelockt.
Winadclient wollte ich aus der Softwareliste entfernen,bekam dort Meldung,das die Software nicht mehr vorhanden wäre.
Hab dann nochmal Hi-Jack this laufen lassen und siehe da,es war doch noch da.
Hab es dann auch noch gefixt.Hoffe mal das war richtig?!?
Okay,dann erstmal super-herzlichen Dank! :daumenhoc
@Cidre:Meintest Du den Logbericht des e-scans im abgesicherten Modus.
Kann ich gerne noch machen,wer weiss,ob Du noch was findest.
Ich kann damit leider nicht so viel anfangen.
Ähm,noch eine kleine Frage:Wie kann ich mich am besten vor solchen Attacken schützen.
Hab zone-alarm,anti-vir xp und ad-aware.
Ist das normal,das man sowas ab und zu erlebt oder gibt's eventuell 'ne Lösung(Internetoptionen/Sicherheit?)?

Cidre 02.09.2004 22:09
Zitat:
Meintest Du den Logbericht des e-scans im abgesicherten Modus.
Kann ich gerne noch machen,wer weiss,ob Du noch was findest.
Ja, den meinte ich.
Mich würde interessieren, was der eScan gefunden hat.

Zitat:
Ist das normal,das man sowas ab und zu erlebt oder gibt's eventuell 'ne Lösung(Internetoptionen/Sicherheit?)?
Ja, es gibt eine Lösung. Viel lesen, verstehen und anwenden.;)
Diese Links solltest lesen:
http://www.mathematik.uni-marburg.de...ompromise.html
http://faq.underflow.de/#SECTION000110000000000000000

trancer09 03.09.2004 00:30
Hab's probiert die Log-Datei einzufügen,ist aber anscheinend irgendwie zu viel.
Schmiert jedesmal ab!Füge erstmal nur den unteren Teil ein,ok?
Kannst mir vielleicht schreiben,was Du davon genau bräuchtest?
Auf jeden Fall schon mal "Danke" für die Links(werd ich mir auf jeden Fall durchlesen,scheint ja doch interessant zu sein) und natürlich auch für's Durchschauen der Logs.
@Christian Thanx für die gute Hilfe,hat ja echt gut geklappt.
Geht's einem doch gleich wieder besser!
Hab mir erstmal sofort eine Regsicherung gemacht!
Gruss
Christian

Thu Sep 02 20:34:22 2004 => ***** Checking for specific ITW Viruses *****
Thu Sep 02 20:34:22 2004 => Checking for Welchia Virus...
Thu Sep 02 20:34:22 2004 => Checking for LovGate Virus...
Thu Sep 02 20:34:22 2004 => Checking for CodeRed Virus...
Thu Sep 02 20:34:22 2004 => Checking for OpaServ Virus...
Thu Sep 02 20:34:22 2004 => Checking for Sobig.e Virus...
Thu Sep 02 20:34:22 2004 => Checking for Winupie Virus...
Thu Sep 02 20:34:22 2004 => Checking for Swen Virus...
Thu Sep 02 20:34:22 2004 => Checking for JS.Fortnight Virus...
Thu Sep 02 20:34:23 2004 => Checking for Novarg Virus...
Thu Sep 02 20:34:23 2004 => Checking for Pagabot Virus...
Thu Sep 02 20:34:23 2004 => Checking for Parite.b Virus...
Thu Sep 02 20:34:23 2004 => Checking for Parite.a Virus...

Thu Sep 02 20:34:23 2004 => ***** Scanning complete. *****

Thu Sep 02 20:34:23 2004 => Total Number of Files Scanned: 78108
Thu Sep 02 20:34:23 2004 => Total Number of Virus(es) Found: 64
Thu Sep 02 20:34:23 2004 => Total Number of Disinfected Files: 0
Thu Sep 02 20:34:23 2004 => Total Number of Files Renamed: 44
Thu Sep 02 20:34:23 2004 => Total Number of Deleted Files: 9
Thu Sep 02 20:34:23 2004 => Total Number of Errors: 4
Thu Sep 02 20:34:23 2004 => Time Elapsed: 01:26:13
Thu Sep 02 20:34:23 2004 => Virus Database Date: 2004/08/19
Thu Sep 02 20:34:23 2004 => Virus Database Count: 101270

Thu Sep 02 20:34:23 2004 => Scan Completed.

Shadowdance 03.09.2004 00:53
@ trancer09


Zitat:
Total Number of Virus(es) Found: 64
Total Number of Files Renamed: 44
Total Number of Deleted Files: 9
Ich zitiere MountainKing, denn die sicherste Lösung wäre formatieren und neuaufsetzen:

http://www.trojaner-board.de/showpos...5&postcount=18

Zitat:
Zitat von MountainKing
Dein System ist kompromittiert. Die Ideallösung daher:

1.) Neu formatieren und installieren
2.) Ein eingeschränktes Benutzerkonto anlegen, mit dem gesurft wird, NICHT mit dem Administratorkonto ins Netz gehen
3). VOR der ersten Onlineverbindung die XP-Firewall für die Verbindung aktivieren
4.) Ebenfalls VOR dem Onlinegehen unnötige Dienste deaktivieren siehe www.dingens.org
5.) Danach zuerst www.windowsupdate.com besuchen und alle Updates installieren
6.) den IE nur noch für diese Updates verwenden, ansonsten auf einen alternativen Browser wie Opera oder firefox umsteigen
7.) Browser und emailprogramm (auch hier gibt es Alternativen zu Outlook wie Thunderbird, foxmail) sicher konfigurieren, keine aktiven Inhalte automatisch ausführen lassen (Active-Scripting, Active-X)
8.) Vorsichtig bleiben, nur wirklich als sicher bekannte mailanhänge öffnen, nur aus sicheren Quellen Programme herunterladen und vorher überprüfen, ob sie Spyware oder Adware enthalten können
9) ein Antivirenprogramm schadet auch nichts (Antivir ist kostenlos und halbwegs brauchbar), sollte aber nicht dazu verführen, sich grenzenlos darauf zu verlassen
10) Nicht gleich alle Programme, die früher installiert waren, sofort erneut aufs System lassen, sondern zuerst informieren, ob sie Spy/Adware enthalten.
Wenn Du dies (noch) nicht willst, poste bitte ein weiteres Logfile mit Hijack This.

SD

[edit] :dummguck: @ MountainKing ... wenn ich geahnt hätte, dass Du hier bist, hätte ich Dich das selbst schreiben lassen ... ;) [/edit]

MountainKing 03.09.2004 00:56
Wichtig wäre auch, WELCHE Viren/Trojaner gefunden wurden, also die Namen der Schädlinge (nicht die der befallenen Dateien), da müsstest du im Log evtl. bißchen suchen.

Aber rechne einfach schon mal kurz nach: 64 Viren gefunden, davon 44 umbenannt und 9 gelöscht...


Edit: SD war schneller und hat mir im wahrsten Sinne die Worte aus dem Mund genommen. :)

trancer09 03.09.2004 00:58
Will ich eigentlich nicht neu aufsetzen.
Hier neues Logfile,diesmal aber mit neuem Hi-Jack oder besser das alte verwenden,wie beim letzten Mal?

Logfile of HijackThis v1.98.2
Scan saved at 01:56:26, on 03.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\PROGRA~1\GEMEIN~1\TerraTec\SCHEDU~1\TTTimer.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\cFos\cFosDNT.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Netscape\Netscape\Netscp.exe
C:\Programme\Teledat\IWatch.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\mysql\bin\mysqld-nt.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Christian\Eigene Dateien\Sicherheit und System\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
O2 - BHO: AltaVista Toolbar - {4E7BD74F-2B8D-469E-92EA-EC65A294AE31} - C:\WINDOWS\DOWNLO~1\ALTAVI~1.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: AltaVista Toolbar - {4E7BD74F-2B8D-469E-92EA-EC65A294AE31} - C:\WINDOWS\DOWNLO~1\ALTAVI~1.DLL
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [TerraTec Scheduler] C:\PROGRA~1\GEMEIN~1\TerraTec\SCHEDU~1\TTTimer.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] C:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\winampa.exe"
O4 - HKLM\..\Run: [cFosDNT] C:\Programme\cFos\cFosDNT.exe
O4 - HKLM\..\Run: [Realtime Audio Engine] mmrtkrnl.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\Netscape\Netscape\Netscp.exe" -turbo
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\Teledat\IWatch.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: AltaVista Suche - file://C:\Programme\ALTAVISTA Toolbar\Cache\SelectedContextSearch.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Übersetzen - file://C:\Programme\ALTAVISTA Toolbar\Cache\SelectedContextTranslation.htm
O16 - DPF: {4E7BD74F-2B8D-469E-92EA-EC65A294AE31} (AltaVista Toolbar) - http://toolbar.altavista.com/static/...b?r=1080762700
O17 - HKLM\System\CCS\Services\Tcpip\..\{D191BBAB-0D3E-4092-AE0A-F709C97DE7BD}: NameServer = 192.168.121.252,192.168.121.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{F1424F99-EB2B-4ECE-AA64-2E77B7C4D4E7}: NameServer = 195.71.210.4 193.189.244.205


Danke für's schauen!

Cidre 03.09.2004 01:07
@ trancer09
Zitat:
poste doch bitte mal den Inhalt der mwXface.log.
Du brauchst eigentlich nur dieses Log posten, das langt vollkommen.

EDIT:
Da ist schon wieder was in der Zwischenzeit bei dir aktiv gewesen!
O4 - HKLM\..\Run: [Realtime Audio Engine] mmrtkrnl.exe

Zu deiner eigenen Sicherheit solltest du dein System neuaufsetzen und jede einzelnen Punkt von MountainKing abarbeiten.

Es ist wirklich nicht viel dabei, um sein Win XP neuaufspielen zu können, siehe hier:
Eine bebilderte Info zur Installation von Win XP:
http://8ung.at/chemikers-home/SETUP.html
und
http://chip-faq.rufisplanet.ch/installation.html

trancer09 03.09.2004 01:12
Wie gesagt,ich habs probiert,aber irgendwie scheint die Liste zu lang zu sein!
Ichhab es aus dem Editor kopiert und wollte es einfügen und schon reagiert das Programm nicht mehr.
Tip,wie ich es sonst ins Board bekomme?

MountainKing 03.09.2004 01:13
Das neue HJT ist schon besser. Brauchst du diese Altavista-Toolbar bzw. hast sie selbst installiert?

Das dürfte Malware sein, schicke die Datei bitte mit einem Link zu diesem Thread an http://www.trojaner-board.de/51130-a...ijackthis.html

O4 - HKLM\..\Run: [Realtime Audio Engine] mmrtkrnl.exe

Sollte gefixed werden. Dass du nicht neu installieren möchtest, verstehe ich ja, aber wenn du die angesprochenen Links liest und dir die Tatsache vor Augen führst, dass bei dir noch mindestens 11 Viren irgendwo herumschwirren, solltest du darüber noch mal ernsthaft nachdenken.

Wir brauchen eigentlich keine komplette Liste aller infizierten Dateien, sondern nur die Namen der Viren, da werden sich einige sicher wiederholen.

Cidre 03.09.2004 01:17
Zitat:
Tip,wie ich es sonst ins Board bekomme?
Bei der Antwort-Funktion => Datei anhängen und hochladen.


Alle Zeitangaben in WEZ +1. Es ist jetzt 04:53 Uhr.
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131