Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Sehr komisch (https://www.trojaner-board.de/19031-sehr-komisch.html)

Ranger 17.06.2005 13:24
Sehr komisch
 
Hallo Leute,

gerde eben hat sich mein Maus sehr verdächtig bewegt.
Ich wollte nach oben sie nach unten.
Ich habe kurz nicht gemacht und abgewartet nach ca.5 sekunden war der Spuk wieder vorbei.
trotzdem bin ich etwas verunsichert.
Hier meine HJT:

Logfile of HijackThis v1.99.1
Scan saved at 14:16:56, on 17.06.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
H:\WINDOWS\System32\smss.exe
H:\WINDOWS\system32\winlogon.exe
H:\WINDOWS\system32\services.exe
H:\WINDOWS\system32\lsass.exe
H:\WINDOWS\System32\Ati2evxx.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\system32\spoolsv.exe
H:\Programme\AVPersonal\AVWUPSRV.EXE
H:\WINDOWS\system32\slserv.exe
H:\WINDOWS\System32\Fast.exe
H:\WINDOWS\system32\Ati2evxx.exe
H:\WINDOWS\Explorer.EXE
H:\WINDOWS\System32\taskswitch.exe
H:\WINDOWS\System32\fast.exe
H:\Programme\MSN Apps\Updater\01.02.3000.1001\de\msnappau.exe
H:\Programme\Java\jre1.5.0_02\bin\jusched.exe
H:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
H:\Programme\QuickTime\qttask.exe
H:\Programme\Winamp\winampa.exe
H:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\D-Tools\daemon.exe
H:\WINDOWS\system32\ctfmon.exe
H:\Programme\MSN Messenger\MsnMsgr.Exe
H:\Programme\Steganos Security Suite 5\steganos5.exe
H:\Programme\Steganos Security Suite 5\safe.exe
H:\Programme\Steganos Security Suite 5\spm.exe
C:\programme\valve\steam\steam.exe
H:\Programme\FBM Software\ZeroSpyware Lite\ZeroSpyware Lite.exe
H:\Programme\FBM Software\ZeroSpyware Lite\NetGuard Lite.exe
H:\Programme\Skype\Phone\Skype.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Miranda IM\miranda32.exe
H:\Programme\AVPersonal\AVGUARD.EXE
H:\Programme\AVPersonal\AVWIN.EXE
C:\PROGRA~1\WINZIP\winzip32.exe
H:\Programme\Spybot - Search & Destroy\SpybotSD.exe
H:\Dokumente und Einstellungen\U.S.Army\Lokale Einstellungen\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.de/0SEDEDE/SAOS01
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - H:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - H:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - H:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - H:\Programme\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - H:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - H:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de\msntb.dll
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - H:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll (file missing)
O4 - HKLM\..\Run: [BackgroundSwitcher] H:\WINDOWS\System32\bgswitch.exe
O4 - HKLM\..\Run: [CoolSwitch] H:\WINDOWS\System32\taskswitch.exe
O4 - HKLM\..\Run: [FastUser] H:\WINDOWS\System32\fast.exe
O4 - HKLM\..\Run: [msnappau] "H:\Programme\MSN Apps\Updater\01.02.3000.1001\de\msnappau.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] H:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "H:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Overnet] H:\Programme\Overnet\eDonkey2000.exe -t
O4 - HKLM\..\Run: [NeroFilterCheck] H:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SiSUSBRG] H:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [QuickTime Task] "H:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Filetopia] C:\FILETO~1\FILETO~1.EXE /TRAY
O4 - HKLM\..\Run: [WinampAgent] H:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [AVGCtrl] "H:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "H:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SSS5] "H:\Programme\Steganos Security Suite 5\steganos5.exe" /booting
O4 - HKCU\..\Run: [SSS5SAFE] "H:\Programme\Steganos Security Suite 5\safe.exe" /booting
O4 - HKCU\..\Run: [SSS5SPM] "H:\Programme\Steganos Security Suite 5\spm.exe" /booting
O4 - HKCU\..\Run: [SIAPRO6_ITD] "H:\Programme\Steganos Internet Anonym Pro 6\itd.exe" /booting
O4 - HKCU\..\Run: [Yahoo! Pager] H:\Programme\Yahoo!\Messenger\ypager.exe -quiet
O4 - HKCU\..\Run: [STYLEXP] H:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [Steam] "c:\programme\valve\steam\steam.exe" -silent
O4 - HKCU\..\Run: [ZeroSpyware Lite] "H:\Programme\FBM Software\ZeroSpyware Lite\ZeroSpyware Lite.exe" -STARTUP
O4 - HKCU\..\Run: [NetGuard Lite] "H:\Programme\FBM Software\ZeroSpyware Lite\NetGuard Lite.exe" -STARTUP
O4 - HKCU\..\Run: [Skype] "H:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [FolderShare] "C:\Programme\FolderShare\FolderShare.exe" /background
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = H:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - H:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - H:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: h**p://ny.contentmatch.net (HKLM)
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.cohier gehts nicht weiter
O16 - DPF: {14F65762-96FB-44B9-8DAC-93845F377A0E} (FileSharingCtrl Class) - h++p://appdirectory.messenger.msn.com/hier gehts nicht weiter
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/enhier gehts nicht weiter
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/hier gehts nicht weiter
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - H:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - H:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - H:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Steganos Live Encryption Engine (Version 401) [Service] (SLEE_401_SERVICE) - Unknown owner - H:\WINDOWS\System32\SLEE401.exe (file missing)
O23 - Service: SmartLinkService (SLService) - - H:\WINDOWS\SYSTEM32\slserv.exe

Übrigens hat mein Anti Vir gerade JAVA/OpenStream.W erkannt ich habe die dat sofort gelöscht bin ich jetzt wieder sicher?


Grüße

Ranger
_____________
Anm.
Aktive Links editiert!
Beachte zukünftig die Hinweise dieser Anleitung: HiJackThis.


LG Cidre
S-Mod TB

chaosman 17.06.2005 19:12
@Ranger
wechsle in den bgesicherten modus und fixe mit HJT
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - H:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_ 5_7_0.dll (file missing)
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - H:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_ 5_7_0.dll (file missing)
O15 - Trusted Zone: h**p://ny.contentmatch.net (HKLM)
O23 - Service: Steganos Live Encryption Engine (Version 401) [Service] (SLEE_401_SERVICE) - Unknown owner - H:\WINDOWS\System32\SLEE401.exe (file missing)

neu booten, neues HJT logfile posten

von den gebrauch diese 2 malwareschleuder
O4 - HKLM\..\Run: [Filetopia] C:\FILETO~1\FILETO~1.EXE /TRAY
O4 - HKLM\..\Run: [Overnet] H:\Programme\Overnet\eDonkey2000.exe -t
würde ich abraten.

chaosman

Ranger 19.06.2005 11:54
Hier meine neue HJT- File.
HAbe die eiträge gelöscht.Logfile of HijackThis v1.99.1
Scan saved at 12:46:36, on 19.06.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
H:\WINDOWS\System32\smss.exe
H:\WINDOWS\system32\winlogon.exe
H:\WINDOWS\system32\services.exe
H:\WINDOWS\system32\lsass.exe
H:\WINDOWS\System32\Ati2evxx.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\system32\spoolsv.exe
H:\Programme\AVPersonal\AVGUARD.EXE
H:\Programme\AVPersonal\AVWUPSRV.EXE
H:\WINDOWS\system32\slserv.exe
H:\WINDOWS\System32\Fast.exe
H:\WINDOWS\system32\Ati2evxx.exe
H:\WINDOWS\Explorer.EXE
H:\WINDOWS\System32\taskswitch.exe
H:\WINDOWS\System32\fast.exe
H:\Programme\MSN Apps\Updater\01.02.3000.1001\de\msnappau.exe
H:\Programme\Java\jre1.5.0_02\bin\jusched.exe
H:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
H:\Programme\QuickTime\qttask.exe
H:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\D-Tools\daemon.exe
H:\Programme\Winamp\winampa.exe
H:\WINDOWS\system32\ctfmon.exe
H:\Programme\MSN Messenger\MsnMsgr.Exe
H:\Programme\Steganos Security Suite 5\steganos5.exe
H:\Programme\Steganos Security Suite 5\safe.exe
H:\Programme\Steganos Security Suite 5\spm.exe
C:\programme\valve\steam\steam.exe
H:\Programme\FBM Software\ZeroSpyware Lite\ZeroSpyware Lite.exe
H:\Programme\FBM Software\ZeroSpyware Lite\NetGuard Lite.exe
H:\Programme\Skype\Phone\Skype.exe
H:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\WinZip\WZQKPICK.EXE
H:\WINDOWS\system32\wuauclt.exe
C:\PROGRA~1\WINZIP\winzip32.exe
H:\Dokumente und Einstellungen\U.S.Army\Lokale Einstellungen\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h++p://g.msn.de/editiert/SAOS01
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - H:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - H:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - H:\Programme\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - H:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - H:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de\msntb.dll
O4 - HKLM\..\Run: [BackgroundSwitcher] H:\WINDOWS\System32\bgswitch.exe
O4 - HKLM\..\Run: [CoolSwitch] H:\WINDOWS\System32\taskswitch.exe
O4 - HKLM\..\Run: [FastUser] H:\WINDOWS\System32\fast.exe
O4 - HKLM\..\Run: [msnappau] "H:\Programme\MSN Apps\Updater\01.02.3000.1001\de\msnappau.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] H:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "H:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Overnet] H:\Programme\Overnet\eDonkey2000.exe -t
O4 - HKLM\..\Run: [NeroFilterCheck] H:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SiSUSBRG] H:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [QuickTime Task] "H:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Filetopia] C:\FILETO~1\FILETO~1.EXE /TRAY
O4 - HKLM\..\Run: [AVGCtrl] "H:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [WinampAgent] H:\Programme\Winamp\winampa.exe
O4 - HKCU\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "H:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SSS5] "H:\Programme\Steganos Security Suite 5\steganos5.exe" /booting
O4 - HKCU\..\Run: [SSS5SAFE] "H:\Programme\Steganos Security Suite 5\safe.exe" /booting
O4 - HKCU\..\Run: [SSS5SPM] "H:\Programme\Steganos Security Suite 5\spm.exe" /booting
O4 - HKCU\..\Run: [SIAPRO6_ITD] "H:\Programme\Steganos Internet Anonym Pro 6\itd.exe" /booting
O4 - HKCU\..\Run: [Yahoo! Pager] H:\Programme\Yahoo!\Messenger\ypager.exe -quiet
O4 - HKCU\..\Run: [STYLEXP] H:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [Steam] "c:\programme\valve\steam\steam.exe" -silent
O4 - HKCU\..\Run: [ZeroSpyware Lite] "H:\Programme\FBM Software\ZeroSpyware Lite\ZeroSpyware Lite.exe" -STARTUP
O4 - HKCU\..\Run: [NetGuard Lite] "H:\Programme\FBM Software\ZeroSpyware Lite\NetGuard Lite.exe" -STARTUP
O4 - HKCU\..\Run: [Skype] "H:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [FolderShare] "C:\Programme\FolderShare\FolderShare.exe" /background
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = H:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - H:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - H:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Programme\Messenger\msmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - h**p://messenger.zone.msn.com/binary/editiert
O16 - DPF: {14F65762-96FB-44B9-8DAC-93845F377A0E} (FileSharingCtrl Class) - h**p://appdirectory.messenger.msn.com/AppDirectory/editiert/de/filesharingctrl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/editiert/editiert
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/editiert
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - H:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - H:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - H:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Steganos Live Encryption Engine (Version 401) [Service] (SLEE_401_SERVICE) - Unknown owner - H:\WINDOWS\System32\SLEE401.exe (file missing)
O23 - Service: SmartLinkService (SLService) - - H:\WINDOWS\SYSTEM32\slserv.exe

warum sollte ich mit diese sogenannten MALEWARESCHLEUDERN nicht benutzen?

O4 - HKLM\..\Run: [Filetopia] C:\FILETO~1\FILETO~1.EXE /TRAY
O4 - HKLM\..\Run: [Overnet] H:\Programme\Overnet\eDonkey2000.exe -t


Noch ein frage: was habe ich denn jetzt gefixt?
Und:
Lohnt es sich den Tea Timer von spybot Search & Destroy einzusetzen (was ich ja sowieso mache)?

Grüße

Ranger

Cidre 19.06.2005 12:16
Zitat:
warum sollte ich mit diese sogenannten MALEWARESCHLEUDERN nicht benutzen?
O4 - HKLM\..\Run: [Filetopia] C:\FILETO~1\FILETO~1.EXE /TRAY
O4 - HKLM\..\Run: [Overnet] H:\Programme\Overnet\eDonkey2000.exe -t
Ganz einfach darum, weil du aus nicht vertrauenswürdigen Quellen nicht vertrauenswürdige Software runterlädst und somit u.U. die Malware selbst installierst. Die rechtlichen Bedenken lass ich mal außen vor.
Zitat:
was habe ich denn jetzt gefixt?
Verwaiste Registry Keys entfernt.
Zitat:
Lohnt es sich den Tea Timer von spybot Search & Destroy einzusetzen?
Es kann zumindest nicht schaden, aber letztendlich ist wieder eine Interaktion von dir notwendig...

Ranger 19.06.2005 12:24
Vielen Dank für eure Hilfe.
Ich danke euch dafür.
Thema kann geschlossen werden.


Alle Zeitangaben in WEZ +1. Es ist jetzt 04:25 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129