Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   System Intrusion Detected! (https://www.trojaner-board.de/25542-system-intrusion-detected.html)

DeFauDe 07.01.2006 21:35
System Intrusion Detected!
 
Guten Abend allerseits,

ich habe dank der sehr hilfreichen Threads hier schon mehrere Trojaner weggekriegt von meinem System nur einer lässt mir einfach keine Ruhe!

HJT-Log:
Code:
Logfile of HijackThis v1.99.1
Scan saved at 21:31:36, on 07.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
c:\Programme\LRZ VPN Client\cvpnd.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\sm56hlpr.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\WINDOWS\system32\wuauclt.exe
D:\Desktop\HijackThis.exe

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: LRZ VPN Client.lnk = C:\Programme\LRZ VPN Client\vpngui.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll (file missing)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1123926478187
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Boonty Games - BOONTY - C:\Programme\Gemeinsame Dateien\BOONTY Shared\Service\Boonty.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - c:\Programme\LRZ VPN Client\cvpnd.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
eScan, SpyBot etc habe ich auch schon ausprobiert. Auch dieses smitrem-Tool (irgendwo in nem anderen Thread gefunden) hab ich ein paar mal durchackern lassen. Es wurde auch so Einiges gefunden und entfernt, nur diese letzte Drecksau haut einfach nicht ab!

Das Ganze schaut in etwa so aus:

http://defaude.quit-clan.de/pix/trojaner.jpg

Darum denke / fürchte ich, dass das eine neue Version sein könnte?
Hat Jemand damit Erfahrung bzw. das schon mal gesehn? Wäre für Hilfe dankbar ;)

mfG - DeFauDe

DeFauDe 09.01.2006 16:43
Nochmal ich!
Hab inzwischen selber rausgefunden, wie ich den Plagegeist loswerde...

Falls Jemand das Gleiche Problem wie ich hat:

1. Beim Systemstart von Windows XP F8 drücken und
2. "Abgesicherter Modus mit Eingabeaufforderung" auswählen
3. In der dann letztlich erscheinenden DosBox ins Verzeichnis \Windows\system32 wechseln.
3. "del netwrap.dll" eintippen und Enter :)
Fertig!

Hab's davor auch mal mit Killbox versucht, aber das hat irgendwie nicht geholfen. Jedenfalls bin ich den Arsch jetz los und immunisier mein System noch gründlich und hoffe, dass es sich damit erledigt hat.

Vielen Dank für Ihre Aufmerksamkeit ;)

PS: Danke für den Tipp, lieber Dave ;)

irrlicht 09.01.2006 16:57
Hallo deFauDe,
was ist denn das,kennst du das ?
O4 - Global Startup: LRZ VPN Client.lnk = C:\Programme\LRZ VPN Client\vpngui.exe
Irrlicht

DeFauDe 09.01.2006 18:57
Zitat:
Zitat von irrlicht
Hallo deFauDe,
was ist denn das,kennst du das ?
O4 - Global Startup: LRZ VPN Client.lnk = C:\Programme\LRZ VPN Client\vpngui.exe
Irrlicht
Das ist der Virtual Private Network Client der LMU, TU oder FH München. Damit kann man sich über WLAN oder LAN (wenn man eine der heißbegehrten Buchsen erkämpfen kann) über das LRZ ins Internet gehen (dagegen is sogar mein DSL 6000 lahm wie ne alte Oma!) ;)

irrlicht 09.01.2006 19:38
Hallo DeFauDe,
Na da hab ich wieder was gelernt....
Deinem Bild nach zu urteilen ist das eine Spyaxe-Infektion.Der Text dazu würde auch stimmen.Aber so einfach wie du sie gekillt haben willst ,geht das normalerweise nicht.Schau dich mal mit der Bordsuche um,da ist einiges zum Thema zu finden.
Irrlicht

DeFauDe 09.01.2006 21:02
Den ganzen Schmodder mit dem SmitFraud-Remove-Dingens (smitrem.exe und der runthis.bat darin) hab ich schon x-mal gemacht. Witzigerweise hatte ich eben 2 verschiedene Varianten:
- den "normalen" mit der Meldung "Your Computer is infected"
- den oben erwähnten

Den Normalen habe ich ja wegbekommen, aber den "System Intrusion Detected!" Habe ich ums Verrecken eben nicht weggekriegt. Jedenfalls is jetz alles wech, SpyBot findet auch nix mehr und sowohl Antivir als auch Hijackthis und AdAware geben auch keine Probleme mehr... Hoffen und Daumen drücken ist die Devise ;)

irrlicht 09.01.2006 21:25
Hallo DeFauDe,
Hoffen und Daumen drücken ist eine Möglichkeit.Das hier ist die andere Möglichkeit.
http://virus-protect.net/artikel/spyware/spyaxe.html
Wenn du damit durch bist,kannst du auf Hoffen und Bangen verzichten.
Irrlicht


Alle Zeitangaben in WEZ +1. Es ist jetzt 06:36 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129