Trojaner-Board
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Nicht Sasser nicht Blast sondern .....? (https://www.trojaner-board.de/34772-sasser-blast-sondern.html)

Bason 29.12.2006 12:07
Nicht Sasser nicht Blast sondern .....?
 
Also ich hab zwar in diesem forum so änliche fälle gesehen wie meinen aber die konnten mir alle net weiter helfen. also ich glaube ich habe mir sasser geholt was ich wieder unlogisch finde weil ich service pack 2 drauf habe wasds eigentlich verhindern sollte.

Immer in unregelmässigenabständen kommt so ein kleines fenster wo drin stehte

Meldung:
C:\WINDOWS\system32\services.exe wurde unerwaret mit statuscode 203 (mal aber auch 204) beendet.

SO ich hab kein Plan hab mir schon 3 oder 4 sasser-fixtools geholt aber keiner hat was gefunden.So Blast ist es auch nicht weil da hab ich mir auch schon 3 oder so geholt...=( diese scanner von microsoft finden auch nix und mein ad-aware von lavasoft auf das ich mich immer verlassen konnte finden auch nichts:headbang:

ach ja ind diesem fenster das sich öffnet wird runtergezählt von 60sec bis null dann fährt das sytem runter und wieder rauf -.-*
ich habs auch schon mit shutdown -a versucht aber dann blockt der zwar das runterfahren aber ich kann keinen neueun anwendungen starten wie zB MSN oder irgendwas anderes auch keine anderen ebseiten ausser denen auf denen ich schon bin.
büdde helft mir

The Saint 29.12.2006 12:49
Bitte ein hijackthis Logfile posten.

Wurde dein Betriebssystem upgedatet?

Benutzt du einen Virenscanner?
Logfile posten.

C:\WINDOWS\system32\services.exe HIER überprüfen lassen.

Bason 29.12.2006 14:05
also dieser online scan sagt die datei ist ok

und der hijack:

Logfile of HijackThis v1.99.1
Scan saved at 13:54:04, on 29.12.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe
C:\Programme\CA\CA Internet Security Suite\CA Anti-Virus\ISafe.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\CA\CA Internet Security Suite\CA Anti-Virus\VetMsg.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\Programme\ULi5287\ULi5287.exe
C:\Programme\CA\CA Internet Security Suite\cctray\cctray.exe
C:\Programme\CA\CA Internet Security Suite\CA Anti-Virus\CAVRID.exe
C:\Programme\Windows Defender\MSASCui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ArcorOnline\Arcor.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Max Mustermann\LOKALE~1\Temp\Rar$EX00.359\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.arcor.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = hxxp://www.arcor.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (file missing)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ULiRaid] C:\Programme\ULi5287\ULi5287.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [cctray] "C:\Programme\CA\CA Internet Security Suite\cctray\cctray.exe"
O4 - HKLM\..\Run: [CAVRID] "C:\Programme\CA\CA Internet Security Suite\CA Anti-Virus\CAVRID.exe"
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Suchen - res://C:\WINDOWS\system32\Suchspur.dll/Suchspur.HTM
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} - http://a1540.g.akamai.net/7/1540/52/20061205/qtinstall.info.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by109fd.bay109.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D6680161-1DE1-430B-B114-53D07B961F45}: NameServer = 195.50.140.114 195.50.140.252
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WB - C:\Programme\AlienGUIse\fastload.dll (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: winmqx32 - winmqx32.dll (file missing)
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: CAISafe - Computer Associates International, Inc. - C:\Programme\CA\CA Internet Security Suite\CA Anti-Virus\ISafe.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Unknown owner - C:\Programme\Sygate\SPF\smc.exe (file missing)
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe
O23 - Service: VET Message Service (VETMSGNT) - CA, Inc. - C:\Programme\CA\CA Internet Security Suite\CA Anti-Virus\VetMsg.exe

Sunny 29.12.2006 14:09
Hallo.

Bitte überprüfe die Datei nochmal bei Virustotal, und poste das Ergebnis einschliesslich der Größen- und HASH-Angabe.

Gruß
Sunny

The Saint 29.12.2006 14:24
und diese bitte auch gliech C:\WINDOWS\system32\ctfmon.exe

Bason 29.12.2006 16:29
C:\WINDOWS\system32\ctfmon.exe diese Datei ist auch clean.

und sag ma wo denn auf virustotal?bei online sevices und wenn ja wo da?

Bason 31.12.2006 01:48
orrr häftig jetzt lass mich doch nicht hängen ...=( kann mir den niemand helfen?? bitte

Tiber 31.12.2006 10:33
Nimm .com, nicht .de :)

Gruß Tiber

Sunny 31.12.2006 11:39
Zitat:
Zitat von Bason (Beitrag 245989)
C:\WINDOWS\system32\ctfmon.exe diese Datei ist auch clean.

und sag ma wo denn auf virustotal?bei online sevices und wenn ja wo da?
@BASON

Zum letzten Mal, bitte die Dateien von Virustotal auswerten lassen.
Einfach in das weiße Feld die Pfadangabe reinkopieren:

Zitat:
C:\WINDOWS\system32\services.exe
Dann den Button "SEND" anklicken und warten. Wenn sich nichts mehr ruckt und rührt, die Auswertung abkopieren, und hier in einen Beitrag einfügen!
(einschliesslich der Größen- und HASH-Angabe.)

Danach lässt du die zweite Datei auserten:

Zitat:
C:\WINDOWS\system32\ctfmon.exe
Gleicher Vorgang wie oben. ;)

Gruß
Sunny

Bason 31.12.2006 12:03
Complete scanning result of "services.exe__", received in VirusTotal at 12.31.2006, 11:59:13 (CET).

Antivirus Version Update Result
AntiVir 7.3.0.21 12.30.2006 no virus found
Authentium 4.93.8 12.30.2006 no virus found
Avast 4.7.892.0 12.30.2006 no virus found
AVG 386 12.30.2006 no virus found
BitDefender 7.2 12.31.2006 no virus found
CAT-QuickHeal 8.00 12.31.2006 no virus found
ClamAV devel-20060426 12.30.2006 no virus found
DrWeb 4.33 12.31.2006 no virus found
eSafe 7.0.14.0 12.30.2006 no virus found
eTrust-InoculateIT 23.73.102 12.30.2006 no virus found
eTrust-Vet 30.3.3289 12.29.2006 no virus found
Ewido 4.0 12.31.2006 no virus found
Fortinet 2.82.0.0 12.31.2006 no virus found
F-Prot 3.16f 12.30.2006 no virus found
F-Prot4 4.2.1.29 12.30.2006 no virus found
Ikarus T3.1.0.27 12.31.2006 no virus found
Kaspersky 4.0.2.24 12.31.2006 no virus found
McAfee 4929 12.29.2006 no virus found
Microsoft 1.1904 12.31.2006 no virus found
NOD32v2 1949 12.30.2006 no virus found
Norman 5.80.02 12.31.2006 no virus found
Panda 9.0.0.4 12.30.2006 no virus found
Prevx1 V2 12.31.2006 no virus found
Sophos 4.13.0 12.30.2006 no virus found
Sunbelt 2.2.907.0 12.18.2006 no virus found
TheHacker 6.0.3.139 12.29.2006 no virus found
UNA 1.83 12.29.2006 no virus found
VBA32 3.11.1 12.30.2006 no virus found
VirusBuster 4.3.19:9 12.30.2006 no virus found


Aditional Information
File size: 108544 bytes
MD5: edb6b81761bd60f32f740bbc40afb676
SHA1: 91289092113e122893e9914bb0c8f112b4db99a6

so dann gleich ma alles drauf kopieren ^^hoffentlich ist dsa was de brauchst auch dabei [Gc]Sunny xD 2Datei kommt gleich

Bason 31.12.2006 12:06
so die 2 datei ^^ :

Complete scanning result of "ctfmon.exe_", received in VirusTotal at 12.31.2006, 12:04:08 (CET).

Antivirus Version Update Result
AntiVir 7.3.0.21 12.30.2006 no virus found
Authentium 4.93.8 12.30.2006 no virus found
Avast 4.7.892.0 12.30.2006 no virus found
AVG 386 12.30.2006 no virus found
BitDefender 7.2 12.31.2006 no virus found
CAT-QuickHeal 8.00 12.31.2006 no virus found
ClamAV devel-20060426 12.30.2006 no virus found
DrWeb 4.33 12.31.2006 no virus found
eSafe 7.0.14.0 12.30.2006 no virus found
eTrust-InoculateIT 23.73.102 12.30.2006 no virus found
eTrust-Vet 30.3.3289 12.29.2006 no virus found
Ewido 4.0 12.31.2006 no virus found
Fortinet 2.82.0.0 12.31.2006 no virus found
F-Prot 3.16f 12.30.2006 no virus found
F-Prot4 4.2.1.29 12.30.2006 no virus found
Ikarus T3.1.0.27 12.31.2006 no virus found
Kaspersky 4.0.2.24 12.31.2006 no virus found
McAfee 4929 12.29.2006 no virus found
Microsoft 1.1904 12.31.2006 no virus found
NOD32v2 1949 12.30.2006 no virus found
Norman 5.80.02 12.31.2006 no virus found
Panda 9.0.0.4 12.30.2006 no virus found
Prevx1 V2 12.31.2006 no virus found
Sophos 4.13.0 12.30.2006 no virus found
Sunbelt 2.2.907.0 12.18.2006 no virus found
TheHacker 6.0.3.139 12.29.2006 no virus found
UNA 1.83 12.29.2006 no virus found
VBA32 3.11.1 12.30.2006 no virus found
VirusBuster 4.3.19:9 12.30.2006 no virus found


Aditional Information
File size: 15360 bytes
MD5: 7ce20569925df6789c31799f0c538f29
SHA1: fdf70fcac4bb0c39bc0e2c8faaf81d4742f1fdde

auch nix =( beide clean

The Saint 31.12.2006 12:54
Warum das so ist kann ich dir momentan auch nicht sagen!

Mache mal folgendes:

Rechtsklick auf das Symbol Arbeitsplatz-->verwalten-->Dienste und Anwendungen-->Dienste

Hier folgendes bearbeiten:
Remoteproceduraufruf (RPC) anklicken und unter Wiederherstellen den Punkt Computer neu starten auf Dienst neustarten umstellen . Danach Ok klicken dann dürfte dies nicht mehr auftreten.

Da fehlt mir gerade ein, was wird den in der Ereignisanzeige aufgelistet.
Rechtsklick auf das Symbol Arbeitsplatz-->verwalten-->Ereignisanzeige
unter System mit heutigen Datum

The Saint 31.12.2006 13:41
Weiters kannst du noch einen Onlinescan vollziehen!

ergebniss posten!

Bason 01.01.2007 17:06
also dsa mit der Ereignisanzeige hab ich gemacht und da steht zum gestrigen datum auch immer in abständen was von fehler und so dann hab ich mir die eigenschaften davon angeguckt und das hängt auch irgendwie mit service.exe zusammen aber ich weiß nicht wie ich das genauer posten soll.so und das erste was du empfolen hast hab ich auch gemacht aber da hab ich dann immer wo neustrat stand das umgestellt ist das ok so?

Bason 03.01.2007 00:03
so..ja toll also bleibt es dabeioda was? keiner kann mir helfen? hat vll jemand noch eine andee idee was das genze sen könnte?
weil daskanns doch net sein oder?:(


Alle Zeitangaben in WEZ +1. Es ist jetzt 15:23 Uhr.
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129