Problem mit [Dail32] (Backdoor.NTHack)

#1 HI,

habe da ein kleines Prob mit einem Backdoor/Trojaner.

Habe das System mit HijackThis überprüft, kenne mich allerdings noch nicht so ganz damit aus. Waere net wenn mir da jemand helfen koennte wie ich den Kollegen entferne.

Hier die Log:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\pkin.dll/sp.html (obfuscated)

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\pkin.dll/sp.html (obfuscated)

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\pkin.dll/sp.html (obfuscated)

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\pkin.dll/sp.html (obfuscated)

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\pkin.dll/sp.html (obfuscated)

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\pkin.dll/sp.html (obfuscated)

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Office\Acrobat\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Office\Acrobat\Acrobat\AcroIEFavClient.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Security\Norton\NavShExt.dll

O2 - BHO: (no name) - {D5C346D0-1D07-4DF8-A010-6682A5FC678D} - C:\WINDOWS\System32\pkin.dll (file missing)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Office\Acrobat\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Security\Norton\NavShExt.dll

O4 - HKLM\..\Run: [SmcService] d:\Security\Sygate\Smc.exe -startgui

O4 - HKLM\..\Run: [BackgroundSwitcher] C:\WINDOWS\System32\bgswitch.exe

O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\System32\taskswitch.exe

O4 - HKLM\..\Run: [FastUser] C:\WINDOWS\System32\fast.exe

O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"

O4 - HKLM\..\Run: [Advanced Tools Check] D:\Security\Norton\AdvTools\ADVCHK.EXE

O4 - HKLM\..\Run: [Dial32] C:\WINDOWS\dl.exe

O4 - HKLM\..\Run: [Microsoft Helper Service] C:\WINDOWS\System32\mstaskm.exe

O4 - HKLM\..\Run: [Services Process] C:\WINDOWS\system32\config\services.exe

O4 - HKLM\..\RunOnce: [HP_AIO_SETUP_MUTEX] C:\DOKUME~1\IHM\LOKALE~1\TEMP\HP OFFICEJET G SERIES\CDIMAGE\setup.exe

O4 - Global Startup: Acrobat Assistant.lnk = D:\Office\Acrobat\Distillr\acrotray.exe

O4 - Global Startup: Microsoft Office.lnk = D:\Microsoft Office XP Pro\Office10\OSA.EXE

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\MICROS~1\Office10\EXCEL.EXE/3000

O9 - Extra button: SEARCH (HKLM)

O9 - Extra button: ENTERTAINMENT (HKLM)

O9 - Extra button: PILLS (HKLM)

O9 - Extra button: SECURITY (HKLM)

O9 - Extra button: SEARCH (HKLM)

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{29BCA850-EDA0-4450-BBEB

Weiss jetz nicht was ich fixen soll!

THX im Vorraus

camo

#2 fixe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\pkin.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\pkin.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\pkin.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\pkin.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\pkin.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\pkin.dll/sp.html (obfuscated)
O2 - BHO: (no name) - {D5C346D0-1D07-4DF8-A010-6682A5FC678D} - C:\WINDOWS\System32\pkin.dll (file missing)
O4 - HKLM\..\Run: [Dial32] C:\WINDOWS\dl.exe
O4 - HKLM\..\Run: [Services Process] C:\WINDOWS\system32\config\services.exe

neustarten und gehe in den abgesicherten Modus...F8 beim Hochfahren druecken

#loesche :\WINDOWS\System32\pkin.dll

#Gehe in die Registry
Start<Ausfuehren<regedit

loesche auf der rechten Seite
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
Services Process = C:\Windows\System32\config\services.exe

schliesse die Registry

#Loesche C:\Windows\System32\config\services.exe


neustarten

#Lade mwav.exe ..escan und scanne <alle Dateien<
http://www.mwti.net/antivirus/free_utilities.asp

#Lade Cwshredder
http://www.spywareinfo.com/~merijn/downloads.html

#Loesche unter InternetOptionen die TemporaryInternetFiles und stelle eine neue Startseite ein.

Lade Firefox als Zweit/und Surfbrowser...ist hijackerfrei , stelle eine Startseite ein und surfe nur mit ihm
http://www.firebird-browser.de/

Dann poste das Log noch einmal.

MfG
Sabina


http://www.sophos.com/virusinfo/analyses/trojsmallv.html
__________
MfG Sabina

rund um die PC-Sicherheit