Integitor,Backdoor Trojaner |
||
---|---|---|
#0
| ||
04.10.2005, 00:58
...neu hier
Beiträge: 3 |
||
|
||
04.10.2005, 12:33
Moderator
Beiträge: 7805 |
#2
Das ganze waere schon ein Grund, denREchner wieder neu aufzusetzen. Leider hast du die Systemwiederherstellung deaktiviert, sonst haette man das System vieleicht so wieder sauber bekommen.
Das was man derezeit an boesem sieht, ist das, bitte im abgesicherten Modus fixen: O4 - HKLM\..\RunServices: [Secure System] integitor.exe O23 - Service: Secure System - Unknown owner - C:\WINDOWS\System32\integitor.exe" -service (file missing) O23 - Service: Windows Time Sync (wservtime) - Unknown owner - C:\WINDOWS\csrss.exe Danach kannst du den Rechner neu starten und deine Windowsfirewall anschalten. http://support.microsoft.com/?scid=kb;de;283673 Dann kannst du damit beginnen, das Serevice Pack 2 zu installieren. Hole dir es irgendwo auf cd oder SUB stik. Am besten von einem Bekannten, der DSL oder aehnliches besitzt. Teste nach dem neustart und dem System absichern diese Datei C:\WINDOWS\csrss.exe bitte hier: http://virusscan.jotti.org Poste das Ergebniss incl. einem neuen Hijackthis log __________ MfG Ralf SEO-Spam Hunter |
|
|
||
04.10.2005, 23:50
...neu hier
Themenstarter Beiträge: 3 |
#3
Also danke erstmal raman. Ich habe deine Anleitungen befolgt und 2 crss Dateien gefunden und beide scannen lassen:
!. Service load: 0% 100% File: csrss.exe Status: OK (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database) MD5 219581faf8244984032fdb4f673dc1d5 Packers detected: - Scanner results AntiVir Found nothing ArcaVir Found nothing Avast Found nothing AVG Antivirus Found nothing BitDefender Found nothing ClamAV Found nothing Dr.Web Found nothing F-Prot Antivirus Found nothing Fortinet Found nothing Kaspersky Anti-Virus Found nothing NOD32 Found nothing Norman Virus Control Found nothing UNA Found nothing VBA32 Found nothing Last file scanned at least one scanner reported something about: love.jpg, detected by: Scanner Malware name AntiVir Exploit/MS04-028.JPEG.A ArcaVir Exploit.Jpeg Avast Win32:Haxdoor-AD AVG Antivirus Exploit.MS04-028.Downloader BitDefender Exploit.Win32.MS04-028.Gen ClamAV Exploit.W32.MS04-028 Dr.Web Exploit.MS04-028 F-Prot Antivirus X Fortinet W32/JPG.Downloader Kaspersky Anti-Virus Exploit.Win32.MS04-028.a NOD32 Win32/Exploit.MS04-028 Norman Virus Control JPEG/Exploit.gen UNA X VBA32 Exploit.JPG 2. Service load: 0% 100% File: csrss.exe Status: OK (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database) MD5 219581faf8244984032fdb4f673dc1d5 Packers detected: - Scanner results AntiVir Found nothing ArcaVir Found nothing Avast Found nothing AVG Antivirus Found nothing BitDefender Found nothing ClamAV Found nothing Dr.Web Found nothing F-Prot Antivirus Found nothing Fortinet Found nothing Kaspersky Anti-Virus Found nothing NOD32 Found nothing Norman Virus Control Found nothing UNA Found nothing VBA32 Found nothing Last file scanned at least one scanner reported something about: Flashget.exe, detected by: Scanner Malware name AntiVir Worm/Procil.a.1 ArcaVir Trojan.Spy.Sckeylog.V Avast Win32:Keylog-016 AVG Antivirus PSW.Generic.U BitDefender Trojan.SCKeyLog.20 ClamAV Trojan.SCKeylog-7 Dr.Web Trojan.MulDrop.2114 F-Prot Antivirus W32/SCkeylogger.G@spy Fortinet W32/Sckeylog.V-tr Kaspersky Anti-Virus Trojan-PSW.Win32.SCKeyLog.ac NOD32 Win32/Spy.SCKeyLog Norman Virus Control X UNA X VBA32 Trojan-Spy.Win32.SCKeyLog.v Hier noch der aktuelle Logfile: Logfile of HijackThis v1.99.1 Scan saved at 23:44:26, on 04.10.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\csrss.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\htpatch.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\Microsoft Office\Office10\WINWORD.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\Microsoft Works\MSWorks.exe C:\WINDOWS\msagent\AgentSvr.exe C:\Programme\WEBDE\SmartSurfer3.1\SmartSurfer.exe C:\Programme\Internet Explorer\iexplore.exe C:\DOKUME~1\TOURAP~1\LOKALE~1\Temp\Temporäres Verzeichnis 7 für hijackthis_199.zip\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - Startup: SmartSurfer.lnk = C:\Programme\WEBDE\SmartSurfer3.1\SmartSurfer.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: MedionShop - {E05EC57C-ECD9-431C-981D-15573E34076E} - http://www.medionshop.de/ (file missing) (HKCU) O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com/ O17 - HKLM\System\CCS\Services\Tcpip\..\{417876C8-2CB8-46B9-9F85-FC7EE836BCEF}: NameServer = 217.237.149.225 217.237.151.97 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe O23 - Service: Windows Time Sync (wservtime) - Unknown owner - C:\WINDOWS\csrss.exe |
|
|
||
05.10.2005, 05:44
Moderator
Beiträge: 7805 |
#4
Das sieht schon ganz gut aus!
Nur das das sauber sein soll, ist fast unmoeglich: C:\WINDOWS\csrss.exe Schicke die Datei bitte an unten angegebene Emailadresse. Bitte iese Datei, niht die aus dem System32 Ordner, denn das ist eine Systemdatei. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
Ich habe neulich meinen Rechner repariert vom Hersteller zurück bekommen. Dabei wurden Treiberkonflikte unter Windows und ein defektes Mainboard diagnostiziert. Das Mainboard wurde gewechselt, Windows per Image installiert und ein BIOS Update gemacht.
Ich bin dann zunächst ungeschützt ins Netz gegangen. Es öffneten sich natürlich gleich diese „Nachrichtendienst“ Fenster, mein PC wäre unsicher. Kurz darauf fuhr sich der Rechner durch das NT-Autorität/System herunter. Der Systemprozess C:\WINDOWS\System32\lsass.exe wurde durch Statuscode 128 beendet. Im Folgenden stellte ich im Autostart Menü die Einträge Integitor und mmsvc 32 fest. Integitor konnte ich nicht deaktivieren. Ich reinigte mit Spybot und Adaware und setzte AntiVir ein. Die erkannten auch Schädlinge, welche ich dann beseitigte. AntiVir erkannte z.B. TR/Qhost.AA, WORM/Rbot.53202, WORM/SDBot.212992.8, WORM/Gaobot 108032.9, BDS/Codbot.AD. Integitor ließ sich aber nicht aus dem Autostart Menü entfernen. Der Smartsurfer und der Explorer hingen sich nach kurzem Surfen auf (keine Rückmeldung, sofort beenden ging nicht), ich konnte den PC zudem nicht mehr herunterfahren sondern musste ihn per Knopfdruck ausschalten. Mit Escan erkannte ich dann weitere Viren die AntiVir nicht erkannte. Manuell habe ich gelöscht: C:\WINDOWS\system32\i da dort Trojan-Downloader.BAT.Ftp.ab gefunden wurde, C:\WINDOWS\system32\integitor.exe, da dort Backdoor.Win32.Agobot.gen gefunden wurde. Direkt mit AntiVir löschte ich noch 4 Dateien unter C:\WINDOWS\system32\drivers\etc\hosts\... und C:\Programme\AVPersonal\INFECTED\HOSTS.VIR. Ich tat dies mit deaktivierter Systemwiederherstellung im abgesicherten Modus. Danach war Integitor auch tatsächlich im Autostart Menü deaktiviert und ich dachte es wäre erledigt. Smartsurfer und Explorer hängen sich aber nach gewisser zeit immer wieder auf. Ich weiß nicht was ich noch tun soll. Bitte helft mir, wenn ihr könnt!
Hier noch mein letzter HJT Logfile:
Logfile of HijackThis v1.99.1
Scan saved at 00:20:33, on 04.10.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\csrss.exe
C:\WINDOWS\htpatch.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\WEBDE\SmartSurfer3.1\SmartSurfer.exe
C:\Dokumente und Einstellungen\Lokale Einstellungen\Temp\Temporäres Verzeichnis 4 für hijackthis_199.zip\HijackThis.exe
C:\WINDOWS\System32\wuauclt.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aldi.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\RunServices: [Secure System] integitor.exe
O4 - Startup: SmartSurfer.lnk = C:\Programme\WEBDE\SmartSurfer3.1\SmartSurfer.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: MedionShop - {E05EC57C-ECD9-431C-981D-15573E34076E} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com/
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Secure System - Unknown owner - C:\WINDOWS\System32\integitor.exe" -service (file missing)
O23 - Service: Windows Time Sync (wservtime) - Unknown owner - C:\WINDOWS\csrss.exe