[prob] vidro-trojaner |
||
---|---|---|
#0
| ||
11.10.2005, 20:48
...neu hier
Beiträge: 6 |
||
|
||
11.10.2005, 21:35
Member
Beiträge: 4730 |
#2
Um was dagegen zu tun, benötigen wir ein HJT-Log:
http://managor.de/hjt.htm __________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser |
|
|
||
11.10.2005, 21:39
...neu hier
Themenstarter Beiträge: 6 |
#3
kk
danke für den tip :wink: werde das prog mal dem typen zukommen lassen und schreib dann die log datei so schnell wie möglich rein. danke bis dann __________ Give me the strenght to be what I want. And forgive me for what I am! |
|
|
||
17.10.2005, 21:37
...neu hier
Themenstarter Beiträge: 6 |
#4
hi
hab jetzt den scan gemacht und dies ist die log file: Logfile of HijackThis v1.99.1 Scan saved at 19:58:55, on 16.10.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.exe C:\WINDOWS\system32\spoolsv.exe C:\Acer\eManager\anbmServ.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\CyberLink\PowerDVD\PDVDServ.exe C:\WINDOWS\system32\rundll32.exe C:\acer\epm\epm-dm.exe C:\Programme\Launch Manager\QtZgAcer.EXE C:\Programme\QuickTime\qttask.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\WinZip\WZQKPICK.EXE C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\OpenOffice.org1.1.4\program\soffice.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\cisvc.exe C:\WINDOWS\system32\locator.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\system32\cidaemon.exe C:\Dokumente und Einstellungen\Rene\Desktop\hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = http://clearsurfing.net/srch.php?qq=%s R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/ R3 - URLSearchHook: (no name) - {4BD042A1-EF8A-711F-78C0-14B2C31A1FD0} - Bogobot.dll (file missing) F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_1.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Name - {2BAB2744-8A8B-4D65-82B4-9A0A3F583E3F} - C:\WINDOWS\system32\msnzw.dll (file missing) O3 - Toolbar: FreshBar - {06ABAA2D-34AB-4902-A326-409BD9B9A7A5} - C:\WINDOWS\system32\iecustom32.dll (file missing) O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_1.dll O4 - HKLM\..\Run: [LaunchApp] Alaunch O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [EPM-DM] c:\acer\epm\epm-dm.exe O4 - HKLM\..\Run: [ePowerManagement] C:\Acer\ePM\ePM.exe boot O4 - HKLM\..\Run: [LManager] C:\Programme\Launch Manager\QtZgAcer.EXE O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [sbin] driver32.exe O4 - HKLM\..\Run: [JAguAr] MONITER.exe O4 - HKLM\..\Run: [wqnbem] C:\WINDOWS\system32\hnmnamk.exe r O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [WareOut] "C:\Programme\WareOut\WareOut.exe" O4 - HKCU\..\Run: [ParisM] 321102.exe O4 - HKCU\..\Run: [clamav] dePloy.exe O4 - HKCU\..\Run: [init32] AppMasterCenter.exe O4 - Startup: OpenOffice.org 1.1.4.lnk = C:\Programme\OpenOffice.org1.1.4\program\quickstart.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: Symantec Fax Starter Edition-Anschluss.lnk = C:\Programme\Microsoft Office\Office\1031\OLFSNT40.EXE O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O12 - Plugin for .mid: C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{41EB705E-B132-48FD-81B8-51E55834CF82}: NameServer = 195.95.218.18,85.255.112.11 O17 - HKLM\System\CCS\Services\Tcpip\..\{A385EE86-7819-41F0-9E73-CEA0B998885F}: NameServer = 195.95.218.18,85.255.112.11 O17 - HKLM\System\CCS\Services\Tcpip\..\{B72298A4-0540-488E-A755-87E898A521E2}: NameServer = 195.95.218.18,85.255.112.11 O17 - HKLM\System\CS1\Services\Tcpip\..\{41EB705E-B132-48FD-81B8-51E55834CF82}: NameServer = 195.95.218.18,85.255.112.11 O17 - HKLM\System\CS2\Services\Tcpip\..\{41EB705E-B132-48FD-81B8-51E55834CF82}: NameServer = 195.95.218.18,85.255.112.11 O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe also ich danke schon mal im vorraus allen die antworten^^ __________ Give me the strenght to be what I want. And forgive me for what I am! |
|
|
||
18.10.2005, 14:47
Ehrenmitglied
Beiträge: 29434 |
#5
In Flames
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = http://clearsurfing.net/srch.php?qq=%s R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank R3 - URLSearchHook: (no name) - {4BD042A1-EF8A-711F-78C0-14B2C31A1FD0} - Bogobot.dll (file missing) F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe O2 - BHO: Name - {2BAB2744-8A8B-4D65-82B4-9A0A3F583E3F} - C:\WINDOWS\system32\msnzw.dll (file missing) O3 - Toolbar: FreshBar - {06ABAA2D-34AB-4902-A326-409BD9B9A7A5} - C:\WINDOWS\system32\iecustom32.dll (file missing) O4 - HKLM\..\Run: [sbin] driver32.exe O4 - HKLM\..\Run: [JAguAr] MONITER.exe O4 - HKLM\..\Run: [wqnbem] C:\WINDOWS\system32\hnmnamk.exe r O4 - HKCU\..\Run: [WareOut] "C:\Programme\WareOut\WareOut.exe" O4 - HKCU\..\Run: [ParisM] 321102.exe O4 - HKCU\..\Run: [clamav] dePloy.exe O4 - HKCU\..\Run: [init32] AppMasterCenter.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{41EB705E-B132-48FD-81B8-51E55834CF82}: NameServer = 195.95.218.18,85.255.112.11 O17 - HKLM\System\CCS\Services\Tcpip\..\{A385EE86-7819-41F0-9E73-CEA0B998885F}: NameServer = 195.95.218.18,85.255.112.11 O17 - HKLM\System\CCS\Services\Tcpip\..\{B72298A4-0540-488E-A755-87E898A521E2}: NameServer = 195.95.218.18,85.255.112.11 O17 - HKLM\System\CS1\Services\Tcpip\..\{41EB705E-B132-48FD-81B8-51E55834CF82}: NameServer = 195.95.218.18,85.255.112.11 O17 - HKLM\System\CS2\Services\Tcpip\..\{41EB705E-B132-48FD-81B8-51E55834CF82}: NameServer = 195.95.218.18,85.255.112.11 023 -Eintraege löschen: Hijackthis auf "open the misc tool section" klicken und dann auf "delete an NT Service" und die Namen angeben, aber mache dies nur bei diesen O23 Einträgen! O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe PC neustarten du musst eine neue Internetverbindung erstellen..... FindIt's http://bilder.informationsarchiv.net/Nikitas_Tools/Find_It__s.zip Anleitung: http://virus-protect.org/artikel/tools/FindIts.html 1. Entpacken und auf dem Desktop speichern 2. öffnen und doppelklicken: FindIt's.bat -- warte, bis der Editor sich öffnet -- text file. (hab Geduld, es kann eine Weile dauern) ... 3. Poste bitte die txt vom Scann in den Thread im Forum CCleaner (loesche alle temp-Dateien) http://virus-protect.org/temp.html ich brauche folgende Logs: Download f-secure-Beta Trial http://www.f-secure.com/blacklight/ doppelklick: blbeta.exe nach dem Check klicke -- next nun findet man eine Textdatei auf dem Desktop: kopiere sie in deinen Thread Datfinbad - abarbeiten und alle 4 Logs in den Thread kopieren (mit Pfad) http://virus-protect.org/datfindbat.html Winpfind http://virus-protect.org/winpfind.html Silentrunners http://virus-protect.org/silentrunner.html klicke: output file is in text format. --> Doppelklick und es oeffnet sich der Editor -- und poste alles, was angezeigt wird. __________ __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
und zwar hat ein bekannter von mir ein prob mit einem , wie ich annehme, trojaner namens vidro. dieser wird auch durch antivirus software gefunden und angeblich auch gelöscht aber er regeneriert sich innerhalb von sekunden wieder. ich kann dummerweise nichts genaueres sagen, weil es eben nicht mein pc ist. was ich weis ist allerdings, das auf jeden fall eins seiner verzeichnisse im win32 ordner liegen und an den trau ich mich nicht ran^^
außerdem speichert er innerhalb von sekundenbruchteilen kopien der registry dateien und legt ausführliche listen über den inhalt des pcs an.
also hoffentlich kann mir einer von euch auch aufgrund dieser vagen beschreibung helfen - im grunde genommen ist es ja ein typischer trojaner.
__________
Give me the strenght to be what I want.
And forgive me for what I am!