4 Trojaner / Win xp Home

#0
12.12.2003, 15:13
...neu hier

Beiträge: 10
#1 ok,

ich hab ja jetzt schon einiges über svchost.exe gehört. Trotzdem wollt ich das hier nochmal fragen und sicher gehen.

ich habe nach Norton Symantex Professional diese Trojaner auf meinem Computer:

Source: C:\WINDOWS\msto32.dll <--- Keylogger.Trojan
Source: C:\WINDOWS\svchost.exe <--- Backdoor.Togfer
Source: C:\WINDOWS\system32\svchostc.exe <--- Backdoor.Daemonize
Source: C:\WINDOWS\system32\svchosts.exe <--- Backdoor.Daemonize

Mein "Hejj Dings log" ist:

Logfile of HijackThis v1.97.7
Scan saved at 15:09:35, on 12.12.2003
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\Smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\HP\KBD\KBD.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\0190 Warner\w0svc.exe
C:\WINDOWS\System32\alg.exe
D:\PROG2\IKARUS\GUARDNT\GUARDNT.EXE
D:\Prog2\symantec\anti virus\AdvTools\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\0190 Warner\Warn0190.exe
D:\A Inhalt\dl\warner\0900Alarm.exe
G:\AlphaAudio\AlphaPlayer.exe
C:\WINDOWS\regedit.exe
D:\Prog2\Spybot - Search & Destroy\SpybotSD.exe
C:\WINDOWS\System32\svchosts.exe
C:\WINDOWS\System32\svchostc.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccLgView.exe
C:\Dokumente und Einstellungen\(MeinName)\Lokale Einstellungen\Temp\Temporäres Verzeichnis 3 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://srch-de3.hpwis.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://srch-de3.hpwis.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-de3.hpwis.com/
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe,C:\WINDOWS\System32\svcpack.exe
O1 - Hosts: 203.161.127.141 www.dcsresearch.com
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Popup Manager - {08E74C67-99A6-45C7-94DA-A397A8FD8082} - C:\Programme\Popup Manager\PopupMgr_1.0.1.5.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Prog2\symantec\anti virus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Prog2\symantec\anti virus\NavShExt.dll
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Online Service] C:\WINDOWS\svchost.exe
O4 - HKLM\..\Run: [Anti-Trojan-Watch] C:\Programme\Anti-Trojan-55\ATWatch.exe
O4 - HKLM\..\Run: [Guard NT] D:\PROG2\IKARUS\GUARDNT\GuardNT.exe /STARTDLG /CPYTOKEN
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] D:\Prog2\symantec\ANTIVI~1\AdvTools\ADVCHK.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: Tägliche Losungen.LNK = ?
O4 - Global Startup: DSLMON.lnk = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: Recherche-Assistent (HKLM)
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0C4F1F17-5E70-4165-A1F0-2B995CA1230E}: NameServer = 217.5.100.1 194.25.2.129
O17 - HKLM\System\CS1\Services\Tcpip\..\{0C4F1F17-5E70-4165-A1F0-2B995CA1230E}: NameServer = 217.5.100.1 194.25.2.129

und ich habe Win xp Home - das sollte auch noch wichtig sein.

Ich würde mich über eine helfende Antwort freuen. ;)

MIt freundlichem Gruß

DJN
Dieser Beitrag wurde am 12.12.2003 um 15:16 Uhr von DJN editiert.
Seitenanfang Seitenende
12.12.2003, 15:57
Moderator

Beiträge: 7805
#2 Jepp, Norton hat recht!;) Lass es doch einfach die Trojaner entfernen. usaetzlich bitte das auch noch fixen:

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://srch-de3.hpwis.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://srch-de3.hpwis.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-de3.hpwis.com/
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe,C:\WINDOWS\System32\svcpack.exe
O1 - Hosts: 203.161.127.141 http://www.dcsresearch.com

und du solltest dich bei AT und AV Programmen auf einen aktiven Teil beschraenken. Du hast derzeit was von Ikarus, anti-trojan(wird AFAIK nicht mehr weiterentwickelt) Symantec und Bitdefender( obwohl die beiden sachen installiert bleiben sollten, da sonst das scannen und updaten nicht funktioniert)

Wenn du das alles erledigt hast, kannst du ja mal ein neues Log posten.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
12.12.2003, 15:59
Moderator
Avatar joschi

Beiträge: 6466
#3 C:\WINDOWS\System32\svchosts.exe
C:\WINDOWS\System32\svchostc.exe
über den Taskmanager beenden und das Problem von Norton beheben lassen.

Zu
Source: C:\WINDOWS\msto32.dll <--- Keylogger.Trojan
Source: C:\WINDOWS\svchost.exe <--- Backdoor.Togfer
vermag ich gerade keine Aussage zu machen

Was sagt denn Bitdefender zu dem Problem ?
Hast Du zwei Virenscanner gleichzeitig laufen ?
__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
12.12.2003, 16:08
Moderator

Beiträge: 7805
#4 Nachtrag: Du solltest dein Windows mal updaten und die Malware am besten im abgesicherten Modus entfernen, oder so wie Joschi gesagt hat, ich hoffe/denke mal nicht, das sich die beiden Prozesse automatisch gegenseitig neu starten.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
12.12.2003, 16:16
...neu hier

Themenstarter

Beiträge: 10
#5 Die Sache ist ja die - dass Symantec die nicht entfernen kann! ;)

der kann die nicht fixen, nicht in quarant. stellen und nicht löschen ...

im Trojaner-Board haben die mir gesagt, das wahrscheinlich mein gesamtes System infiltriert ist und - dass ich Win neuinstallieren müsste ...

Das ist mir aber grad zu viel, zu mal, weil ich das Ganze letztens schon neu installiert habe ...

kanns daran liegen, das Symantec Trial ist? Aber ich meine, wenns in der Trial nicht zu löschen geht, woher sollen die User dann wissen, ob ihnen das Tool was nützt, wenn sie es sich kaufen und das dann vielleicht auch nicht geht?

Wenn das schon in der Trial nicht funktioniert - würd ich das Tool auch nicht kaufen.

hm, das mit dem Keylogger ist mir aber wichtig. Ich finds außerdem komisch, zu mal der nicht in der Prozess Leiste aufgeführt ist ...

ich kann ja zur Zeit nicht in geschützte - wichtige Bereiche gehen, weil dieser Keylogger da drauf ist.

Auch wenn ich die sygate free Firewall habe.

bitdefender sagt, dass svchost / c / s in Ordnung sind! Ist also nicht grad die Hilfe, die ich brauche.

MIt freundlichem Gruß

DJN
Dieser Beitrag wurde am 12.12.2003 um 16:19 Uhr von DJN editiert.
Seitenanfang Seitenende
12.12.2003, 16:20
Moderator

Beiträge: 7805
#6 Starte deinen Rechner halt im abgesicherten Modus( "F8" druecken beim starten, wenn die Hardwareerkennung des Bios beendet ist) und lasse sie halt von Bitdefender loeschen!;) Wenn das auch wiedererwartend nicht funktioniert, koennen wir das auch mit Hijackthis machen.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
12.12.2003, 16:29
...neu hier

Themenstarter

Beiträge: 10
#7 und meinst du, dass ich auch den msto32.dll Keylogger gefahrlos löschen kann oder befüchten muss, dass ich mein Win dann nicht mher starten kann?

Mit freundlichem Gruß

DJN
Seitenanfang Seitenende
12.12.2003, 16:34
Moderator

Beiträge: 7805
#8 Klar, raus was keine Miete zahlt!;) Aber du kannst ja wahlweise die Datei umbenennen.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
12.12.2003, 16:39
Moderator

Beiträge: 7805
#9 Du musst deine Postings nicht im nachherein aendern, sonst kommt man durcheinander. Ich lese nicht immer alle Postings durch, wenn eine Antwort gekommen ist. ;)
Lasse folgendes von Hijackthis fixen:
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe,C:\WINDOWS\System32\svcpack.exe
O4 - HKLM\..\Run: [Online Service] C:\WINDOWS\svchost.exe

Nach dem Neustart poste bitte ein neues Log.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
12.12.2003, 16:40
Moderator
Avatar joschi

Beiträge: 6466
#10 Mal was Grundsätzliches: Einen Trojaner und Keylogger auf dem System zu haben, darin steckt ein wirklich hohes Sicherheitsrisiko.
Der sicherste Weg ist, das System komplett neu zu installieren.
Auf jeden aber Fall baldmöglichst alle Passwörter,PINs, etc ändern, sobald der Rechner wieder "sauber" ist.
__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
12.12.2003, 17:20
...neu hier

Themenstarter

Beiträge: 10
#11 Naja, der Keylogger ist ja nicht in den running Prozesses drin - vielleciht läuft der ja gar nicht - inaktiv oder sowas?

Ich mein da steht nirgendwo was von dieser Dateil da - nur, dass es halt ein Keylogger sein soll.

Mit freundlichem Gruß

DJN
Seitenanfang Seitenende
12.12.2003, 18:03
Moderator

Beiträge: 7805
#12 Das heisst nichts, das kannst du am einfachsten testen, indem du versuchst die Datei zu loeschen. Geht es -> inaktiv geht es nicht -> dann ist sie gerade aktiv.
Das Problem ist halt, das du nicht weisst, was die anderen Backdoors angerichtet haben, oder ob schon jemand sie von "Ausserhalb" gnutzt hat, sprich Daten veraendert. Und um dieses Risiko zu beseitigen, empfiehlt es sich, das System neu aufzusetzen. In wie weit es nun wirklich noetig ist, muss jeder selber entscheiden, aber es ist die sicherste Variante.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
12.12.2003, 18:07
...neu hier

Themenstarter

Beiträge: 10
#13 ok, hab ich alles gemacht. Alle Trojaner sind gelöscht - mit Symantec. ;)

log:

Logfile of HijackThis v1.97.7
Scan saved at 18:05:33, on 12.12.2003
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\Smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\HP\KBD\KBD.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\0190 Warner\w0svc.exe
C:\WINDOWS\System32\alg.exe
D:\PROG2\IKARUS\GUARDNT\GUARDNT.EXE
D:\Prog2\symantec\anti virus\AdvTools\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\0190 Warner\Warn0190.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\(MeinName)\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Popup Manager - {08E74C67-99A6-45C7-94DA-A397A8FD8082} - C:\Programme\Popup Manager\PopupMgr_1.0.1.5.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Prog2\symantec\anti virus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Prog2\symantec\anti virus\NavShExt.dll
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Anti-Trojan-Watch] C:\Programme\Anti-Trojan-55\ATWatch.exe
O4 - HKLM\..\Run: [Guard NT] D:\PROG2\IKARUS\GUARDNT\GuardNT.exe /STARTDLG /CPYTOKEN
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] D:\Prog2\symantec\ANTIVI~1\AdvTools\ADVCHK.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: Tägliche Losungen.LNK = ?
O4 - Global Startup: DSLMON.lnk = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: Recherche-Assistent (HKLM)
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0C4F1F17-5E70-4165-A1F0-2B995CA1230E}: NameServer = 217.5.100.1 194.25.2.129
O17 - HKLM\System\CS1\Services\Tcpip\..\{0C4F1F17-5E70-4165-A1F0-2B995CA1230E}: NameServer = 217.5.100.1 194.25.2.129

Ist das jetzt alles in Ordnung? und danke.

Mit freundlichem Gruß

DJN
Seitenanfang Seitenende
12.12.2003, 18:42
Moderator

Beiträge: 7805
#14 ...und jetzt schnell nach www.windowsupdate.com updates herunterladen! Und zwar alle!;)
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
12.12.2003, 18:58
...neu hier

Themenstarter

Beiträge: 10
#15 als ich das letzte mal einige updates installiert habe, hab ich einige fehler mit Win xp gehabt - darum habe ich diesmal keine Updates installiert. ;)

hm, das sind ja ganz schön viele Updates - gut, dass man die auswählen kann - denn alle brauche ich nicht.

Meinst du wirklich - dass das wichtig ist? und danke.

Mit freundlichem Gruß

DJN
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: