4 Trojaner / Win xp Home |
||
---|---|---|
#0
| ||
12.12.2003, 15:13
...neu hier
Beiträge: 10 |
||
|
||
12.12.2003, 15:57
Moderator
Beiträge: 7805 |
#2
Jepp, Norton hat recht! Lass es doch einfach die Trojaner entfernen. usaetzlich bitte das auch noch fixen:
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://srch-de3.hpwis.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://srch-de3.hpwis.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-de3.hpwis.com/ F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe,C:\WINDOWS\System32\svcpack.exe O1 - Hosts: 203.161.127.141 http://www.dcsresearch.com und du solltest dich bei AT und AV Programmen auf einen aktiven Teil beschraenken. Du hast derzeit was von Ikarus, anti-trojan(wird AFAIK nicht mehr weiterentwickelt) Symantec und Bitdefender( obwohl die beiden sachen installiert bleiben sollten, da sonst das scannen und updaten nicht funktioniert) Wenn du das alles erledigt hast, kannst du ja mal ein neues Log posten. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
12.12.2003, 15:59
Moderator
Beiträge: 6466 |
#3
C:\WINDOWS\System32\svchosts.exe
C:\WINDOWS\System32\svchostc.exe über den Taskmanager beenden und das Problem von Norton beheben lassen. Zu Source: C:\WINDOWS\msto32.dll <--- Keylogger.Trojan Source: C:\WINDOWS\svchost.exe <--- Backdoor.Togfer vermag ich gerade keine Aussage zu machen Was sagt denn Bitdefender zu dem Problem ? Hast Du zwei Virenscanner gleichzeitig laufen ? __________ Durchsuchen --> Aussuchen --> Untersuchen |
|
|
||
12.12.2003, 16:08
Moderator
Beiträge: 7805 |
#4
Nachtrag: Du solltest dein Windows mal updaten und die Malware am besten im abgesicherten Modus entfernen, oder so wie Joschi gesagt hat, ich hoffe/denke mal nicht, das sich die beiden Prozesse automatisch gegenseitig neu starten.
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
12.12.2003, 16:16
...neu hier
Themenstarter Beiträge: 10 |
#5
Die Sache ist ja die - dass Symantec die nicht entfernen kann!
der kann die nicht fixen, nicht in quarant. stellen und nicht löschen ... im Trojaner-Board haben die mir gesagt, das wahrscheinlich mein gesamtes System infiltriert ist und - dass ich Win neuinstallieren müsste ... Das ist mir aber grad zu viel, zu mal, weil ich das Ganze letztens schon neu installiert habe ... kanns daran liegen, das Symantec Trial ist? Aber ich meine, wenns in der Trial nicht zu löschen geht, woher sollen die User dann wissen, ob ihnen das Tool was nützt, wenn sie es sich kaufen und das dann vielleicht auch nicht geht? Wenn das schon in der Trial nicht funktioniert - würd ich das Tool auch nicht kaufen. hm, das mit dem Keylogger ist mir aber wichtig. Ich finds außerdem komisch, zu mal der nicht in der Prozess Leiste aufgeführt ist ... ich kann ja zur Zeit nicht in geschützte - wichtige Bereiche gehen, weil dieser Keylogger da drauf ist. Auch wenn ich die sygate free Firewall habe. bitdefender sagt, dass svchost / c / s in Ordnung sind! Ist also nicht grad die Hilfe, die ich brauche. MIt freundlichem Gruß DJN Dieser Beitrag wurde am 12.12.2003 um 16:19 Uhr von DJN editiert.
|
|
|
||
12.12.2003, 16:20
Moderator
Beiträge: 7805 |
#6
Starte deinen Rechner halt im abgesicherten Modus( "F8" druecken beim starten, wenn die Hardwareerkennung des Bios beendet ist) und lasse sie halt von Bitdefender loeschen! Wenn das auch wiedererwartend nicht funktioniert, koennen wir das auch mit Hijackthis machen.
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
12.12.2003, 16:29
...neu hier
Themenstarter Beiträge: 10 |
#7
und meinst du, dass ich auch den msto32.dll Keylogger gefahrlos löschen kann oder befüchten muss, dass ich mein Win dann nicht mher starten kann?
Mit freundlichem Gruß DJN |
|
|
||
12.12.2003, 16:34
Moderator
Beiträge: 7805 |
#8
Klar, raus was keine Miete zahlt! Aber du kannst ja wahlweise die Datei umbenennen.
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
12.12.2003, 16:39
Moderator
Beiträge: 7805 |
#9
Du musst deine Postings nicht im nachherein aendern, sonst kommt man durcheinander. Ich lese nicht immer alle Postings durch, wenn eine Antwort gekommen ist.
Lasse folgendes von Hijackthis fixen: F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe,C:\WINDOWS\System32\svcpack.exe O4 - HKLM\..\Run: [Online Service] C:\WINDOWS\svchost.exe Nach dem Neustart poste bitte ein neues Log. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
12.12.2003, 16:40
Moderator
Beiträge: 6466 |
#10
Mal was Grundsätzliches: Einen Trojaner und Keylogger auf dem System zu haben, darin steckt ein wirklich hohes Sicherheitsrisiko.
Der sicherste Weg ist, das System komplett neu zu installieren. Auf jeden aber Fall baldmöglichst alle Passwörter,PINs, etc ändern, sobald der Rechner wieder "sauber" ist. __________ Durchsuchen --> Aussuchen --> Untersuchen |
|
|
||
12.12.2003, 17:20
...neu hier
Themenstarter Beiträge: 10 |
#11
Naja, der Keylogger ist ja nicht in den running Prozesses drin - vielleciht läuft der ja gar nicht - inaktiv oder sowas?
Ich mein da steht nirgendwo was von dieser Dateil da - nur, dass es halt ein Keylogger sein soll. Mit freundlichem Gruß DJN |
|
|
||
12.12.2003, 18:03
Moderator
Beiträge: 7805 |
#12
Das heisst nichts, das kannst du am einfachsten testen, indem du versuchst die Datei zu loeschen. Geht es -> inaktiv geht es nicht -> dann ist sie gerade aktiv.
Das Problem ist halt, das du nicht weisst, was die anderen Backdoors angerichtet haben, oder ob schon jemand sie von "Ausserhalb" gnutzt hat, sprich Daten veraendert. Und um dieses Risiko zu beseitigen, empfiehlt es sich, das System neu aufzusetzen. In wie weit es nun wirklich noetig ist, muss jeder selber entscheiden, aber es ist die sicherste Variante. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
12.12.2003, 18:07
...neu hier
Themenstarter Beiträge: 10 |
#13
ok, hab ich alles gemacht. Alle Trojaner sind gelöscht - mit Symantec.
log: Logfile of HijackThis v1.97.7 Scan saved at 18:05:33, on 12.12.2003 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Sygate\SPF\Smc.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\HP\KBD\KBD.EXE C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\0190 Warner\w0svc.exe C:\WINDOWS\System32\alg.exe D:\PROG2\IKARUS\GUARDNT\GUARDNT.EXE D:\Prog2\symantec\anti virus\AdvTools\NPROTECT.EXE C:\WINDOWS\System32\nvsvc32.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe C:\Programme\0190 Warner\Warn0190.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\(MeinName)\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: Popup Manager - {08E74C67-99A6-45C7-94DA-A397A8FD8082} - C:\Programme\Popup Manager\PopupMgr_1.0.1.5.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Prog2\symantec\anti virus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Prog2\symantec\anti virus\NavShExt.dll O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Anti-Trojan-Watch] C:\Programme\Anti-Trojan-55\ATWatch.exe O4 - HKLM\..\Run: [Guard NT] D:\PROG2\IKARUS\GUARDNT\GuardNT.exe /STARTDLG /CPYTOKEN O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [Advanced Tools Check] D:\Prog2\symantec\ANTIVI~1\AdvTools\ADVCHK.EXE O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - Startup: Tägliche Losungen.LNK = ? O4 - Global Startup: DSLMON.lnk = ? O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000 O9 - Extra button: Recherche-Assistent (HKLM) O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{0C4F1F17-5E70-4165-A1F0-2B995CA1230E}: NameServer = 217.5.100.1 194.25.2.129 O17 - HKLM\System\CS1\Services\Tcpip\..\{0C4F1F17-5E70-4165-A1F0-2B995CA1230E}: NameServer = 217.5.100.1 194.25.2.129 Ist das jetzt alles in Ordnung? und danke. Mit freundlichem Gruß DJN |
|
|
||
12.12.2003, 18:42
Moderator
Beiträge: 7805 |
#14
...und jetzt schnell nach www.windowsupdate.com updates herunterladen! Und zwar alle!
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
12.12.2003, 18:58
...neu hier
Themenstarter Beiträge: 10 |
#15
als ich das letzte mal einige updates installiert habe, hab ich einige fehler mit Win xp gehabt - darum habe ich diesmal keine Updates installiert.
hm, das sind ja ganz schön viele Updates - gut, dass man die auswählen kann - denn alle brauche ich nicht. Meinst du wirklich - dass das wichtig ist? und danke. Mit freundlichem Gruß DJN |
|
|
||
ich hab ja jetzt schon einiges über svchost.exe gehört. Trotzdem wollt ich das hier nochmal fragen und sicher gehen.
ich habe nach Norton Symantex Professional diese Trojaner auf meinem Computer:
Source: C:\WINDOWS\msto32.dll <--- Keylogger.Trojan
Source: C:\WINDOWS\svchost.exe <--- Backdoor.Togfer
Source: C:\WINDOWS\system32\svchostc.exe <--- Backdoor.Daemonize
Source: C:\WINDOWS\system32\svchosts.exe <--- Backdoor.Daemonize
Mein "Hejj Dings log" ist:
Logfile of HijackThis v1.97.7
Scan saved at 15:09:35, on 12.12.2003
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\Smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\HP\KBD\KBD.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\0190 Warner\w0svc.exe
C:\WINDOWS\System32\alg.exe
D:\PROG2\IKARUS\GUARDNT\GUARDNT.EXE
D:\Prog2\symantec\anti virus\AdvTools\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\0190 Warner\Warn0190.exe
D:\A Inhalt\dl\warner\0900Alarm.exe
G:\AlphaAudio\AlphaPlayer.exe
C:\WINDOWS\regedit.exe
D:\Prog2\Spybot - Search & Destroy\SpybotSD.exe
C:\WINDOWS\System32\svchosts.exe
C:\WINDOWS\System32\svchostc.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccLgView.exe
C:\Dokumente und Einstellungen\(MeinName)\Lokale Einstellungen\Temp\Temporäres Verzeichnis 3 für hijackthis.zip\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://srch-de3.hpwis.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://srch-de3.hpwis.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-de3.hpwis.com/
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe,C:\WINDOWS\System32\svcpack.exe
O1 - Hosts: 203.161.127.141 www.dcsresearch.com
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Popup Manager - {08E74C67-99A6-45C7-94DA-A397A8FD8082} - C:\Programme\Popup Manager\PopupMgr_1.0.1.5.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Prog2\symantec\anti virus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Prog2\symantec\anti virus\NavShExt.dll
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Online Service] C:\WINDOWS\svchost.exe
O4 - HKLM\..\Run: [Anti-Trojan-Watch] C:\Programme\Anti-Trojan-55\ATWatch.exe
O4 - HKLM\..\Run: [Guard NT] D:\PROG2\IKARUS\GUARDNT\GuardNT.exe /STARTDLG /CPYTOKEN
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] D:\Prog2\symantec\ANTIVI~1\AdvTools\ADVCHK.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: Tägliche Losungen.LNK = ?
O4 - Global Startup: DSLMON.lnk = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: Recherche-Assistent (HKLM)
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0C4F1F17-5E70-4165-A1F0-2B995CA1230E}: NameServer = 217.5.100.1 194.25.2.129
O17 - HKLM\System\CS1\Services\Tcpip\..\{0C4F1F17-5E70-4165-A1F0-2B995CA1230E}: NameServer = 217.5.100.1 194.25.2.129
und ich habe Win xp Home - das sollte auch noch wichtig sein.
Ich würde mich über eine helfende Antwort freuen.
MIt freundlichem Gruß
DJN