Hallo allerseits,
hab seit Samstag das Backdoor problem. beim start von windows meldet sich antivir 3x das er backdoor prorat gefunden hat, löschen oder quarantene bringen nichts nach jedem start die gleiche warnmeldung. herunterfahren oder neustart dauert arg lang und bekomme jedesmal die meldung eingeblendet dass services.exe nicht reagiert. Bitte um Hilfe auch wenn heute ein Feiertag sein sollte tut es mir leid!!!Vielen Dank im voraus
Logfile of HijackThis v1.99.1
Scan saved at 15:09:10, on 28.03.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
d:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\services.exe
C:\WINDOWS\services.exe
C:\WINDOWS\services.exe
C:\WINDOWS\system32\ctfmon.exe
D:\HiJack\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\fservice.exe
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~1\Yahoo!\COMPAN~1\Installs\cpn\ycomp5_3_18_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - D:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - d:\Programme\FlashFXP\IEFlash.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - D:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\COMPAN~1\Installs\cpn\ycomp5_3_18_0.dll
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [AVGCtrl] "d:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Alles mit FlashGet laden - D:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - D:\Programme\FlashGet\jc_link.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Programme\Yahoo!\Messenger\yhexbmes.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Programme\Yahoo!\Messenger\yhexbmes.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v ... 6770728078
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - d:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - d:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - d:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR1\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - d:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR1\RpcSandraSrv.exe
Warum kostenlos registrieren?
Nur als registriertes Mitglied hast Du vollen Zugriff auf alle Funktionen unserer Website. So kannst Du eigene Fragen stellen und hast die volle Übersicht über neue interessante Themen im Forum.
Jetzt kostenlos registrieren.
Login
Bitte unbedingt anschauen -Hijack this- BDS/Prorat.19.l.3
4 Beiträge • Seite 1 von 1
von Yourhighness am 02.04.2005, 00:49
Hi!
Ja der Computer ist damit infiziert.
Da bin ich mir aber ned ganz sicher. Werd Nikita mal um Rat bitten...
MfG,
Ja der Computer ist damit infiziert.
Troj/Prorat-I ist eine Backdoor, die unbefugten Zugriff auf und die Steuerung über den Computer von einem remoten Netzwerk-Speicherort aus ermöglicht.
Die Komponente wininv.dll versteckt den Trojanerprozess in der Prozessliste, so dass der Trojanerprozess im Task-Manager nicht sichtbar ist. Die Komponente winkey.dll speichert Tastenfolgen, die in Anwendungsfenstern eingegeben wurden.
Troj/Prorat-I wendet auch Anti-Entfernungs-Tricks an, so dass es schwierig ist, den Trojanerprozess zu beenden. Außerdem überwacht der Trojaner die oben genannten Registrierungseinträge und erstellt sie erneut, wenn sie in ihren früheren Zustand wiederhergestellt wurden.
Der Trojaner meldet die Infektion an eine Website.
Da bin ich mir aber ned ganz sicher. Werd Nikita mal um Rat bitten...
MfG,
- Yourhighness
von Nikita am 02.04.2005, 01:10
Hallo@columbus
Gehe in die Registry
Start<Ausfuehren<regedit
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
loesche mit rechtsklick:
DirectX For Microsoft® Windows = C:\WINDOWS\system32\fservice.exe
<HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell = Explorer.exe \\\loesche diesesn Eintrag mit rechtsklick: C:\WINDOWS\system32\fservice.exe
<HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\
loesche:
(5Y99AE78-58TT-11dW-BE53-Y67078979Y)\
StubPath = "C:\WINDOWS\system32\sservice.exe"
schliesse die Registry
_______________________________________________________
#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\fservice.exe
PC neustarten
•KillBox
http://www.bleepingcomputer.com/files/killbox.php
•Delete File on Reboot <--anhaken
und klick auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"
C:\WINDOWS\system32\fservice.exe
C:\windows\system\sservice.exe
C:\windows\system32\wininv.dll
C:\windows\system32\winkey.dll
C:\WINDOWS\services.exe
PC neustarten
•Download NOD32 Antivirus System
http://www.nod32.de/download/download.php
Man sollte jedoch darauf achten, dass man die Einstellungen
dahingehend ändert das ALLE DATEIEN durchsucht werden.
Voreingestellt sind nur bestimmte Dateitypen.
und poste das neue Log vom HijackThis
Gehe in die Registry
Start<Ausfuehren<regedit
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
loesche mit rechtsklick:
DirectX For Microsoft® Windows = C:\WINDOWS\system32\fservice.exe
<HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell = Explorer.exe \\\loesche diesesn Eintrag mit rechtsklick: C:\WINDOWS\system32\fservice.exe
<HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\
loesche:
(5Y99AE78-58TT-11dW-BE53-Y67078979Y)\
StubPath = "C:\WINDOWS\system32\sservice.exe"
schliesse die Registry
_______________________________________________________
#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\fservice.exe
PC neustarten
•KillBox
http://www.bleepingcomputer.com/files/killbox.php
•Delete File on Reboot <--anhaken
und klick auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"
C:\WINDOWS\system32\fservice.exe
C:\windows\system\sservice.exe
C:\windows\system32\wininv.dll
C:\windows\system32\winkey.dll
C:\WINDOWS\services.exe
PC neustarten
•Download NOD32 Antivirus System
http://www.nod32.de/download/download.php
Man sollte jedoch darauf achten, dass man die Einstellungen
dahingehend ändert das ALLE DATEIEN durchsucht werden.
Voreingestellt sind nur bestimmte Dateitypen.
und poste das neue Log vom HijackThis
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
von columbus am 09.04.2005, 17:23
dank für die antwort aber da zulange zeit vergangen ist seit ich den trojaner hatte war ich gezwungen alles zu formatieren. seit bitte nicht böse aber immerhin ist ne woche vergangen war damit beschäftigt alles neu einzurichten vielen dank an dieser stelle nochmal an alle die geholfen haben.
- columbus
- Beiträge: 8
- Registriert: 28.03.2005, 15:11
4 Beiträge • Seite 1 von 1
Ähnliche Themen
| HILFE ALLE MEINE ORDNERBERECHTIGUNG SIND WEG HILFE BITTE Forum: Hardware-Hilfe Autor: Anonymous Antworten: |
brauche BITTE mal ganz dringend hilfe!!! Forum: Software-Hilfe Autor: blue-sky Antworten: |
USB Hub tot?? Bitte um hilfe!! Forum: Hardware-Hilfe Autor: Ponny2 Antworten: |
CRC- Check bitte dringend Hilfe Forum: Hardware-Hilfe Autor: Anonymous Antworten: |
pc geht garnicht erst an! bitte dringend um hilfe! Forum: Hardware-Hilfe Autor: nicbar Antworten: |
Zurück zu Online- und PC-Sicherheit
Wer ist online?
Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste