hi,
eine freundin von mir hatte einen Trojaner (leider unklar welchen) auf ihrem rechner, hat ihn (bzw. irgendeine befallene .exe datei) gelöscht. nun ist der rechner extrem langsam geworden. ich habe dann adaware und spybot installiert und jede menge malware gefunden und gefixt. jetzt gibt es folgendes hijack log, ist der rechner jetzt sauber?
Logfile of HijackThis v1.97.7
Scan saved at 12:06:04, on 04.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\HPConfig.exe
C:\Programme\HPQ\Notebook Utilities\HPWirelessMgr.exe
C:\WINDOWS\system32\tcpstat.exe
C:\WINDOWS\system32\svrany.exe
c:\windows\system32\mgmsrv32.exe
C:\WINDOWS\System32\WLTRYSVC.EXE
C:\WINDOWS\System32\bcmwltry.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\carpserv.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\HPQ\One-Touch\OneTouch.EXE
C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wuauclt.exe
D:\downloads\HijackThis.exe
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [Display Settings] C:\Programme\HPQ\Notebook Utilities\hptasks.exe /s
O4 - HKLM\..\Run: [QT4HPOT] C:\Programme\HPQ\One-Touch\OneTouch.EXE
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/200 ... taller.exe
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} - http://v4.windowsupdate.microsoft.com/C ... 3455555556
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shoc ... wflash.cab
vielen dank schon mal für´s draufgucken!
grüße, sven
Warum kostenlos registrieren?
Nur als registriertes Mitglied hast Du vollen Zugriff auf alle Funktionen unserer Website. So kannst Du eigene Fragen stellen und hast die volle Übersicht über neue interessante Themen im Forum.
Jetzt kostenlos registrieren.
Login
trojaner weg?
15 Beiträge • Seite 1 von 1
von Nikita am 04.11.2004, 16:45
Hallo@svister
Jotti's malware scan 2.4 - einzelne "exe" ueberpruefen
http://virusscan.jotti.dhs.org/
ueberpruefe bitte folgende exe:
<C:\WINDOWS\system32\tcpstat.exe [ttcpstat reports\TCP Monitor! ?]
<C:\WINDOWS\system32\svrany.exe [ FileMaker Pro database? ]
<c:\windows\system32\mgmsrv32.exe [Virus ?]
<C:\WINDOWS\System32\WLTRYSVC.EXE [ Broadcom Corporation Wireless Network Tray Applet ?]
<C:\WINDOWS\System32\bcmwltry.exe [ BroadCom's Wireless Network ?]
poste mir das Ergebnis.
Dann deinstalliere fuer 15 Tage deinen Virenscanner (wichtig) und lade
#Testversion "Antivirus Personal 5.0"
http://www.kaspersky.com/trials
http://www.kaspersky.com/trials?chapter=146481750
scanne im abgesicherten Modus.
Dann poste das Log noch mal.
mfg
Nikita
Jotti's malware scan 2.4 - einzelne "exe" ueberpruefen
http://virusscan.jotti.dhs.org/
ueberpruefe bitte folgende exe:
<C:\WINDOWS\system32\tcpstat.exe [ttcpstat reports\TCP Monitor! ?]
<C:\WINDOWS\system32\svrany.exe [ FileMaker Pro database? ]
<c:\windows\system32\mgmsrv32.exe [Virus ?]
<C:\WINDOWS\System32\WLTRYSVC.EXE [ Broadcom Corporation Wireless Network Tray Applet ?]
<C:\WINDOWS\System32\bcmwltry.exe [ BroadCom's Wireless Network ?]
poste mir das Ergebnis.
Dann deinstalliere fuer 15 Tage deinen Virenscanner (wichtig) und lade
#Testversion "Antivirus Personal 5.0"
http://www.kaspersky.com/trials
http://www.kaspersky.com/trials?chapter=146481750
scanne im abgesicherten Modus.
Dann poste das Log noch mal.
mfg
Nikita
Zuletzt geändert von Nikita am 05.11.2004, 14:08, insgesamt 6-mal geändert.
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
von svister am 05.11.2004, 12:11
hey nikita,
schon mal vielen dank im voraus, bin jetzt ein paar tage nicht da und werd mich darum kümmern wenn zurück;-)
viele grüße, sven
schon mal vielen dank im voraus, bin jetzt ein paar tage nicht da und werd mich darum kümmern wenn zurück;-)
viele grüße, sven
- svister
- Beiträge: 108
- Registriert: 13.07.2004, 09:39
so, das wurde gefunden...
von svister am 10.11.2004, 19:13
Hi,
drei von den Einträgen waren sauber und bei den anderen kam folgende Meldung:
Service load:
0% 100%
File: tcpstat.exe Status:
INFECTED/MALWARE (Note: only non-destructive malware has been found. Considering the non-destructive nature of samples like these - although they can be a pain in the ass -, results will not be stored in the database.)
Packers detected:
ASPACK
AntiVir
No viruses found (0.17 seconds taken)
Avast
No viruses found (1.51 seconds taken)
BitDefender
No viruses found (1.05 seconds taken)
ClamAV
No viruses found (0.36 seconds taken)
Dr.Web
BackDoor.Servu.5009 (0.60 seconds taken)
F-Prot Antivirus
No viruses found (0.06 seconds taken)
Kaspersky Anti-Virus
not-a-virus:RiskWare.FTP.Serv-U.5009 (0.76 seconds taken)
mks_vir
No viruses found (0.21 seconds taken)
NOD32
No viruses found (2.51 seconds taken)
Norman Virus Control
No viruses found (27.34 seconds taken)
Service load:
0% 100%
File: svrany.exe Status:
INFECTED/MALWARE (Note: only non-destructive malware has been found. Considering the non-destructive nature of samples like these - although they can be a pain in the ass -, results will not be stored in the database.)
Packers detected:
MORPHINE, UPX
AntiVir
No viruses found (0.15 seconds taken)
Avast
No viruses found (1.51 seconds taken)
BitDefender
No viruses found (0.41 seconds taken)
ClamAV
No viruses found (0.31 seconds taken)
Dr.Web
No viruses found (0.55 seconds taken)
F-Prot Antivirus
No viruses found (0.06 seconds taken)
Kaspersky Anti-Virus
not-a-virus:RiskWare.Tool.ServiceRunner.d (0.59 seconds taken)
mks_vir
No viruses found (0.20 seconds taken)
NOD32
No viruses found (0.36 seconds taken)
Norman Virus Control
No viruses found (0.13 seconds taken)
Was ist zu tun? Mit Hijack Fixen?
Gruss, Sven
drei von den Einträgen waren sauber und bei den anderen kam folgende Meldung:
Service load:
0% 100%
File: tcpstat.exe Status:
INFECTED/MALWARE (Note: only non-destructive malware has been found. Considering the non-destructive nature of samples like these - although they can be a pain in the ass -, results will not be stored in the database.)
Packers detected:
ASPACK
AntiVir
No viruses found (0.17 seconds taken)
Avast
No viruses found (1.51 seconds taken)
BitDefender
No viruses found (1.05 seconds taken)
ClamAV
No viruses found (0.36 seconds taken)
Dr.Web
BackDoor.Servu.5009 (0.60 seconds taken)
F-Prot Antivirus
No viruses found (0.06 seconds taken)
Kaspersky Anti-Virus
not-a-virus:RiskWare.FTP.Serv-U.5009 (0.76 seconds taken)
mks_vir
No viruses found (0.21 seconds taken)
NOD32
No viruses found (2.51 seconds taken)
Norman Virus Control
No viruses found (27.34 seconds taken)
Service load:
0% 100%
File: svrany.exe Status:
INFECTED/MALWARE (Note: only non-destructive malware has been found. Considering the non-destructive nature of samples like these - although they can be a pain in the ass -, results will not be stored in the database.)
Packers detected:
MORPHINE, UPX
AntiVir
No viruses found (0.15 seconds taken)
Avast
No viruses found (1.51 seconds taken)
BitDefender
No viruses found (0.41 seconds taken)
ClamAV
No viruses found (0.31 seconds taken)
Dr.Web
No viruses found (0.55 seconds taken)
F-Prot Antivirus
No viruses found (0.06 seconds taken)
Kaspersky Anti-Virus
not-a-virus:RiskWare.Tool.ServiceRunner.d (0.59 seconds taken)
mks_vir
No viruses found (0.20 seconds taken)
NOD32
No viruses found (0.36 seconds taken)
Norman Virus Control
No viruses found (0.13 seconds taken)
Was ist zu tun? Mit Hijack Fixen?
Gruss, Sven
- svister
- Beiträge: 108
- Registriert: 13.07.2004, 09:39
von Nikita am 10.11.2004, 19:20
Hallo@svister
Was du gescannt hast, ist.o.k.
Mich interessiert <c:\windows\system32\mgmsrv32.exe [Virus ?]
<Das eScan AV Toolkit (mwav.exe) herunterladen, oeffnen, aber nicht scannen
http://www.mwti.net/antivirus/free_utilities.asp
*
danach die "kavupd.exe" (automatisches Update ueber DOS) ausführen. (oder unter Start<Ausfuehren<%temp% die kavupd.exe suchen) und anklicken.
<gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/vi ... mode.shtml
und den Scanner mit der "mwav.exe" starten. Alle Häkchen setzen :
Auswählen: Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives
<und "Scan " klicken.
<Öffne die mwav.log -> Bearbeiten -> Suchen ->
Wenn man infizierte Dateien in dem eScan Log finden will, sollte man nach infected suchen und die Eintraege hier posten,
mfg
Nikita
Was du gescannt hast, ist.o.k.
Mich interessiert <c:\windows\system32\mgmsrv32.exe [Virus ?]
<Das eScan AV Toolkit (mwav.exe) herunterladen, oeffnen, aber nicht scannen
http://www.mwti.net/antivirus/free_utilities.asp
*
danach die "kavupd.exe" (automatisches Update ueber DOS) ausführen. (oder unter Start<Ausfuehren<%temp% die kavupd.exe suchen) und anklicken.
<gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/vi ... mode.shtml
und den Scanner mit der "mwav.exe" starten. Alle Häkchen setzen :
Auswählen: Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives
<und "Scan " klicken.
<Öffne die mwav.log -> Bearbeiten -> Suchen ->
Wenn man infizierte Dateien in dem eScan Log finden will, sollte man nach infected suchen und die Eintraege hier posten,
mfg
Nikita
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
von svister am 10.11.2004, 20:01
hi nikita,
bin jetzt an einem anderen rechner, auf dem problemkind läuft derzeit noch der scan, den du in deinem ersten posting empfohlen hast. als ich für den scan den rechner im abgesicherten modus hochgefahren habe, ist etwas wirklich unheimliches passiert. plötzlich gab es ein weiteres (passwortgeschütztes) Adminstrator - Konto, dass meine Freundin nicht eingerichtet hat. ich konnte es in der systemsteuerung auch nicht löschen, obwohl natürlich auch mit admin-rechten angemeldet. wir sind hier beide mit unseren rechnern in einem uni-netzwerk, kann sich da jemand reingehackt und ein eigenes konto angelegt haben? geht sowas? der rechner um den es geht ist erst ein paar monate alt, deswegen kann ich mir nicht vorstellen, dass es sich um ein `vergessenes´ konto handelt. vielleicht eine grundeinstellung aber warum dann mit passwort?
gruss sven
bin jetzt an einem anderen rechner, auf dem problemkind läuft derzeit noch der scan, den du in deinem ersten posting empfohlen hast. als ich für den scan den rechner im abgesicherten modus hochgefahren habe, ist etwas wirklich unheimliches passiert. plötzlich gab es ein weiteres (passwortgeschütztes) Adminstrator - Konto, dass meine Freundin nicht eingerichtet hat. ich konnte es in der systemsteuerung auch nicht löschen, obwohl natürlich auch mit admin-rechten angemeldet. wir sind hier beide mit unseren rechnern in einem uni-netzwerk, kann sich da jemand reingehackt und ein eigenes konto angelegt haben? geht sowas? der rechner um den es geht ist erst ein paar monate alt, deswegen kann ich mir nicht vorstellen, dass es sich um ein `vergessenes´ konto handelt. vielleicht eine grundeinstellung aber warum dann mit passwort?
gruss sven
- svister
- Beiträge: 108
- Registriert: 13.07.2004, 09:39
scan
von svister am 10.11.2004, 22:34
hi,
also kaspersky hat folgenden virus beim scan im abgesicherten modus gefunden und deleted: backdoor.win32.ftp.ioftpd.a
ich habe dann mit abgeschalteter systemwiederherstellung nen neustart gemacht und werde jetzt den rest angehen...
gruss, sven
also kaspersky hat folgenden virus beim scan im abgesicherten modus gefunden und deleted: backdoor.win32.ftp.ioftpd.a
ich habe dann mit abgeschalteter systemwiederherstellung nen neustart gemacht und werde jetzt den rest angehen...
gruss, sven
- svister
- Beiträge: 108
- Registriert: 13.07.2004, 09:39
von Nikita am 10.11.2004, 22:39
Hallo@svister
Ist es ein privater PC ? Von wem wurde Windows installiert ? Von deiner Freundin ?
mfg
Nikita
Ist es ein privater PC ? Von wem wurde Windows installiert ? Von deiner Freundin ?
mfg
Nikita
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
von Nikita am 10.11.2004, 22:41
<c:\windows\system32\mgmsrv32.exe
ist bestimmt das hier....loesche , was der eScan angezeigt hat im abgesicherten Modus.
Am Besten waere allerdings eine Neuinstallation, denn ein Backdoor kann so einiges "anrichten" und der PC ist niemals mehr sicher.
_____________________________________________________________
#Backdoor Functionality
http://www.trojaner-board.de/showpost.p ... ostcount=9
#Wenn ein System kompromittiert wurde, ist das System nicht mehr vertrauenswürdig
http://oschad.de/wiki/index.php/Kompromittierung
Neuinstallation XP
http://8ung.at/chemikers-home/SETUP.html
1.) Neu formatieren und installieren
2.) Ein eingeschränktes Benutzerkonto anlegen, mit dem gesurft wird, NICHT mit dem Administratorkonto ins Netz gehen
3). VOR der ersten Onlineverbindung die XP-Firewall für die Verbindung aktivieren
http://www.dirks-computerecke.de/window ... rewall.htm
4.) Ebenfalls VOR dem Onlinegehen unnötige Dienste deaktivieren siehe
#NT- Dienste sicher konfigurieren http://www.ntsvcfg.de/ oder www.dingens.org
5)Antivirus installieren, oder Kaspersky oder eScan oder F-Prot mit integrierter Firewall
6.)Danach zuerst www.windowsupdate.com besuchen und alle Updates installieren
mfg
Nikita
ist bestimmt das hier....loesche , was der eScan angezeigt hat im abgesicherten Modus.
Am Besten waere allerdings eine Neuinstallation, denn ein Backdoor kann so einiges "anrichten" und der PC ist niemals mehr sicher.
_____________________________________________________________
#Backdoor Functionality
http://www.trojaner-board.de/showpost.p ... ostcount=9
#Wenn ein System kompromittiert wurde, ist das System nicht mehr vertrauenswürdig
http://oschad.de/wiki/index.php/Kompromittierung
Neuinstallation XP
http://8ung.at/chemikers-home/SETUP.html
1.) Neu formatieren und installieren
2.) Ein eingeschränktes Benutzerkonto anlegen, mit dem gesurft wird, NICHT mit dem Administratorkonto ins Netz gehen
3). VOR der ersten Onlineverbindung die XP-Firewall für die Verbindung aktivieren
http://www.dirks-computerecke.de/window ... rewall.htm
4.) Ebenfalls VOR dem Onlinegehen unnötige Dienste deaktivieren siehe
#NT- Dienste sicher konfigurieren http://www.ntsvcfg.de/ oder www.dingens.org
5)Antivirus installieren, oder Kaspersky oder eScan oder F-Prot mit integrierter Firewall
6.)Danach zuerst www.windowsupdate.com besuchen und alle Updates installieren
mfg
Nikita
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
von svister am 11.11.2004, 00:20
hi,
ojeh, das hört sich nicht gut an. der av-scan hat nichts mehr gefunden, nur einige (32) errors gemeldet. trotzdem neu installieren? der rechner wurde von einem anderen bekannten eingerichtet. es ist ein privater rechner, der über eine uni-standleitung im netz ist.
viele grüße und danke für die hilfe, sven
ps: das mit dem zusätzlichen Administratorkonto hat sich geklärt, scheint wohl immer eins zu geben, das nur im abgesichrten modus oder wenn es kein anderes konto mit admin rechten gibt, auftaucht?
ojeh, das hört sich nicht gut an. der av-scan hat nichts mehr gefunden, nur einige (32) errors gemeldet. trotzdem neu installieren? der rechner wurde von einem anderen bekannten eingerichtet. es ist ein privater rechner, der über eine uni-standleitung im netz ist.
viele grüße und danke für die hilfe, sven
ps: das mit dem zusätzlichen Administratorkonto hat sich geklärt, scheint wohl immer eins zu geben, das nur im abgesichrten modus oder wenn es kein anderes konto mit admin rechten gibt, auftaucht?
- svister
- Beiträge: 108
- Registriert: 13.07.2004, 09:39
von Nikita am 11.11.2004, 00:47
Hallo@svister
Es gibt immer ein Adm-Konto im abges. Modus und das andere Konto ist nur eingeschraenkt nutzbar...deshalb auch sicherer.
Es ist gut moeglich, dass bei der Installtion zwei Adm.-Konten eingerichtet wurden.
Wenn es der "Besitzer" des Backdoors war, dann haette er das Passwort wissen muessen, um ein neues Konto einrichten zu koennen.
Das ist natuerlich sehr schwer zu knacken, aber mich ueberrascht schon garnichts mehr.
Wenn der eScan nichts mehr anzeigt und ihr sowieso kein Online-Banking oder aehnliches macht, dann brauchst du nicht neu zu installieren.
ist die :
c:\windows\system32\mgmsrv32.exe weg ?
Gruss
Nikita
Es gibt immer ein Adm-Konto im abges. Modus und das andere Konto ist nur eingeschraenkt nutzbar...deshalb auch sicherer.
Es ist gut moeglich, dass bei der Installtion zwei Adm.-Konten eingerichtet wurden.
Wenn es der "Besitzer" des Backdoors war, dann haette er das Passwort wissen muessen, um ein neues Konto einrichten zu koennen.
Das ist natuerlich sehr schwer zu knacken, aber mich ueberrascht schon garnichts mehr.
Wenn der eScan nichts mehr anzeigt und ihr sowieso kein Online-Banking oder aehnliches macht, dann brauchst du nicht neu zu installieren.
ist die :
c:\windows\system32\mgmsrv32.exe weg ?
Gruss
Nikita
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
von svister am 11.11.2004, 15:47
hi nikita,
nö, die ist immer noch da. aber ich hatte sie je auch anfangs auf der von dir verlinkten seite gecheckt und dort hieß es : OK.
ich habe jetzt folgendes gemacht:
Outpost installiert und antivir neu (kaspersky in der tryout version lief nicht richtig).
Dienste abgestellt,
Stefaniegeraten alle Passwörter (sie macht auch onlinebanking) zu ändern (von einem anderen rechner)
hier nochmal ein aktuelles log:
Logfile of HijackThis v1.97.7
Scan saved at 14:41:51, on 11.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\HPConfig.exe
C:\Programme\HPQ\Notebook Utilities\HPWirelessMgr.exe
C:\WINDOWS\system32\svrany.exe
C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe
c:\windows\system32\mgmsrv32.exe
C:\WINDOWS\System32\WLTRYSVC.EXE
C:\WINDOWS\System32\bcmwltry.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\carpserv.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\HPQ\One-Touch\OneTouch.EXE
C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wuauclt.exe
D:\downloads\HijackThis.exe
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [Display Settings] C:\Programme\HPQ\Notebook Utilities\hptasks.exe /s
O4 - HKLM\..\Run: [QT4HPOT] C:\Programme\HPQ\One-Touch\OneTouch.EXE
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Outpost Firewall] "C:\Programme\Agnitum\Outpost Firewall 1.0\outpost.exe" /waitservice
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/200 ... taller.exe
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} - http://v4.windowsupdate.microsoft.com/C ... 3455555556
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shoc ... wflash.cab
würde man denn einen eventuell installierten keylogger o.ä. finden?
oder geht das nicht? wenn nein, ist ja eigentlich eine neuinst. nicht zu vermeiden oder?
Gruss, sven
nö, die ist immer noch da. aber ich hatte sie je auch anfangs auf der von dir verlinkten seite gecheckt und dort hieß es : OK.
ich habe jetzt folgendes gemacht:
Outpost installiert und antivir neu (kaspersky in der tryout version lief nicht richtig).
Dienste abgestellt,
Stefaniegeraten alle Passwörter (sie macht auch onlinebanking) zu ändern (von einem anderen rechner)
hier nochmal ein aktuelles log:
Logfile of HijackThis v1.97.7
Scan saved at 14:41:51, on 11.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\HPConfig.exe
C:\Programme\HPQ\Notebook Utilities\HPWirelessMgr.exe
C:\WINDOWS\system32\svrany.exe
C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe
c:\windows\system32\mgmsrv32.exe
C:\WINDOWS\System32\WLTRYSVC.EXE
C:\WINDOWS\System32\bcmwltry.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\carpserv.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\HPQ\One-Touch\OneTouch.EXE
C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wuauclt.exe
D:\downloads\HijackThis.exe
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [Display Settings] C:\Programme\HPQ\Notebook Utilities\hptasks.exe /s
O4 - HKLM\..\Run: [QT4HPOT] C:\Programme\HPQ\One-Touch\OneTouch.EXE
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Outpost Firewall] "C:\Programme\Agnitum\Outpost Firewall 1.0\outpost.exe" /waitservice
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/200 ... taller.exe
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} - http://v4.windowsupdate.microsoft.com/C ... 3455555556
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shoc ... wflash.cab
würde man denn einen eventuell installierten keylogger o.ä. finden?
oder geht das nicht? wenn nein, ist ja eigentlich eine neuinst. nicht zu vermeiden oder?
Gruss, sven
- svister
- Beiträge: 108
- Registriert: 13.07.2004, 09:39
von Nikita am 11.11.2004, 15:59
Hallo@svister
1.Das ist ein Virus...ganz bestimmt:
c:\windows\system32\mgmsrv32.exe
Klicke mal die exe mit rechtem Mausclick an-->>Eigenschaften
und berichte, was du findest.
Mache folgendes:
<Das eScan AV Toolkit (mwav.exe) herunterladen, oeffnen, aber nicht scannen
http://www.mwti.net/antivirus/free_utilities.asp
*
danach die "kavupd.exe" (automatisches Update ueber DOS) ausführen. (oder unter Start<Ausfuehren<%temp% die kavupd.exe suchen) und anklicken.
<gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/vi ... mode.shtml
und den Scanner mit der "mwav.exe" starten. Alle Häkchen setzen :
Auswählen: Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives
<und "Scan " klicken.
<Öffne die mwav.log -> Bearbeiten -> Suchen ->
Wenn man infizierte Dateien in dem eScan Log finden will, sollte man nach infected suchen und die Eintraege hier posten
mfg
Nikita
1.Das ist ein Virus...ganz bestimmt:
c:\windows\system32\mgmsrv32.exe
Klicke mal die exe mit rechtem Mausclick an-->>Eigenschaften
und berichte, was du findest.
Mache folgendes:
<Das eScan AV Toolkit (mwav.exe) herunterladen, oeffnen, aber nicht scannen
http://www.mwti.net/antivirus/free_utilities.asp
*
danach die "kavupd.exe" (automatisches Update ueber DOS) ausführen. (oder unter Start<Ausfuehren<%temp% die kavupd.exe suchen) und anklicken.
<gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/vi ... mode.shtml
und den Scanner mit der "mwav.exe" starten. Alle Häkchen setzen :
Auswählen: Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives
<und "Scan " klicken.
<Öffne die mwav.log -> Bearbeiten -> Suchen ->
Wenn man infizierte Dateien in dem eScan Log finden will, sollte man nach infected suchen und die Eintraege hier posten
mfg
Nikita
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
von svister am 11.11.2004, 17:23
hallo,
also im den eigenschaften wird folgendes für das teil angegeben:
Proxy server & cache for Win/95/98/Me/NT4/NT2
den e-scan hatte ich ja schon gemacht. der hat nicht gefunden, wie gesagt einige errors aber nichts iniziertes.
nochmal machen?
lg, sven
ps.: bin übers wochenende wieder zuhaus (d.h. fern vom rechner meiner freundin...) nicht wundern, wenn ich mich erst am dienstag wieder melde;-)
also im den eigenschaften wird folgendes für das teil angegeben:
Proxy server & cache for Win/95/98/Me/NT4/NT2
den e-scan hatte ich ja schon gemacht. der hat nicht gefunden, wie gesagt einige errors aber nichts iniziertes.
nochmal machen?
lg, sven
ps.: bin übers wochenende wieder zuhaus (d.h. fern vom rechner meiner freundin...) nicht wundern, wenn ich mich erst am dienstag wieder melde;-)
- svister
- Beiträge: 108
- Registriert: 13.07.2004, 09:39
von Nikita am 11.11.2004, 17:53
Hallo@svister
Wenn ihr einen Proxy habt...dann ist alles in Ordnung.
Schoenes Wochenende
mfg
Nikita
Wenn ihr einen Proxy habt...dann ist alles in Ordnung.
Schoenes Wochenende
mfg
Nikita
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
15 Beiträge • Seite 1 von 1
Ähnliche Themen
| Kann zwei Trojaner nicht löschen! Forum: Online- und PC-Sicherheit Autor: istud Antworten: |
Hilfe Trojaner Forum: Online- und PC-Sicherheit Autor: Anonymous Antworten: |
Trojaner Forum: Online- und PC-Sicherheit Autor: AbcAeffchen Antworten: |
Trojaner scanner Forum: Online- und PC-Sicherheit Autor: AbcAeffchen Antworten: |
Trojaner als Spamroboter entdeckt Forum: Aktuelles und News (hier sind die Forenregeln) Autor: schwedenmann Antworten: |
Zurück zu Online- und PC-Sicherheit
Wer ist online?
Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste