hilfe, hab sich selber mit nem troyaner infinziert

maxer · 7. Dezember 2006

hallo kollegen, ich hab vorhin ein wenig mit cia 1.3 rumgespielt
und mich selber infiziert dabei muss ich was geklickt haben
was man nicht sollte und nun kann ich meinen taskmanager net mehr
öffnen und zb. das update meines antivir geht nicht mehr.

brauche hilfe, am besten ohne formatieren !

PHP:

  Logfile of HijackThis v1.99.1
Scan saved at 23 : 36 : 57 ,  on 07.12.2006
Platform :  Windows XP SP2  ( WinNT 5.01.2600 )
  MSIE :  Internet Explorer v6.00 SP2  ( 6.00.2900.2180 )
 
  Running processes :
  C :\ WINDOWS \ System32 \ smss . exe
C :\ WINDOWS \ system32 \ csrss . exe
C :\ WINDOWS \ system32 \ winlogon . exe
C :\ WINDOWS \ system32 \ services . exe
C :\ WINDOWS \ system32 \ lsass . exe
C :\ WINDOWS \ system32 \ svchost . exe
C :\ WINDOWS \ system32 \ svchost . exe
C :\ WINDOWS \ System32 \ svchost . exe
C :\ Programme \ TGTSoft \ StyleXP \ StyleXPService . exe
C :\ WINDOWS \ System32 \ svchost . exe
C :\ WINDOWS \ System32 \ svchost . exe
C :\ WINDOWS \ system32 \ spoolsv . exe
c :\ progra ~ 1 \0190 wa ~ 1 \ w0svc . exe
C :\ Dokumente und Einstellungen \ user \ Eigene Dateien \ Programme_Setups \ Programme \ Antivir \ AntiVir PersonalEdition Classic \ avguard . exe
C :\ WINDOWS \ SYSTEM32 \ GEARSEC . EXE
C :\ Programme \ CA \ SharedComponents \ CA_LIC \ LogWatNT . exe
C :\ Programme \ Gemeinsame Dateien \ Microsoft Shared \ VS7Debug \ mdm . exe
C :\ WINDOWS \ System32 \ svchost . exe
C :\ WINDOWS \ system32 \ wdfmgr . exe
C :\ Dokumente und Einstellungen \ user \ Eigene Dateien \ Programme_Setups \ Programme \ VNC \ VNC4 \ WinVNC4 . exe
C :\ WINDOWS \ Explorer . exe
C :\ PROGRA ~ 1 \0190 WA ~ 1 \ WARN0190 . EXE
C :\ WINDOWS \ SOUNDMAN . EXE
C :\ Dokumente und Einstellungen \ user \ Eigene Dateien \ Programme_Setups \ Programme \ Antivir \ AntiVir PersonalEdition Classic \ avgnt . exe
C :\ Dokumente und Einstellungen \ user \ Eigene Dateien \ Programme_Setups \ Programme \ FreeRam X Pro 1.40 \ FreeRam \ FreeRAM XP Pro 1.40 . exe
C :\ Dokumente und Einstellungen \ user \ Eigene Dateien \ Programme_Setups \ Programme \ DynDNS Updater \ DynDNS Updater \ DynDNS . exe
C :\ WINDOWS \ system32 \ ctfmon . exe
C :\ Programme \ internet explorer \ iexplore . exe
C :\ WINDOWS \ system32 \ wscntfy . exe
C :\ Programme \ ArcorOnline \ Arcor . exe
C :\ Dokumente und Einstellungen \ user \ Eigene Dateien \ Programme_Setups \ Programme \ ICQ \ ICQLite \ ICQLite . exe
C :\ Dokumente und Einstellungen \ user \ Eigene Dateien \ Programme_Setups \ Programme \ Mozilla Firefox 1.5x \ firefox . exe
C :\ Programme \ Skype \ Phone \ Skype . exe
C :\ Dokumente und Einstellungen \ user \ Eigene Dateien \ Programme_Setups \ Programme \ FTP \ sft . Loader -\ SFT Loader \ leecher . exe
C :\ Dokumente und Einstellungen \ user \ Desktop \ HijackThis . exe
 
R1  -  HKCU \ Software \ Microsoft \ Internet Explorer \ Main , Search Bar  =  http : //google.icq.com/search/search_frame.php
  R1  -  HKCU \ Software \ Microsoft \ Internet Explorer \ Main , Search Page  =  http : //google.icq.com
  R0  -  HKCU \ Software \ Microsoft \ Internet Explorer \ Main , Start Page  =  http : //www.google.de
  R1  -  HKLM \ Software \ Microsoft \ Internet Explorer \ Main , Default_Page_URL  =  http : //www.arcor.de
  R1  -  HKLM \ Software \ Microsoft \ Internet Explorer \ Main , Default_Search_URL  =  http : //www.arcor.de
  R1  -  HKLM \ Software \ Microsoft \ Internet Explorer \ Main , Search Page  =  http : //www.arcor.de
  R0  -  HKLM \ Software \ Microsoft \ Internet Explorer \ Main , Start Page  =  http : //www.arcor.de
  R1  -  HKCU \ Software \ Microsoft \ Internet Explorer \ Main , Window Title  =  Arcor AG  &  Co .  KG
R3  -  URLSearchHook : ( no name ) - { 855F3B16 - 6D32 - 4fe6 - 8A56 - BBB695989046 } - ( no file )
  F2  -  REG : system . ini :  Shell = Explorer . exe C :\ WINDOWS \ system32 \ scvhost . exe
F3  -  REG : win . ini :  load = C :\ WINDOWS \ system32 \ scvhost . exe
F3  -  REG : win . ini :  run = C :\ WINDOWS \ system32 \ scvhost . exe
O2  -  BHO :  AcroIEHlprObj  Class - { 06849E9F - C8D7 - 4D59 - B87D - 784B7D6BE0B3 } -  C :\ Programme \ Adobe \ Acrobat 6.0 \ Reader \ ActiveX \ AcroIEHelper . dll
O2  -  BHO : ( no name ) - { 53707962 - 6F74 - 2D53 - 2644 - 206D7942484F } -  C :\ DOKUME ~ 1 \ user ~ 1 \ EIGENE ~ 1 \ PROGRA ~ 1 \ PROGRA ~ 1 \ SPYBOT ~ 1.3 \ SPYBOT ~ 1 \ SDHelper . dll
O2  -  BHO : 0190/0900  Warner Browser Helper  - { D2F63D33 - C571 - 41E9 - 9525 - A17CA1804D3B } -  C :\ Programme \0190 wa ~ 1 \ whelper1 . dll
O2  -  BHO :  FlashFXP Helper  for  Internet Explorer  - { E5A1691B - D188 - 4419 - AD02 - 90002030B8EE } -  C :\ DOKUME ~ 1 \ user ~ 1 \ EIGENE ~ 1 \ PROGRA ~ 1 \ PROGRA ~ 1 \ FLASH -~ 1 \ IEFlash . dll
O3  -  Toolbar :  MSN Toolbar  - { BDAD1DAD - C946 - 4A17 - ADC1 - 64B5B4FF55D0 } -  C :\ Programme \ MSN Toolbar \ 01.01.2607.0 \ de \ msntb . dll
O4  -  HKLM \..\ Run : [0190  Warner ]  C :\ PROGRA ~ 1 \0190 WA ~ 1 \ WARN0190 . EXE
O4  -  HKLM \..\ Run : [ SoundMan ]  SOUNDMAN . EXE
O4  -  HKLM \..\ Run : [ avgnt ]  "C:\Dokumente und Einstellungen\user\Eigene Dateien\Programme_Setups\Programme\Antivir\AntiVir PersonalEdition Classic\avgnt.exe"  / min
O4  -  HKLM \..\ Run : [ Generic Host Process ]  C :\ WINDOWS \ system32 \ scvhost . exe
O4  -  HKLM \..\ RunServices : [ Generic Host Process ]  C :\ WINDOWS \ system32 \ scvhost . exe
O4  -  HKCU \..\ Run : [ FreeRAM XP ]  "C:\Dokumente und Einstellungen\user\Eigene Dateien\Programme_Setups\Programme\FreeRam X Pro 1.40\FreeRam\FreeRAM XP Pro 1.40.exe"  - win
O4  -  HKCU \..\ Run : [ DynDNS Updater ]  "C:\Dokumente und Einstellungen\user\Eigene Dateien\Programme_Setups\Programme\DynDNS Updater\DynDNS Updater\DynDNS.exe"
  O4  -  HKCU \..\ Run : [ ctfmon . exe ]  C :\ WINDOWS \ system32 \ ctfmon . exe
O4  -  HKCU \..\ RunOnce : [ ICQ Lite ]  C :\ Dokumente und Einstellungen \ user \ Eigene Dateien \ Programme_Setups \ Programme \ ICQ \ ICQLite \ ICQLite . exe  - trayboot
O7  -  HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System ,  DisableRegedit = 1
O8  -  Extra context menu item : & ICQ Toolbar Search  -  res : //C:\Dokumente und Einstellungen\user\Eigene Dateien\Programme_Setups\Programme\ICQ\ICQToolbar\toolbaru.dll/SEARCH.HTML
  O8  -  Extra context menu item :  Download with NetPumper  -  C :\ Dokumente und Einstellungen \ user \ Eigene Dateien \ Programme_Setups \ Programme \ FTP \ NetPumper \ NetPumper \ AddUrl . htm
O9  -  Extra button : ( no name ) - {08 B0E5C0 - 4FCB - 11CF - AAA5 - 00401C608501 } -  C :\ Programme \ Java \ jre1.5.0_01 \ bin \ npjpi150_01 . dll
O9  -  Extra  'Tools'  menuitem :  Sun Java Konsole  - {08 B0E5C0 - 4FCB - 11CF - AAA5 - 00401C608501 } -  C :\ Programme \ Java \ jre1.5.0_01 \ bin \ npjpi150_01 . dll
O9  -  Extra button :  Recherche - Assistent  - { 9455301C - CF6B - 11D3 - A266 - 00C04F689C50 } -  C :\ Programme \ Gemeinsame Dateien \ Microsoft Shared \ Encarta Researcher \ EROPROJ . DLL
O9  -  Extra button : ( no name ) - { B205A35E - 1FC4 - 4CE3 - 818B - 899DBBB3388C } -  C :\ Programme \ Gemeinsame Dateien \ Microsoft Shared \ Encarta Search Bar \ ENCSBAR . DLL
O9  -  Extra button :  PartyPoker . com  - { B7FE5D70 - 9AA2 - 40F1 - 9C6B - 12A255F085E1 } -  C :\ Dokumente und Einstellungen \ user \ Eigene Dateien \ Programme_Setups \ Programme \ PartyPoker \ PartyPoker \ RunApp . exe
O9  -  Extra  'Tools'  menuitem :  PartyPoker . com  - { B7FE5D70 - 9AA2 - 40F1 - 9C6B - 12A255F085E1 } -  C :\ Dokumente und Einstellungen \ user \ Eigene Dateien \ Programme_Setups \ Programme \ PartyPoker \ PartyPoker \ RunApp . exe
O9  -  Extra button :  ICQ Lite  - { B863453A - 26C3 - 4e1f - A54D - A2CD196348E9 } -  C :\ DOKUME ~ 1 \ user ~ 1 \ EIGENE ~ 1 \ PROGRA ~ 1 \ Programme \ ICQ \ ICQLite \ ICQLite . exe
O9  -  Extra  'Tools'  menuitem :  ICQ Lite  - { B863453A - 26C3 - 4e1f - A54D - A2CD196348E9 } -  C :\ DOKUME ~ 1 \ user ~ 1 \ EIGENE ~ 1 \ PROGRA ~ 1 \ Programme \ ICQ \ ICQLite \ ICQLite . exe
O9  -  Extra button :  Real . com  - { CD67F990 - D8E9 - 11d2 - 98FE - 00C0F0318AFE } -  C :\ WINDOWS \ System32 \ Shdocvw . dll
O16  -  DPF : { 14B87622 - 7E19 - 4EA8 - 93B3 - 97215F77A6BC } ( MessengerStatsClient  Class) -  http : //messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
  O16  -  DPF : { B8BE5E93 - A60C - 4D26 - A2DC - 220313175592 } ( ZoneIntro  Class) -  http : //messenger.zone.msn.com/binary/ZIntro.cab32846.cab
  O17  -  HKLM \ System \ CCS \ Services \ Tcpip \..\{ 85E596BA - 3D2B - 4B7C - 8BD9 - 16CB979AEF3C }:  NameServer  =  195.50.140.252 195.50.140.114
O18  -  Protocol :  livecall  - { 828030A1 - 22C1 - 4009 - 854F - 8E305202313F } -  C :\ PROGRA ~ 1 \ MSNMES ~ 1 \ MSGRAP ~ 1.DLL
O18  -  Protocol :  msnim  - { 828030A1 - 22C1 - 4009 - 854F - 8E305202313F } -  C :\ PROGRA ~ 1 \ MSNMES ~ 1 \ MSGRAP ~ 1.DLL
O20  -  Winlogon Notify :  WBSrv  -  C :\ DOKUME ~ 1 \ user ~ 1 \ EIGENE ~ 1 \ PROGRA ~ 1 \ PROGRA ~ 1 \ WINDOW ~ 1 \ WINDOW ~ 1 \ wbsrv . dll
O23  -  Service : 0190/0900  Warner Überwachungsdienst  (0190 _0900_Warner_MonitorService ) -  Mirko Böer  -  c :\ progra ~ 1 \0190 wa ~ 1 \ w0svc . exe
O23  -  Service :  Adobe LM Service  -  Adobe Systems  -  C :\ Programme \ Gemeinsame Dateien \ Adobe Systems Shared \ Service \ Adobelmsvc . exe
O23  -  Service :  AntiVir Scheduler  ( AntiVirScheduler ) -  Avira GmbH  -  C :\ Dokumente und Einstellungen \ user \ Eigene Dateien \ Programme_Setups \ Programme \ Antivir \ AntiVir PersonalEdition Classic \ sched . exe
O23  -  Service :  AntiVir PersonalEdition Classic Service  ( AntiVirService ) -  AVIRA GmbH  -  C :\ Dokumente und Einstellungen \ user \ Eigene Dateien \ Programme_Setups \ Programme \ Antivir \ AntiVir PersonalEdition Classic \ avguard . exe
O23  -  Service :  AOL Connectivity Service  ( AOL ACS ) -  Unknown owner  -  C :\ PROGRA ~ 1 \ GEMEIN ~ 1 \ aol \ ACS \ AOLacsd . exe  ( file missing )
  O23  -  Service :  CA - Lizenz - Client  ( CA_LIC_CLNT ) -  Computer Associates  -  C :\ Programme \ CA \ SharedComponents \ CA_LIC \ lic98rmt . exe
O23  -  Service :  CA - Lizenzserver  ( CA_LIC_SRVR ) -  Computer Associates  -  C :\ Programme \ CA \ SharedComponents \ CA_LIC \ lic98rmtd . exe
O23  -  Service :  GEARSecurity  -  GEAR Software  -  C :\ WINDOWS \ SYSTEM32 \ GEARSEC . EXE
O23  -  Service :  IMAPI CD - Burning COM Service  ( ImapiService ) -  Roxio Inc . -  C :\ WINDOWS \ System32 \ ImapiRox . exe
O23  -  Service :  Ereignisprotokoll - Überwachung  ( LogWatch ) -  Computer Associates  -  C :\ Programme \ CA \ SharedComponents \ CA_LIC \ LogWatNT . exe
O23  -  Service :  lxby_device  -  Lexmark International ,  Inc . -  C :\ WINDOWS \ system32 \ lxbycoms . exe
O23  -  Service :  Norman Type - R  -  Unknown owner  -  C :\ Dokumente und Einstellungen \ user \ Eigene Dateien \ Programme_Setups \ Programme \ Firewall \ NPFSVICE . EXE  ( file missing )
  O23  -  Service :  PostgreSQL Database Server  ( pgsql - 8.0 ) -  Unknown owner  -  C :\ Programme \ PostgreSQL \ 8.0 \ bin \ pg_ctl . exe  ( file missing )
  O23  -  Service :  StyleXPService  -  Unknown owner  -  C :\ Programme \ TGTSoft \ StyleXP \ StyleXPService . exe
O23  -  Service :  TuneUp WinStyler Theme Service  ( TUWinStylerThemeSvc ) -  TuneUp Software GmbH  -  C :\ Dokumente und Einstellungen \ user \ Eigene Dateien \ Programme_Setups \ Programme \ TuneUp \ WinStylerThemeSvc . exe
O23  -  Service :  VNC Server Version 4  ( WinVNC4 ) -  Unknown owner  -  C :\ Dokumente und Einstellungen \ user \ Eigene Dateien \ Programme_Setups \ Programme \ VNC \ VNC4 \ WinVNC4 . exe " -service (file missing)
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

mit freundlichen grüßen maxer

Anzeige

BL!zZ · 7. Dezember 2006

AW: hilfe, hab sich selber mit nem troyaner infinziert

ah mist bedankt..

b2t

Beim Bifrost kann man den Server deinstallieren..
Einfach mit dem Client auf das Opfer (Dich) connecten und mal nach der Option suchen.

greetz

maxer · 7. Dezember 2006

AW: hilfe, hab sich selber mit nem troyaner infinziert

hab ja cia benutzt und seh mich dort auch nicht mehr als vic

matrox · 8. Dezember 2006

AW: hilfe, hab sich selber mit nem troyaner infinziert

komisches Logfile, totales wirrwar

überprüfe C:WINDOWS system32 wscntfy.exe ist dafür bekannt, Antivir zu deaktivieren

Fixe

O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C okumente und EinstellungenuserEigene DateienProgramme_SetupsProgrammePartyPokerPartyPokerRunApp.exe

maxer · 10. Dezember 2006

AW: hilfe, hab sich selber mit nem troyaner infinziert

thx 4 tipp, hab am ende jedoch formatiert, da ich mir nicht sicher war ob nun alles weg ist.

N0S · 10. Dezember 2006

AW: hilfe, hab sich selber mit nem troyaner infinziert

Thema erledigt

*closed

Nützliche Suchen

hilfe, hab sich selber mit nem troyaner infinziert

Videos zum Themenbereich