- #1
W
Waschbaerbauch
Neues Mitglied
Themenersteller
- Dabei seit
- 07.02.2007
- Beiträge
- 2
- Reaktionspunkte
- 0
Hallo,
benötige dringend Hilfe, nachdem ich mir wohl nen Trojaner eingefangen hab. Das erste Anzeichen war ein gesperrter Taskmanager, den ich mit Hilfe des Boards wieder entsperren konnte. Nachdem mein Norton Internet Security die Viruswarnung herausgab, habe ich die Internetverbindung getrennt. Kurz zuvor versuchten folgende zwei Dateien zugriff auf das Internet zuerhalten: syst.exe und 3456346345643.exe, den ich jedoch sofort blockiert habe. Nach Systemprüfung habe ich noch weitere verdächtige Dateien entdeckt: kernel88.exe, qlb23.tmp und qlb4.tmp, welche alle zugriff auf das Internet zu erlangen versuchten. Habe inzwischen versucht alle Verdächtige Dateien zulöschen und auch die dazu gehörigen Einträge in der Windows- Registrierung. Allerdings bin ich mir nicht sicher ob ich alle Spuren beseitigt habe. Ich wäre deshalb sehr Dankbar, wenn Ihr das folgende HJT- log prüfen und mir bescheid geben könntet. Ich habe bereit in einem englischen Forum gelesen, dass bei einer Infektion mit diesem Virus eine Formatierung des gesamten Systems zwingend erforderlich sei. Ist dies wirklich so?
___________________________________________________
Logfile of HijackThis v1.99.1
Scan saved at 17:41:00, on 11.02.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\System32\ircomm2k.exe
E:\Norton AntiVirus\navapsvc.exe
E:\Norton Internet Security\NISUM.EXE
D:\WINDOWS\System32\tcpsvcs.exe
D:\WINDOWS\system32\slserv.exe
D:\WINDOWS\System32\snmp.exe
E:\Alcohol 120\StarWind\StarWindService.exe
D:\WINDOWS\System32\svchost.exe
E:\Norton Internet Security\SymProxySvc.exe
D:\WINDOWS\System32\MsPMSPSv.exe
E:\Norton Internet Security\NISSERV.EXE
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\System32\S3hotkey.exe
D:\WINDOWS\System32\S3tray2.exe
E:\NORTON~1\navapw32.exe
E:\Norton Internet Security\IAMAPP.EXE
D:\Programme\FreePDF_XP\fpassist.exe
E:\iTunes\iTunesHelper.exe
D:\Programme\iPod\bin\iPodService.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\NMain.exe
D:\Programme\Internet Explorer\IEXPLORE.EXE
D:\Programme\Internet Explorer\IEXPLORE.EXE
D:\Dokumente und Einstellungen\S***\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.de/0SEDEDE/SAOS01
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Adobe\Acrobat Reader 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - D:\Programme\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - D:\Programme\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\de\msntb.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - E:\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - E:\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - D:\Programme\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\de\msntb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [S3hotkey] S3hotkey.exe
O4 - HKLM\..\Run: [S3TRAY2] S3tray2.exe
O4 - HKLM\..\Run: [NAV Agent] E:\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [iamapp] E:\Norton Internet Security\IAMAPP.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [FreePDF Assistant] D:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [DXM6Patch_981116] D:\WINDOWS\p_981116.exe /Q:A
O4 - HKLM\..\Run: [QuickTime Task] D:\Programme\QuickTime\qttask.exe -atboottime
O4 - HKLM\..\Run: [iTunesHelper] E:\iTunes\iTunesHelper.exe
O4 - Startup: Vergiß mich nicht.lnk = E:\DATA BECKER\Geburtstags-Druckerei\VERGISS\REMIND.EXE
O4 - Global Startup: Microsoft Office.lnk = E:\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\ICQLite\ICQLite.exe
O9 - Extra->Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm
O9 - Extra->Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - E:\Yahoo!\Messenger\YahooMessenger.exe
O9 - Extra->Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - E:\Yahoo!\Messenger\YahooMessenger.exe
O12 - Plugin for .PDF: D:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - D:\PROGRA~1\MSNMES~1\msgrapp.dll (file missing)
O23 - Service: iPod Service - Apple Computer, Inc. - D:\Programme\iPod\bin\iPodService.exe
O23 - Service: Virtueller Infrarot-Kommunikationsanschluß, Dienstprogramm (IrCOMM2kSvc) - Jan Kiszka - D:\WINDOWS\System32\ircomm2k.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - E:\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Internet Security Service (NISSERV) - Symantec Corporation - E:\Norton Internet Security\NISSERV.EXE
O23 - Service: Norton Internet Security Accounts Manager (NISUM) - Symantec Corporation - E:\Norton Internet Security\NISUM.EXE
O23 - Service: Pml Driver HPZ12 - HP - D:\WINDOWS\System32\HPZipm12.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - D:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: ServiceLayer - Nokia. - D:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
O23 - Service: SmartLinkService (SLService) - - D:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - D:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - E:\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: Norton Internet Security Proxy Service (SymProxySvc) - Symantec Corporation - E:\Norton Internet Security\SymProxySvc.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - E:\T-DSL SpeedManager\tsmsvc.exe
benötige dringend Hilfe, nachdem ich mir wohl nen Trojaner eingefangen hab. Das erste Anzeichen war ein gesperrter Taskmanager, den ich mit Hilfe des Boards wieder entsperren konnte. Nachdem mein Norton Internet Security die Viruswarnung herausgab, habe ich die Internetverbindung getrennt. Kurz zuvor versuchten folgende zwei Dateien zugriff auf das Internet zuerhalten: syst.exe und 3456346345643.exe, den ich jedoch sofort blockiert habe. Nach Systemprüfung habe ich noch weitere verdächtige Dateien entdeckt: kernel88.exe, qlb23.tmp und qlb4.tmp, welche alle zugriff auf das Internet zu erlangen versuchten. Habe inzwischen versucht alle Verdächtige Dateien zulöschen und auch die dazu gehörigen Einträge in der Windows- Registrierung. Allerdings bin ich mir nicht sicher ob ich alle Spuren beseitigt habe. Ich wäre deshalb sehr Dankbar, wenn Ihr das folgende HJT- log prüfen und mir bescheid geben könntet. Ich habe bereit in einem englischen Forum gelesen, dass bei einer Infektion mit diesem Virus eine Formatierung des gesamten Systems zwingend erforderlich sei. Ist dies wirklich so?
___________________________________________________
Logfile of HijackThis v1.99.1
Scan saved at 17:41:00, on 11.02.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\System32\ircomm2k.exe
E:\Norton AntiVirus\navapsvc.exe
E:\Norton Internet Security\NISUM.EXE
D:\WINDOWS\System32\tcpsvcs.exe
D:\WINDOWS\system32\slserv.exe
D:\WINDOWS\System32\snmp.exe
E:\Alcohol 120\StarWind\StarWindService.exe
D:\WINDOWS\System32\svchost.exe
E:\Norton Internet Security\SymProxySvc.exe
D:\WINDOWS\System32\MsPMSPSv.exe
E:\Norton Internet Security\NISSERV.EXE
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\System32\S3hotkey.exe
D:\WINDOWS\System32\S3tray2.exe
E:\NORTON~1\navapw32.exe
E:\Norton Internet Security\IAMAPP.EXE
D:\Programme\FreePDF_XP\fpassist.exe
E:\iTunes\iTunesHelper.exe
D:\Programme\iPod\bin\iPodService.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\NMain.exe
D:\Programme\Internet Explorer\IEXPLORE.EXE
D:\Programme\Internet Explorer\IEXPLORE.EXE
D:\Dokumente und Einstellungen\S***\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.de/0SEDEDE/SAOS01
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Adobe\Acrobat Reader 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - D:\Programme\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - D:\Programme\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\de\msntb.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - E:\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - E:\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - D:\Programme\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\de\msntb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [S3hotkey] S3hotkey.exe
O4 - HKLM\..\Run: [S3TRAY2] S3tray2.exe
O4 - HKLM\..\Run: [NAV Agent] E:\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [iamapp] E:\Norton Internet Security\IAMAPP.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [FreePDF Assistant] D:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [DXM6Patch_981116] D:\WINDOWS\p_981116.exe /Q:A
O4 - HKLM\..\Run: [QuickTime Task] D:\Programme\QuickTime\qttask.exe -atboottime
O4 - HKLM\..\Run: [iTunesHelper] E:\iTunes\iTunesHelper.exe
O4 - Startup: Vergiß mich nicht.lnk = E:\DATA BECKER\Geburtstags-Druckerei\VERGISS\REMIND.EXE
O4 - Global Startup: Microsoft Office.lnk = E:\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\ICQLite\ICQLite.exe
O9 - Extra->Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm
O9 - Extra->Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - E:\Yahoo!\Messenger\YahooMessenger.exe
O9 - Extra->Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - E:\Yahoo!\Messenger\YahooMessenger.exe
O12 - Plugin for .PDF: D:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - D:\PROGRA~1\MSNMES~1\msgrapp.dll (file missing)
O23 - Service: iPod Service - Apple Computer, Inc. - D:\Programme\iPod\bin\iPodService.exe
O23 - Service: Virtueller Infrarot-Kommunikationsanschluß, Dienstprogramm (IrCOMM2kSvc) - Jan Kiszka - D:\WINDOWS\System32\ircomm2k.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - E:\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Internet Security Service (NISSERV) - Symantec Corporation - E:\Norton Internet Security\NISSERV.EXE
O23 - Service: Norton Internet Security Accounts Manager (NISUM) - Symantec Corporation - E:\Norton Internet Security\NISUM.EXE
O23 - Service: Pml Driver HPZ12 - HP - D:\WINDOWS\System32\HPZipm12.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - D:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: ServiceLayer - Nokia. - D:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
O23 - Service: SmartLinkService (SLService) - - D:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - D:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - E:\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: Norton Internet Security Proxy Service (SymProxySvc) - Symantec Corporation - E:\Norton Internet Security\SymProxySvc.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - E:\T-DSL SpeedManager\tsmsvc.exe
