Nach Trojaner System noch alles OK ?

GkSpawn

Cadet 3rd Year
Registriert
Nov. 2004
Beiträge
34
Hi Community!
Hab mir vor kurzem einen Trojaner names Sahagent eingefangen, welches von Antivir nachträglich erkannt wurde! Diese hat sich dann in Registry und etc. eingetragen und sich mehrfach im System kopiert ... schlimmer noch... es hat mehrer Spyware und weitere Trojaner installiert!!! Anfangssymptome waren irgendwie das sich mit ALT+STRG+entf die dateien sahagent.exe etc. nicht mehr löschen liess und diese hartnäckig in System integriert wurden. Nichtsdestotrotz wurden ALLE Ports geschlossen, und ich konnte keine Hilfe vom Internet erwarten, obwohl eine connection vorhanden war! nach einer 3 stündigen mühseliger Suche und reinigen klappte die Internetverbindung wieder und es scheint das ich wirklihc alles deinstallieren und die einträge in der REgistry löschen konnte!!! ich habe mal HijackThis durchlaufen lassen ... jedoch kommen mir einige einträge noch sehr kritisch vor!!! aber kann damit leider nichts anfangen ... welches Dateien sind gefährlich?? bitte um eure Hilfe !!! =)

Mein Sys:
Athlon 64 3,2+, XP Prof +SP2, Norton Anti-virus 2003 (hat NIX gebracht), Norton firewall 2003 (hilft glaub ich auch nicht mehr), Antivir (schon besser), Spyot, adawre, xpclean etc.
und hier die HihackThis log:

Logfile of HijackThis v1.99.0
Scan saved at 01:22:21, on 05.01.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
D:\Norton SystemWorks\Norton Personal Firewall\NISUM.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
D:\Logitech\iTouch\iTouch.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\rmctrl.exe
d:\Logitech\MouseWare\system\em_exec.exe
D:\Messenger Plus! 3\MsgPlus.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\WINDOWS\SOUNDMAN.EXE
D:\AntiVir\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
d:\AntiVir\AVGUARD.EXE
d:\AntiVir\AVWUPSRV.EXE
D:\Norton SystemWorks\Norton Personal Firewall\ccPxySvc.exe
C:\NVIDIA\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
D:\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\NVIDIA\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
D:\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\NVIDIA\NetworkAccessManager\bin\nSvcLog.exe
D:\NORTON~1\SPEEDD~1\nopdb.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
D:\AntiVir\AVWIN.EXE
C:\Programme\Messenger\msmsgs.exe
D:\Hijack This\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.spiegel.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - d:\FlashFXP\IEFlash.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [zBrowser Launcher] d:\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [RemoteControl] C:\WINDOWS\system32\rmctrl.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [MessengerPlus3] "d:\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVGCtrl] D:\AntiVir\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NBJ] "D:\Ahead\Nero BackItUp\NBJ.exe"
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Download with GetRight - D:\GetRight\GRdownload.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\MICROS~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - D:\GetRight\GRbrowse.htm
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - d:\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - d:\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.c...ls/en/x86/client/wuweb_site.cab?1100209181241
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O18 - Protocol: cetihpz - {CF184AD3-CDCB-4168-A3F7-8E447D129300} - C:\Programme\HP\hpcoretech\comp\hpuiprot.dll
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - d:\AntiVir\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - d:\AntiVir\AVWUPSRV.EXE
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Proxy Service - Symantec Corporation - D:\Norton SystemWorks\Norton Personal Firewall\ccPxySvc.exe
O23 - Service: Forceware Web Interface - Apache Software Foundation - C:\NVIDIA\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
O23 - Service: InCD Helper - Unknown - d:\Ahead\Nero\InCD\InCDsrv.exe (file missing)
O23 - Service: Norton AntiVirus Auto Protect Service - Symantec Corporation - D:\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Personal Firewall Accounts Manager - Symantec Corporation - D:\Norton SystemWorks\Norton Personal Firewall\NISUM.EXE
O23 - Service: Norton Unerase Protection - Symantec Corporation - D:\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
O23 - Service: ForceWare user log service - Unknown - C:\NVIDIA\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - D:\NORTON~1\SPEEDD~1\nopdb.exe
O23 - Service: SymWMI Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

ich danke für eure Hilfe!!!
mit freundlcihen Grüssen ^^



OK LEUTE !!!
Habe mal selber überall rumgestöbert und diese tolle Seite gefunden:
http://www.hijackthis.de/index.php

dort kann man dann die Hijack logs auswerten lassen und alle "bösen" dateien aufspüren !!!
trotzdem danke fürs durchlesen ;)


vielleicht kennt ihr noch gute Proggies um sich besser zu schützen? bzw um zu testen ob alles wieder richtig läuft??? da ich mir immernoch unsicher bin WAS GENAU die Trojaner angerichtet haben und verändert... zwar ist alles weg aber unsicher bin ich mir immernoch ...

mfg
 
Zuletzt bearbeitet: (OK HAT SICH ERLEDIGT !!!)
Bei so vielen überflüssigen Anwendungen am Start wird einem ganz schwindelig. :freak:
Einige Einträge hast du ja hoffentlich schon gefixt.
Ich würde mal richtig ausmisten.
Zwei aktive Virensoftware sind auch nicht gerade förderlich.

Hol dir mal noch Ad-Aware und scan dein System nach Spyware.
Regelmäßig nach Updates wiederholen.
 
geht so ... ich finde das das nicht soooviele sind :) sind ja die prozesse die ich auch brauche... eigentlich ist das schon die gesäuberte FAssung :p lol ausser das eine "böse" eintrag welches aber nicht gültig ist... (R3)

ja ich benutze ja schon lange AdAware mit den neusten updates ... aber das schützt mich ja erst beim durchsuchen und nicht wenn ich mir irgendwie eins einfange -.-

Nortonantivirus 2003 schützt nur für normale viren kommts mir vor! und nicht vor spyware und trojaner ... dafür hab ich dann AntiVir ... genauso wie erstma Norton Firewall und die SP2 firewall ... beide sind aktiv :) naja -- system läuft ja noch gut ... hab genug Arbeitsspeicer (1GB) also kann ich auch viele anwendungen laufen lassen :D


mfg
 
Zurück
Oben