Backdoor Trojaner?! (Sascha-MUC)

Sascha-MUC
Gast

« am: 19.11.05, 23:31:49 »

Hilfe!

Seit 2 Wochen spinnt mein Computer. Hab sogar schon das System komplett wieder neu aufgespielt und etliche Virenprogramme laufen lassen! Vielleicht kann mir jemand helfen! Alles stürzt dauernd ab und es ist einfach total blöd!

DANNKEEE!

Logfile of HijackThis v1.99.1
Scan saved at 23:27:53, on 19.11.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Progra~1\Launch Manager\LaunchAp.exe
C:\Progra~1\Launch Manager\PowerKey.exe
C:\Progra~1\Launch Manager\HotkeyApp.exe
C:\Progra~1\Launch Manager\CtrlVol.exe
C:\Progra~1\Launch Manager\Wbutton.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\nortonav.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\syscntrl.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\WINDOWS\system32\winmngr.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BROWSER\BROWSER.EXE
C:\WINDOWS\System32\ping.exe
C:\Dokumente und Einstellungen\Sascha\Lokale Einstellungen\Temp\Temporäres Verzeichnis 5 für hijackthis.zip\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [LaunchApp] LaunApp
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Progra~1\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [PowerKey] "C:\Progra~1\Launch Manager\PowerKey.exe"
O4 - HKLM\..\Run: [LManager] C:\Progra~1\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Progra~1\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Progra~1\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [Norton Antivirus] nortonav.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\RunServices: [Norton Antivirus] nortonav.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Norton Antivirus] nortonav.exe
O4 - HKCU\..\RunServices: [Norton Antivirus] nortonav.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{0CA4F7E2-2062-4A3B-96CA-8F876E0D7A35}: NameServer = 217.237.151.97 217.237.149.225
O17 - HKLM\System\CS1\Services\Tcpip\..\{0CA4F7E2-2062-4A3B-96CA-8F876E0D7A35}: NameServer = 217.237.151.97 217.237.149.225
O18 - Protocol: CDS300 - {AD43AA67-6860-4531-AC8A-0E68F9CF023E} - E:\Player\__CDS2.dll (file missing)
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Hardware Clock Driver (hwclock) - Unknown owner - C:\WINDOWS\System32\hwclock.exe (file missing)
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Network Harware Detection (NetDDTC) (NetDDTC) - Unknown owner - C:\WINDOWS\system32\syscntrl.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: WinMan (winmngr) - Unknown owner - C:\WINDOWS\system32\winmngr.exe

Moderator informieren

BigDaddy
Gast

Re: Backdoor Trojaner?!

« Antwort #1 am: 19.11.05, 23:51:03 »

Hallo!

Bitte lasse mal folgende Dateien bei

http://virusscan.jotti.org/

testen:

C:\WINDOWS\system32\winmngr.exe
nortonav.exe
C:\WINDOWS\System32\hwclock.exe

Insbesondere dieses "nortonav.exe" sieht mir doch ein bisschen verdächtig aus.
Wenn Du das System bereits neu aufgesetzt hast, sollte eigentlich keine Malware mehr vorhanden sein. Es sei denn, Du hast nur drüberinstalliert oder verseuchte Backups zurückgespielt...

Moderator informieren

Sascha-MUC
Gast

Re: Backdoor Trojaner?!

« Antwort #2 am: 20.11.05, 00:11:17 »

Alle drei Daeien existieren nicht auf der Platte. Ich kann sie nicht finden.

Bei meinem Laptop war halt nur die Recovery Disc dabei. Da wurde alles gelöscht und das System wieder neu aufgespielt! Wie kann ich denn bei XP die Platte formatieren? Ich weiss nicht mehr was ich machen soll . . .

Moderator informieren

HCK
Gast

Re: Backdoor Trojaner?!

« Antwort #3 am: 20.11.05, 11:31:57 »

http://www.hijackthis.de/ LOG hier rein , auswerten usw .....

Moderator informieren

HCK
Gast

Re: Backdoor Trojaner?!

« Antwort #4 am: 20.11.05, 11:34:47 »

Nachtrag : Virenscan im abges. Modus machen . Auch mit Spybot S&D oder Adware SE scannen . Bei Spybot ggf den TeaTimer anschalten , der warnt bei Registryänderungen !!

Moderator informieren

SimonG
Gast

Re: Backdoor Trojaner?!

« Antwort #5 am: 23.11.05, 00:12:40 »

die wahrscheinlichkeit das würmer und trjaner eine windows-neuinstallation überleben ist sehr hoch, denn:

selbst wenn die platte formattiert wird, wird windows bei der neuinstallation nach alten registryeinträgen suchen und diese wieder hervorholen. nach einer formattierung ist an daten nämlich _garnichts_ verschwunden, weil nichts überschieben wurde. und weil windows gründlich ist werden auch alle dateien die wichtig erscheinen und auf die die alte registry verweist wieder hochgeholt. (von norton gibts eine software mit der sich gelöschte dateien wiederherstellen lassen, auch nach einer formattierung, und auch wenn sie nicht mehr im papierkorb sind.)

auf die weise können nach einer kompletten neuinstallation sogar trojaner und würmer wieder auftauchen die man vorher gekillt hatte (wenn man sie nur gelöscht hat, ohne die registryeinträge zu löschen, und wenn die entsprechende stelle auf der festplatte noch nicht überschrieben wurde).

ich habs bei meinem rechner live erlebt; tip an alle: wenn ihr einen virus/wurm/trojaner gefunden habt UMBENENNEN und dann löschen, sowie wenn möglich die entsprechenden registryeinträge entfernen.

MfG

Moderator informieren

Backdoor Trojaner?!

Antworten zu Backdoor Trojaner?!:

Re: Backdoor Trojaner?!

Mehr zu Backdoor Trojaner?!