Trojaner:sp.html - kann jemand mein log.file begutachten?

Dieses Thema im Forum "Sicherheit" wurde erstellt von odradek, 29. Juli 2004.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. odradek

    odradek ROM

    Registriert seit:
    29. Juli 2004
    Beiträge:
    2
    Liebe TrojanervernichtungsexpertInnen!
    Kann mir jemand sagen, wie ich den verfluchten Hijacker sp.html wieder los werden kann? Wäre euch sehr verbunden.
    Anbei das aktuellste hijackthis logfile.
    Ehrerbietigsten Dank!
    Odradek

    Logfile of HijackThis v1.98.0
    Scan saved at 20:54:30, on 29.07.2004
    Platform: Windows 2000 SP4 (WinNT 5.00.2195)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINNT\System32\smss.exe
    C:\WINNT\system32\winlogon.exe
    C:\WINNT\system32\services.exe
    C:\WINNT\system32\lsass.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\system32\spoolsv.exe
    C:\WINNT\System32\svchost.exe
    C:\WINNT\System32\nvsvc32.exe
    C:\WINNT\system32\regsvc.exe
    C:\WINNT\system32\MSTask.exe
    C:\WINNT\System32\WBEM\WinMgmt.exe
    C:\WINNT\system32\mspmspsv.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\Explorer.EXE
    C:\WINNT\SOUNDMAN.EXE
    C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
    C:\Programme\Logitech\iTouch\iTouch.exe
    C:\WINNT\system32\SCVHOST.EXE
    C:\WINNT\system32\internat.exe
    C:\WINNT\system32\RUNDLL32.EXE
    D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
    D:\Programme\Microsoft Office\Office\FINDFAST.EXE
    D:\Programme\Microsoft Office\Office\OSA.EXE
    C:\Programme\Internet Explorer\IEXPLORE.EXE
    C:\Programme\Outlook Express\msimn.exe
    H:\PROGRA~1\winzip\winzip32.exe
    C:\DOKUME~1\MICHEN~1\LOKALE~1\Temp\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\MICHEN~1\LOKALE~1\Temp\sp.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\MICHEN~1\LOKALE~1\Temp\sp.html
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\MICHEN~1\LOKALE~1\Temp\sp.html
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\MICHEN~1\LOKALE~1\Temp\sp.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\MICHEN~1\LOKALE~1\Temp\sp.html
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\MICHEN~1\LOKALE~1\Temp\sp.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
    F0 - system.ini: Shell=
    F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe,
    O2 - BHO: (no name) - {03D9AE17-B73E-4656-B3FC-07E48D6CC074} - C:\WINNT\system32\ddm.dll
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
    O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NVCLOCK] Rundll32 nvclock.dll,fnNvclock
    O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [DMASwitch] C:\Programme\CyberLink DVD Solution\PowerProducer\CLDMA.exe
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
    O4 - HKLM\..\Run: [MSStartOptimizer] C:\WINNT\system32\SCVHOST.EXE
    O4 - HKLM\..\Run: [RegCompres] C:\WINNT\system32\REGCPM32.EXE
    O4 - HKCU\..\Run: [internat.exe] internat.exe
    O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\System32\NVMCTRAY.DLL,NvTaskbarInit
    O4 - HKCU\..\Run: [SpyKiller] D:\Programme\SpyKiller\spykiller.exe /startup
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
    O4 - Startup: Microsoft-Indexerstellung.lnk = D:\Programme\Microsoft Office\Office\FINDFAST.EXE
    O4 - Startup: Office-Start.lnk = D:\Programme\Microsoft Office\Office\OSA.EXE
    O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/03a4e4d501eba3545718/netzip/RdxIE601_de.cab
    O18 - Filter: text/html - {42C626DB-3894-4B3C-BC23-B5DD5C4F6CB0} - C:\WINNT\system32\ddm.dll
    O18 - Filter: text/plain - {42C626DB-3894-4B3C-BC23-B5DD5C4F6CB0} - C:\WINNT\system32\ddm.dll

     
  2. Cidre

    Cidre Halbes Megabyte

    Registriert seit:
    18. Februar 2004
    Beiträge:
    938
    Hallo,

    den Browser Hijacker denn du dir installiert hast, ist dein kleinstes Problem.
    Du hast einen aktiven Backdoor Trojaner Troj/Dasmin-E auf deinem System, logische Konsequenz ist daher: Neuaufsetzen deines Systems!
    http://www.mathematik.uni-marburg.de/~wetzmj/index.php?viewPage=sec-compromise.html

    Hier ist der Übeltäter:
    O4 - HKLM\..\Run: [MSStartOptimizer] C:\WINNT\system32\SCVHOST.EXE
    O4 - HKLM\..\Run: [RegCompres] C:\WINNT\system32\REGCPM32.EXE
    http://www.sophos.de/virusinfo/analyses/trojdasmine.html

    Nach dem Neuaufsetzen deines System und vor der ersten Internet Verbindung diese Punkte abarbeiten:

    - NT- Dienste sicher konfigurieren http://www.ntsvcfg.de/
    - dein System updaten http://v4.windowsupdate.microsoft.com/de/default.asp
    - Deine Passwörter ändern
    - IE sicherer konfigurieren http://www.datenschutzzentrum.de/selbstdatenschutz/internet/absichern/browser/msie/config.htm
    oder Browserwechsel wie z.B. Mozilla oder Firefox
    - Image deiner Systempartition erstellen
    - Surfverhalten überdenken
     
  3. odradek

    odradek ROM

    Registriert seit:
    29. Juli 2004
    Beiträge:
    2
    Hallo Cidre!
    Ich werde ein Glasl Most auf dich erheben!!
    Odra
     
  4. Cidre

    Cidre Halbes Megabyte

    Registriert seit:
    18. Februar 2004
    Beiträge:
    938
    @ odradek

    Schau mer mal, ob du es umsetzt.;)
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen