[Evilman]

Hi, ich habe mein Hijack Filde auswerten lassen und es sind ein paar Dinge dabie, die mir unbekannt sind.
Nun wollte ich wissen ob ihr was mit den Sachen anfangen könnt und ob sie gefährlich sind oder nicht.
Danke schonmal

C:\WINDOWS\system32\272F282A2D2A33.exe
O4 - HKLM\..\Run: [CrazyTalk Serve] rundll32.exe C:\WINDOWS\system32\CrazyTalk.dll,DllServeMediaFile
O4 - HKLM\..\Run: [6E766F7174717A73] 272F282A2D2A33.exe
O4 - HKLM\..\Run: [irassync] C:\WINDOWS\system32\irasyncd.exe
O4 - HKCU\..\Run: [CMAPP] "C:\Programme\CMAPP\Client\cmappclient.exe"
O4 - HKCU\..\Run: [ichckupd] C:\WINDOWS\system32\ichckupd.exe
O4 - HKCU\..\Run: [irassync] C:\WINDOWS\system32\irasyncd.exe

Ich habe Windows XP mit Service Pack 2 drauf.

Mfg Evilman64

[timmy]

hättest mal das logfile bzw. den link dazu einfügen sollen.

mir sagen die teile auch nichts.
http://www.file.net/...zytalk.dll.html

[flo]

Hallo

Bitte Poste ein Komplettes Log File

[Evilman]

Hier ist es! Wäre cool wenn ihr mir mal sicherheitslücken, nennen könntet.

Logfile of HijackThis v1.99.1
Scan saved at 20:32:51, on 21.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ABIT\ABIT uGuru\uGuru.exe
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\272F282A2D2A33.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ABIT\ABIT uGuru\uGuru_Event_Receiver.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Eraser\eraser.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\Firefox\firefox.exe
C:\Dokumente und Einstellungen\admin\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.evilmans-page.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ABIT uGuru] C:\Programme\ABIT\ABIT uGuru\uGuru.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [6E766F7174717A73] 272F282A2D2A33.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Eraser] C:\Programme\Eraser\eraser.exe -hide
O4 - HKCU\..\Run: [ichckupd] C:\WINDOWS\system32\ichckupd.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com...ideoControl.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

[flo]

C:\WINDOWS\system32\272F282A2D2A33.exe
   	O4 - HKLM\..\Run: [6E766F7174717A73] 272F282A2D2A33.exe
   	O4 - HKCU\..\Run: [ichckupd] C:\WINDOWS\system32\ichckupd.exe

Diese Einträge kommen mir Komisch vor.

Allerdings Kennen weder Hijackthis noch Google die Einträge


Lad die Datei C:\WINDOWS\system32\272F282A2D2A33.exe mal hier
http://virusscan.jotti.org/de/

hoch, und lass sie Dort auf Maleware Prüfen, das Ergebniss Poste bitte hier

[Evilman]

Folgende Ergebnisse haben sich ergeben:

272F282A2D2A33.exe:
EVENTUELL INFIZIERT/MALWARE (Es ist verdächtig, dass die Sandbox-Emulation lange dauerte und/oder die Datei gepackt war. Normalerweise sind Programme nicht gepackt und zwingen die Sandbox nicht zu einer langwierigen Emulation. Beachten Sie, dass kein Scanner eine Warnung gegeben hat, d.h. die Datei kann sehr wohl harmlos sein. Wir raten allerdings zur Vorsicht.)

ichckupd.exe:
INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Dr.Web
Trojan.DownLoader.4321 gefunden

Fortinet
Adware/Safesurf gefunden

Kaspersky Anti-Virus
not-a-virus:AdWare.Win32.SafeSurfing.v gefunden

NOD32
Win32/Adware.SafeSurfing application gefunden

Norman Virus Control
W32/SafeSurfing.X gefunden

VBA32
AdWare.SafeSurfing.v gefunden

Wie soll ich weiter verfahren?

[flo]

Ganz Ehrlich?

Du hattest bzw hast einen Trojaner au dem PC, außerdem noch eine .exe Datei mit extrem Komischem Namen in dem System Ordner, das heißt nichts gutes.

Denn dein PC ist Kompromittiert

Daher empfehle Ich Formatieren, und Windows neu Installieren

Hier ein kleines How To wie du Windows am besten installierst,
Windows Richtig Installieren

und hier eins Wie Du es absicherst
Windows Sicherer machen

Dieser Beitrag wurde von Flo bearbeitet: 21. November 2005 - 21:10

[DK2000]

Beim kompletten Log fehlen aber noch Dateien, die Du weiter oben gepostet hast:

irasyncd.exe & 272F282A2D2A33.exe gehören soweit ich weiß zusammen und sind Trojan.IRASHoul.Process, irasyncd.exe ist auf jeden Fall der Trojaner.
cmappclient.exe ist Trojan.Cmapp
ichckupd.exe hast Du ja schon identifiziert.

Wie Du weiterverfahren sollst. Wenn's mein System wäre, sauberes Backup aufspielen bzw. Neuinstallation.

[timmy]

lieber erstmal etwas rumtesten, wann hat man schonmal die gelegenheit dazu.

[flo]

Zitat

lieber erstmal etwas rumtesten, wann hat man schonmal die gelegenheit dazu.

?

Rumtesten? Mit nem Kompromitierten System? Na du bist Lustig

[DK2000]

@timmy:

Ja, aber wenn man schon das Bedürfnis hat, ein wenig mit Trojanern "rumzutesten", dann aber bitte vorher den Rechner vom Netz nehmen. Außerdem weiß ich nicht, was man da groß rumtesten sollte...

Der eine von den Trojanern da oben spioniert einen aus und alle drei haben nebenbei nichts besseres zu tun, als regelmäßig neue Updates ihrer Artgenossen aufzuspielen, die Dateinamen öfters mal zu ändern usw. Alleine zur cmappclient.exe gehören noch etliche weitere Dateien und in der Grundversion mindestens 7 URLs mit Scripten, um weitere Artgenossen zu installieren bzw. sich upzudaten und zu allem überfluss nervt der noch mit Werbung. Symantec hat zwar hier eine Anleitung für den Trojan.Cmapp, aber bevor ich mir das antue oder mit den Viechern rumspiele, dann doch lieber alles Platt machen. Und bei drei Stück von der Sorte erst recht.

Dieser Beitrag wurde von DK2000 bearbeitet: 21. November 2005 - 21:45

[timmy]

das testen ist auch nur sinnvoll, wenn man noch einen ersatzrechner hat, bzw. nichts wichtiges mit dem rechner machen muss.
wenn das gegeben ist, würde ich mir das schon näher betrachten und mich mal daran versuchen (kaputt machen kann man ja nicht viel).
wieso sind die teile da - was machen die - was kann ich anders machen.....

Dieser Beitrag wurde von timmy bearbeitet: 21. November 2005 - 21:44

[Evilman]

@ Flo:

Habe jetzt mal ein bisschen getestet und alle gefährdungen entfernt. Habe ich dadurch das Kompromitierten System aufgehoben oder kann ich machen was ich will? Da ich nicht so wirklich lust habe zu formatieren, natürlich tuhe ich das wenn es keine andere möglichkeit gibt. Habe das Logfile ausgewertet und es sind keine Gefährdungen mehr Erkennbar auch nicht mit Soybot oder so. Bin ich jetzt wieder sicher? Oder muss ich auf jeden Fall Formatieren?
Wäre cool wenn du nochmal über das Logfile schauen könntest.
Vielen Dank schonmal für die Hilfe.
Mfg Evilman64


Logfile of HijackThis v1.99.1
Scan saved at 23:22:36, on 21.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\272F282A2D2A33.exe
C:\Programme\AVPersonal\AVSCHED32.EXE
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\msiexec.exe
C:\Firefox\firefox.exe
C:\Dokumente und Einstellungen\admin\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.evilmans-page.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [6E766F7174717A73] 272F282A2D2A33.exe
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSCHED32.EXE /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com...ideoControl.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

[Win-Fan]

Zitat (Evilman: 21.11.2005, 23:26)

Habe jetzt mal ein bisschen getestet und alle gefährdungen entfernt. Habe ich dadurch das Kompromitierten System aufgehoben oder kann ich machen was ich will? Da ich nicht so wirklich lust habe zu formatieren,

Hier die Auswertung des Logfile (beurteilen können das andere besser als ich).
Aber denke dran, das die Auswertungen von HijackThis natürlich auch keine zuverlässigen Aussagen sind bzw. auch nie sein können was die Sicherheit des PC betrifft, da sie ua. ebend nicht zeigen welche Dateien noch/schon alle "infiziert" verändert wurden usw..

Was du nun weiter machst bzw. weiter vorgehst, musst du allein wissen, nachdem du dir speziell nochmal den (unten stehenden) Kommentar von DK2000 durchgelesen hast (das dürfte normalerweise die Frage zur weiteren Vorgehensweise beantworten, um wirklich sicher zusein).
Und "keine Lust auf formatieren" ist kein Argument und zählt nicht.

DK2000 sagte:

Der eine von den Trojanern da oben spioniert einen aus und alle drei haben nebenbei nichts besseres zu tun, als regelmäßig neue Updates ihrer Artgenossen aufzuspielen, die Dateinamen öfters mal zu ändern usw. Alleine zur cmappclient.exe gehören noch etliche weitere Dateien und in der Grundversion mindestens 7 URLs mit Scripten, um weitere Artgenossen zu installieren bzw. sich upzudaten und zu allem überfluss nervt der noch mit Werbung.

Dieser Beitrag wurde von Win-Fan bearbeitet: 22. November 2005 - 00:39

[lolzem88]

du könntest natürlich jetzt deinen pc absichern nach flo's anleitung,
blos wer sagt dir, dass die trojaner nicht noch rootkits usw nachinstalliert haben?
ich würde mir jetzt alles durchlesen zum richtig installieren+patchen und absichern..
dann formatieren und von grund auf alles richtig aufbauen.
aber wie du es machst ist deine sache
mfg
dmX`