Beispiel einer Hijackthis.log mit Warezov/Stration infektion

Status
Nicht offen für weitere Antworten.

McFly

Erfahrener Benutzer
#1
Logfile of HijackThis v1.99.1
Scan saved at 11:14:26, on 21.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:WINDOWSExplorer.EXE
C:WINDOWSsystem32RunDLL32.exe
C:WINDOWSsystem32sstray.exe
C:programmeGemeinsame DateienRealUpdate_OBrealsched.exe
C:programmeMessengermsmsgs.exe
C:programmeLogitechMouseWaresystemem_exec.exe
C:programmeAntiVir PersonalEdition Classicsched.exe
C:programmeAntiVir PersonalEdition Classicavguard.exe
C:WINDOWSsystem32crypserv.exe
C:WINDOWSsystem32nvsvc32.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSsystem32wscntfy.exe
C:programmeMozilla Firefoxfirefox.exe
C:WINDOWSsystem32audconf.exe
D:HijackThis.exe

R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar = h**p://google.icq.com/search/search_frame.php
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = h**p://google.icq.com
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:programmeICQToolbartoolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:programmeAdobeAcrobat 7.0ActiveXAcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:programmeJavajre1.5.0_06binssv.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:pROGRA~1FlashGetjccatch.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:programmeICQToolbartoolbaru.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:pROGRA~1FlashGetfgiebar.dll
O4 - HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSsystem32NvCpl.dll,NvStartup
O4 - HKLM..Run: [nwiz] nwiz.exe /install
O4 - HKLM..Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM..Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM..Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM..Run: [ICQ Lite] "C:programmeICQLiteICQLite.exe" -minimize
O4 - HKLM..Run: (audiag) C:WINDOWSsystem32audconf.exe
O4 - HKLM..Run: [TkBellExe] "C:programmeGemeinsame DateienRealUpdate_OBrealsched.exe" -osboot
O4 - HKCU..Run: [MSMSGS] "C:programmeMessengermsmsgs.exe" /background
O4 - HKCU..RunOnce: [ICQ Lite] C:programmeICQLiteICQLite.exe -trayboot
O8 - Extra context menu item: &ICQ Toolbar Search - res:**C:programmeICQToolbartoolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Alles mit FlashGet laden - C:programmeFlashGetjc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:programmeFlashGetjc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res:**C:pROGRA~1MICROS~2Office10EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:programmeJavajre1.5.0_06binssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:programmeJavajre1.5.0_06binssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:programmeICQLiteICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:programmeICQLiteICQLite.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:pROGRA~1FlashGetflashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:pROGRA~1FlashGetflashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:programmeMessengermsmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:programmeMessengermsmsgs.exe
O17 - HKLMSystemCCSServicesTcpip..{8D7F1CC2-311F-4695-811B-E8909A05F510}: NameServer = 192.168.102.1
O20 - AppInit_DLLs: confaud.dll audstat.dll
O20 - Winlogon Notify: audmgr - C:WINDOWSSYSTEM32audmgr32.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:programmeAntiVir PersonalEdition Classicsched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:programmeAntiVir PersonalEdition Classicavguard.exe
O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:WINDOWSSYSTEM32crypserv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:programmeGemeinsame DateienInstallShieldDriver11Intel 32IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:WINDOWSsystem32nvsvc32.exe

Diese markierten Einträge sind vom dem Wurm erstellt worden, da einige
Dateien im System32 vezeichnis geschützt sind durch Registry einträge, sollte man bei
der Entfernung den Avenger 2 mal ablaufen lassen um alle Dateien löschen zu können.


Anleitung zum Entfernen:

Bitte ein neues Thema öffnen und folgendes ausführen:

SCHRITT 1:

ComboFix anwenden,
auch die Datentraegerbereinigung durchfuehren lassen + den Scanreport abkopieren und im Beitrag posten
Combofix

SCHRITT 2:

Logfiles mittels datfind.bat erstellen und posten (abkopieren)
Exakte Anleitung unter: datfindbat
Kopiere diese 6 erstellten Textdateien ab .
(rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet.
(kopiere je Logfile nur die letzten 3 Monate ab !)

Die Log's und Texte bitte so posten:
Upload
 
Status
Nicht offen für weitere Antworten.
Oben