Hijack Logfile: wzcook.exe

Dieses Thema im Forum "Sicherheit & Datenschutz" wurde erstellt von Trush, 26. Februar 2009 .

Schlagworte:
  1. 26. Februar 2009
    Guten Morgen,

    ich bin mir ziemlich sicher, dass ich mir einen Trojaner gefangen habe.
    Seit heute morgen komm ich nicht mehr in mein Mail-Postfach.

    Anti-Virus (NOD32 auf dem neusten Stand) findet nichts.
    UnHackMe findet auch nichts.

    Hijack-Logfile:

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 10:36:38, on 26.02.2009
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    C:\Programme\Bonjour\mDNSResponder.exe
    C:\Programme\Java\jre6\bin\jqs.exe
    C:\Programme\Eset\nod32krn.exe
    C:\WINDOWS\System32\TUProgSt.exe
    C:\Programme\S.A.D\CyberGhost VPN\CGVPNCliService.exe
    C:\WINDOWS\system32\wbem\wmiapsrv.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\RTHDCPL.EXE
    C:\Programme\Razer\razerhid.exe
    C:\Programme\Eset\nod32kui.exe
    C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
    C:\Programme\Print Server Utilities\ServoApp.exe
    C:\Programme\Print Server Utilities\MFPAgent.exe
    C:\Programme\FreePDF_XP\fpassist.exe
    C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
    C:\Programme\Java\jre6\bin\jusched.exe
    C:\Programme\UnHackMe\hackmon.exe
    C:\Programme\TuneUp Utilities 2009\MemOptimizer.exe
    C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
    C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
    C:\Programme\Razer\razertra.exe
    C:\Programme\Razer\razerofa.exe
    C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
    C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
    C:\Programme\Eset\nod32.exe
    C:\Programme\Eset\nod32.exe
    C:\Programme\ICQ6.5\ICQ.exe
    C:\Programme\Mozilla Firefox\firefox.exe
    C:\Programme\UnHackMe\hackmon.exe
    C:\Programme\Trend Micro\HijackThis\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
    O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
    O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
    O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
    O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
    O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
    O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
    O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
    O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
    O4 - HKLM\..\Run: [razer] C:\Programme\Razer\razerhid.exe
    O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Eset\nod32kui.exe" /WAITSERVICE
    O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
    O4 - HKLM\..\Run: [ServoApp] C:\Programme\Print Server Utilities\ServoApp.exe
    O4 - HKLM\..\Run: [MFP Server Agent] "C:\Programme\Print Server Utilities\MFPAgent.exe"
    O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
    O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
    O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
    O4 - HKCU\..\Run: [UnHackMe Monitor] C:\Programme\UnHackMe\hackmon.exe
    O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2009\MemOptimizer.exe" autostart
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Poker\Titan Poker\casino.exe
    O9 - Extra 'Tools' menuitem: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Poker\Titan Poker\casino.exe
    O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
    O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
    O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
    O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
    O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1210859901640
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
    O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
    O23 - Service: CyberGhost VPN Client (CGVPNCliSrvc) - mobile concepts GmbH - C:\Programme\S.A.D\CyberGhost VPN\CGVPNCliService.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
    O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
    O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
    O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
    O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programme\Eset\nod32krn.exe
    O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
    O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe
    O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    O23 - Service: WEP/WPA-PMK key recovery service (WZCOOK) - Unknown owner - F:\Temp\Aircrack\aircrack-ng-1.0-win\bin\wzcook.exe

    --
    End of file - 7538 bytes


    Kennt sich jemand damit aus, und kann mir helfen? BW ist natürlich selbstverständlich.


    mfg Trush
     
  2. 26. Februar 2009
    AW: Hijack Logfile-Auswertung

    HijackThis Logfileauswertung

    Das kopierste deine Logfile rein, dann siehste die Auswertung:
    O23 - Service: WEP/WPA-PMK key recovery service (WZCOOK) - Unknown owner - F:\Temp\Aircrack\aircrack-ng-1.0-win\bin\wzcook.exe <- schädlich, hast also was drauf
     
  3. 26. Februar 2009
    AW: Hijack Logfile-Auswertung

    O23 - Service: WEP/WPA-PMK key recovery service (WZCOOK) - Unknown owner - F:\Temp\Aircrack\aircrack-ng-1.0-win\bin\wzcook.exe

    Aircrack im Temp Ordner ? Fixxen wenn nicht gewollt, sonst hab ich nichts besonderes gefunden.
     
  4. 26. Februar 2009
    AW: Hijack Logfile-Auswertung

    Okay, hab das mal gelöscht. Trojaner oder Virus findet keine meiner Programme.
    Gibt's noch ne andere Möglichkeit, wie derjenige an mein Mail-Postfach gekommen sein könnte?
    Das Passwort war eigentlich kompliziert genug um Brute-Force-Angriffen standzuhalten.
    Weitergegeben hab ich es nicht.
    Um das Postfach ist es zwar schade, aber das war nicht wichtig. Ich mache mir eher Sorgen um mein Online-Banking bzw PayPal-Accounts.
     
  5. 26. Februar 2009
    AW: Hijack Logfile-Auswertung

    wenn du dir sorgen machst dann änder die daten so schnell es geht!
    du kannst ein PW so sicher machen wie du möchtest sobald du aber was eingefangen hast wo die daten dann zu ihm gesendet wird, hast in dem Fall erst mal Pech.

    Also schnell ändern was noch möglich ist.
    und das nächste mal besser aufpassen. und nur auf sichere seiten was laden.
    und wenn du was geschickt bekommst "exe." dann überprüf das hier erst

    VirusTotal - Free Online Virus, Malware and URL Scanner


    Lg

    Poli x
     
  6. 26. Februar 2009
    AW: Hijack Logfile: wzcook.exe

    Wenn du wirklich 100% sichergehen möchtest, dann formatier dein PC und änder danach das Passwort deiner Daten.
     
  7. 26. Februar 2009
    AW: Hijack Logfile: wzcook.exe

    Hallo?
    Das ist eine Datei aus der aircrack-ng Suite und KEIN Trojaner - Keylogger whatever.

    Ändere mal den WPA-Password vom Router und mehr dürfte nicht passiert sein, da wzcook.exe nur die Wireless-Passphrasen deines PCs entschlüsselt und anzeigt....

    MFG
    TuXiFiED
     
  8. 26. Februar 2009
    AW: Hijack Logfile: wzcook.exe

    Soll ich dir mal ne "explorer.exe" schicken ?! Ist doch nur der Explorer....
    Natürlich kann es einfach aircrack sein, aber im Temp ordner ?
    Wenn er weiss was es ist, dann isses natürlich unschädlich, ansonsten kann da schon was drin sein.
     
  9. 26. Februar 2009
    AW: Hijack Logfile: wzcook.exe

    Er solls mal auf

    VirusTotal - Free Online Virus, Malware and URL Scanner
    gegenchecken, aber auf den ersten Blick sieht es echt wie eben genanntes Tool aus.
    Normalerweise versteckt sich Malware auch nicht unbedingt im Temp-Ordner, sondern irgendwo in System32 oder im Windowsordner...

    mfg
    TuXiFiED
     
  10. Video Script

    Videos zum Themenbereich

    * gefundene Videos auf YouTube, anhand der Überschrift.