Brauche EURE Hilfe

Mike26 · 21.01.2005, 18:33

Hallo Leute ich brauche dringend EURE Hilfe.
Hatte einen üblen Trojaner:CWS und Leafet.
Habe alle mgl. Programme schon drüber gejagd.
Hatte unter HijackThis die automatische analyse laufen und habe die kritischen Objekte "gefixt"

Jetzt habe ich folgende HJT Log.:

Logfile of HijackThis v1.98.2
Scan saved at 17:58:55, on 21.01.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\ezSP_Px.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Microsoft Office\Office\FINDFAST.EXE
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\PROGRA~1\WinZip\winzip32.exe
C:\DOKUME~1\Mike\LOKALE~1\Temp\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=surfproxy.freenet.de:8080
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [TrojanScanner] C:\Programme\Trojan Remover\Trjscan.exe
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE

Bin ich jetzt clean???

Bitte um Eure Hilfe

Danke

Ein neuer Unerfahrener...

HerrKautz · 21.01.2005, 18:35

Lade dir bitte die aktuelle Version von HijackThis runter http://hijackthis.de/downloads/hijackthis_199.zip

poste ein neues Log dann!

Mike26 · 21.01.2005, 21:04

Logfile of HijackThis v1.99.0
Scan saved at 20:56:54, on 21.01.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\ezSP_Px.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Microsoft Office\Office\FINDFAST.EXE
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programme\frn_inss\frn_inss.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\WinZip\winzip32.exe
C:\DOKUME~1\Mike\LOKALE~1\Temp\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=surfproxy.freenet.de:8080
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [TrojanScanner] C:\Programme\Trojan Remover\Trjscan.exe
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O17 - HKLM\System\CCS\Services\Tcpip\..\{E0619BC0-9A82-4F8C-A8C3-218C7A157196}: NameServer = 62.104.191.241 62.104.196.134
O23 - Service: Adobe LM Service - Unknown - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: EPSON Printer Status Agent2 - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: %NVSVC.name% - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Sony SPTI Service - Sony Corporation - C:\PROGRA~1\GEMEIN~1\SONYSH~1\AVLib\Sptisrv.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Hoffe ich bin "clean".
Vielleicht kann jemand mal schauen...

chaosman · 21.01.2005, 21:27

@ Mike26
lasse diese datei C:\Programme\frn_inss\frn_inss.exe
hier online überprüfen
poste das ergebnis

Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
system und IE updaten, du benützt ein "scheunentorsystem"
chaosman

Mike26 · 21.01.2005, 23:41

Hallo hier der log ( das Programmm gehört zu Freenet):

Service load: 0% 100%

File: frn_inss.exe
Status: MIGHT BE INFECTED/MALWARE (Sandbox emulation took a long time and/or runtime packers were found, this is suspicious. Normally programs aren't packed and don't force the sandbox into lengthy emulation. Do realize no scanner issued any warning, the file can very well be harmless. Caution is advised, however.)
Packers detected: None

AntiVir No viruses found (0.67 seconds taken)
Avast No viruses found (3.09 seconds taken)
BitDefender No viruses found (1.35 seconds taken)
ClamAV No viruses found (1.61 seconds taken)
Dr.Web No viruses found (2.22 seconds taken)
F-Prot Antivirus No viruses found (0.30 seconds taken)
Kaspersky Anti-Virus No viruses found (4.45 seconds taken)
mks_vir No viruses found (1.63 seconds taken)
NOD32 No viruses found (2.22 seconds taken)
Norman Virus Control No viruses found (13.26 seconds taken)

Das war der letzte scan von Adaware:

ArchiveData(auto-quarantine- 2005-01-21 22-32-43.bckp)
Referencefile : SE1R25 11.01.2005
======================================================

COOLWEBSEARCH
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[0]=RegValue : software\microsoft\internet explorer\search "SearchAssistant"
obj[1]=RegValue : software\microsoft\internet explorer\main "Search Bar"
obj[2]=RegData : software\microsoft\windows\currentversion\internet settings "ProxyEnable"
obj[3]=Alternate Data Stream : C:\System Volume Information\_restore{312F2F01-5AA8-4FCA-9DD1-937A32248DE6}\RP50\A0021737.exe:uaeqee
obj[4]=Alternate Data Stream : C:\System Volume Information\_restore{312F2F01-5AA8-4FCA-9DD1-937A32248DE6}\RP51\A0028736.exe:uaeqee
obj[5]=Alternate Data Stream : C:\System Volume Information\_restore{312F2F01-5AA8-4FCA-9DD1-937A32248DE6}\RP51\A0028748.exe:uaeqee
obj[6]=Alternate Data Stream : C:\System Volume Information\_restore{312F2F01-5AA8-4FCA-9DD1-937A32248DE6}\RP51\A0028771.exe:uaeqee
obj[7]=Alternate Data Stream : C:\System Volume Information\_restore{312F2F01-5AA8-4FCA-9DD1-937A32248DE6}\RP52\A0028946.exe:uaeqee
obj[8]=Alternate Data Stream : C:\WINDOWS\unin0407.exe:uaeqee
obj[9]=Datei : C:\WINDOWS\system32\itcgn.log

Irgendwie bin ich immer noch verseucht.

chaosman · 22.01.2005, 09:07

@Mike26
hast du schon updatet?
lade dir escan download
anleitung
überprüfe Deinen Rechner zunächst mit dem eScan: lade den eScan runter, erstelle dafür einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus. Beachte, dass der eScan ab Version 4.5.1 gefundene Malware nicht löscht. Das wird von Hand auf Anweisung durch uns gemacht.

Teile uns dann das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre)
chaosman

Brauche EURE Hilfe

Log-Analyse und Auswertung: Brauche EURE Hilfe