|
Log-Analyse und Auswertung: PeopleOnPageWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
15.02.2005, 21:03 | #1 |
| PeopleOnPage Hallo, bin ganz neu hier, habe wenig Erfahrung und ein Problem. Habe mir wohl etwas mieses eingefangen. Trotz NAV und Firewall. Waren wohl meine Kinder. PestPetrol meldet PeopleOnBord. Jeder Löschversuch ist gescheitert. Probier die Sache hier zum ersten mal aus. Hier mein Logfile Logfile of HijackThis v1.99.0 Scan saved at 21:01:32, on 15.02.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\ATI-CPanel\atiptaxx.exe C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe C:\WINDOWS\System32\hphmon04.exe C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe C:\Programme\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe C:\Programme\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe C:\WINDOWS\SOINTGR.EXE C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\eBay\eBay Toolbar2\eBayTBDaemon.exe C:\WINDOWS\system32\SerExt.exe C:\Programme\PestPatrol\PPMemCheck.exe C:\Programme\PestPatrol\PPControl.exe C:\Programme\PestPatrol\CookiePatrol.exe C:\WINDOWS\system32\rouberos.exe C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe C:\Programme\Roxio\Easy CD Creator 6\AudioCentral\Playlist.exe C:\Programme\PestPatrol\PPCL.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\resund3d.exe C:\Programme\Gigaset DECT\talk&surf_6_0\semon21.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\Programme\Norton AntiVirus\SAVScan.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe C:\WINDOWS\regedit.exe C:\WINDOWS\System32\HPHipm11.exe C:\Programme\Gigaset DECT\talk&surf_6_0\xcontrolcom.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\Admin\LOKALE~1\Temp\Rar$EX08.000\HijackThis.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\Programme\Messenger\msmsgs.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file) O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: eBay Toolbar Helper - {22D8E815-4A5E-4DFB-845E-AAB64207F5BD} - C:\Programme\eBay\eBay Toolbar2\eBayTB.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: eBay Toolbar - {92085AD4-F48A-450D-BD93-B28CC7DF67CE} - C:\Programme\eBay\eBay Toolbar2\eBayTB.dll O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe O4 - HKLM\..\Run: [HPHmon04] C:\WINDOWS\System32\hphmon04.exe O4 - HKLM\..\Run: [HPHUPD04] "C:\Programme\HP Photosmart 11\hphinstall\UniPatch\hphupd04.exe" O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Programme\Gemeinsame Dateien\Roxio Shared\System\EngUtil.exe" O4 - HKLM\..\Run: [RoxioDragToDisc] "C:\Programme\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe" O4 - HKLM\..\Run: [RoxioAudioCentral] "C:\Programme\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe" O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINDOWS\SOINTGR.EXE O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [XTIC] c:\programme\lg xtick2.91\xtick.exe sys_auto_run C:\Programme\LG XTICK2.91 O4 - HKLM\..\Run: [eBayToolbar] C:\Programme\eBay\eBay Toolbar2\eBayTBDaemon.exe O4 - HKLM\..\Run: [SerExt] SerExt.exe /unplug O4 - HKLM\..\Run: [PPMemCheck] C:\Programme\PestPatrol\PPMemCheck.exe O4 - HKLM\..\Run: [PestPatrol Control Center] C:\Programme\PestPatrol\PPControl.exe O4 - HKLM\..\Run: [CookiePatrol] C:\Programme\PestPatrol\CookiePatrol.exe O4 - HKLM\..\Run: [w3EO3pP] rouberos.exe O4 - HKLM\..\Run: [PestPatrolCL] C:\Programme\PestPatrol\PPCL.exe c:\ O4 - HKLM\..\RunServices: [DJSNetCN] C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: talk&surf 6.0 - Monitor.lnk = C:\Programme\Gigaset DECT\talk&surf_6_0\semon21.exe O8 - Extra context menu item: &eBay Search - res://C:\Programme\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll O12 - Plugin for ôå: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll O16 - DPF: {15B782AF-55D8-11D1-B477-006097098764} (Macromedia Authorware Web Player Control) - http://lernplattform.t-online.de/ibt...wlm/awswax.cab O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-17.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab O16 - DPF: {77E32299-629F-43C6-AB77-6A1E6D7663F6} (Groove Control) - http://www.nick.com/common/groove/gx/GrooveAX28.cab O16 - DPF: {BBCACFA8-B901-451E-A606-0FE678814967} (control to view directory & upload images) - http://www.uboot.com/h/int/applet/ph...toUploader.CAB O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - http://ax.phobos.apple.com.edgesuite...ITDetector.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{20DFAA88-7A50-407D-955C-F76F30B81248}: NameServer = 217.237.149.161 217.237.151.225 O17 - HKLM\System\CS2\Services\Tcpip\..\{20DFAA88-7A50-407D-955C-F76F30B81248}: NameServer = 217.237.149.161 217.237.151.225 O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: Symantec Licensing Detect Internet Connection - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe O23 - Service: Pml Driver HPH11 - HP - C:\WINDOWS\System32\HPHipm11.exe O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: SymWMI Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe O23 - Service: xControlCOM - Siemens - C:\Programme\Gigaset DECT\talk&surf_6_0\xcontrolcom.exe Brauche dringend Hilfe - Sabine |
15.02.2005, 21:29 | #2 | |
Administrator, a.D. | PeopleOnPage Hallo,
__________________Zitat:
Poste doch mal den genauen Pfad der Datei und die Fehlermeldung von PestPatrol.
__________________ |
15.02.2005, 21:50 | #3 |
| PeopleOnPage Sorry PeopleOnPage wird gemeldet
__________________PestPatrol hat Pests auf meinem Rechner gefunden. Ich habe die Protokolldatei, zur Prüfung beigefügt. OS: Windows XP Produkt-Edition:BlitzBox Licensed Sprache:German BlitzBox Licensed Edition. PestPatrol Version: 07.06.2004 4.4.3.24 PPServer.dll Version: 26.01.2003 PPMemCheck Version: 07.06.2004 PPCL Version: 07.06.2004 4.4.3.19 PPUpdater Version: 12.11.2004 4.4.4.72 PPfile.dat Version: 11.02.2005 PPInfo.dat Version: 11.02.2005 Spyware.dat Version: 11.02.2005 Pests gefunden: PeopleOnPage,HKEY_LOCAL_MACHINE\software\autoloader,na,na,15.02.2005,00-0C-6E-97-48-51,DEU Jeder Löschversuch war sinnlos, beim nächsten start ist die Meldung wieder da. Sabine |
15.02.2005, 22:09 | #4 |
| PeopleOnPage @SabineJ lade escan download anleitung überprüfe Deinen Rechner zunächst mit dem eScan: lade den eScan runter, erstelle dafür einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus. Beachte, dass der eScan ab Version 4.5.1 gefundene Malware nicht löscht. Das wird von Hand auf Anweisung durch uns gemacht. Teile uns dann das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre) chaosman
__________________ Bonus vir semper tiro |
15.02.2005, 22:25 | #5 |
| PeopleOnPage Sieht aus, als ob es sich um diese Kontaktseite handelt: http://www.peopleonpage.com/ Dort gibt es anscheinend auch die ensprechende Software, welche PP meldet. |
16.02.2005, 11:57 | #6 |
| PeopleOnPage Hallo habe eScan durchgeführt. Hier die Liste. Darf ich noch Hoffnung haben? File C:\WINDOWS\system32\rouberos.exe infected by "Trojan-Downloader.Win32.Agent.ji" Virus. Action Taken: No Action Taken. File C:\WINDOWS\d8.exe infected by "Trojan-Downloader.Win32.Small.ahx" Virus. Action Taken: No Action Taken. File C:\WINDOWS\system32\resund3d.exe infected by "Trojan-Downloader.Win32.Agent.ji" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\Admin\LOKALE~1\TEMPOR~1\Content.IE5\S5C7WLMZ\AutoUpdaterInstaller[1].exe infected by "Trojan-Downloader.Win32.Apropo.g" Virus. Action Taken: No Action Taken. File C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temporary Internet Files\Content.IE5\S5C7WLMZ\AutoUpdaterInstaller[1].exe infected by "Trojan-Downloader.Win32.Apropo.g" Virus. Action Taken: No Action Taken. File C:\Dokumente und Einstellungen\Nina Jahns\Lokale Einstellungen\Temporary Internet Files\Content.IE5\MJZ0YUST\AutoUpdaterInstaller[1].exe infected by "Trojan-Downloader.Win32.Apropo.g" Virus. Action Taken: No Action Taken. File C:\Program Files\Internet Optimizer\update\optimize312.exe infected by "Trojan-Downloader.Win32.Dyfuca.du" Virus. Action Taken: No Action Taken. File C:\Programme\CxtPls\CxtPls.dll infected by "not-a-virus:AdWare.Apropos.e" Virus. Action Taken: No Action Taken. File C:\Programme\CxtPls\CxtPls.exe infected by "not-a-virus:AdWare.Apropos.f" Virus. Action Taken: No Action Taken. File C:\Programme\Norton AntiVirus\Quarantine\030D1ACF infected by "Email-Worm.Win32.NetSky.b" Virus. Action Taken: No Action Taken. File C:\Programme\Norton AntiVirus\Quarantine\06FA32AD infected by "not-a-virus:AdWare.Apropos.b" Virus. Action Taken: No Action Taken. File C:\Programme\Norton AntiVirus\Quarantine\06FD5CAA infected by "Trojan-Downloader.Win32.Dyfuca.gen" Virus. Action Taken: No Action Taken. File C:\Programme\Norton AntiVirus\Quarantine\070006A6 infected by "not-a-virus:AdWare.Wintol.t" Virus. Action Taken: No Action Taken. File C:\Programme\Norton AntiVirus\Quarantine\18DC2951 infected by "Email-Worm.Win32.NetSky.b" Virus. Action Taken: No Action Taken. File C:\Programme\Norton AntiVirus\Quarantine\1E75150A infected by "Trojan-Downloader.Win32.Lookme.g" Virus. Action Taken: No Action Taken. File C:\Programme\Norton AntiVirus\Quarantine\203B63D0 infected by "Email-Worm.Win32.NetSky.b" Virus. Action Taken: No Action Taken. File C:\Programme\Norton AntiVirus\Quarantine\2A2E560C infected by "not-a-virus:AdWare.SurfSide.a" Virus. Action Taken: No Action Taken. File C:\Programme\Norton AntiVirus\Quarantine\2C785604 infected by "not-a-virus:AdWare.WinShow.f" Virus. Action Taken: No Action Taken. File C:\Programme\Norton AntiVirus\Quarantine\35BE120B infected by "not-a-virus:AdWare.Wintol.t" Virus. Action Taken: No Action Taken. File C:\Programme\Norton AntiVirus\Quarantine\3C061C6B infected by "Email-Worm.Win32.NetSky.b" Virus. Action Taken: No Action Taken. File C:\Programme\Norton AntiVirus\Quarantine\3DDC40B7 infected by "Email-Worm.Win32.NetSky.b" Virus. Action Taken: No Action Taken. File C:\Programme\Norton AntiVirus\Quarantine\3E0E6752 infected by "Email-Worm.Win32.NetSky.b" Virus. Action Taken: No Action Taken. File C:\Programme\Norton AntiVirus\Quarantine\42F6422A infected by "Email-Worm.Win32.NetSky.b" Virus. Action Taken: No Action Taken. File C:\Programme\Norton AntiVirus\Quarantine\44C26C31 infected by "Email-Worm.Win32.NetSky.b" Virus. Action Taken: No Action Taken. File C:\Programme\Norton AntiVirus\Quarantine\4A3E4B59 infected by "Email-Worm.Win32.NetSky.b" Virus. Action Taken: No Action Taken. File C:\Programme\Norton AntiVirus\Quarantine\503678C3 infected by "Email-Worm.Win32.NetSky.b" Virus. Action Taken: No Action Taken. File C:\Programme\Norton AntiVirus\Quarantine\54C3655B infected by "not-a-virus:AdWare.Look2Me.r" Virus. Action Taken: No Action Taken. File C:\Programme\Norton AntiVirus\Quarantine\5E554EAF infected by "Trojan.Win32.Delf.gh" Virus. Action Taken: No Action Taken. File C:\Programme\Norton AntiVirus\Quarantine\6466780D infected by "Trojan-Downloader.Win32.Apropo.g" Virus. Action Taken: No Action Taken. File C:\Programme\Norton AntiVirus\Quarantine\64A52DAA infected by "Email-Worm.Win32.NetSky.b" Virus. Action Taken: No Action Taken. File C:\Programme\Norton AntiVirus\Quarantine\6A336AB6 infected by "Email-Worm.Win32.NetSky.b" Virus. Action Taken: No Action Taken. File C:\Programme\Norton AntiVirus\Quarantine\6B5F377E infected by "Email-Worm.Win32.NetSky.b" Virus. Action Taken: No Action Taken. File C:\Programme\Norton AntiVirus\Quarantine\6FF6340B infected by "Trojan-Downloader.Win32.Dyfuca.dk" Virus. Action Taken: No Action Taken. File C:\Programme\Norton AntiVirus\Quarantine\7D0D74B2 infected by "Trojan-Dropper.Win32.SurfSide.a" Virus. Action Taken: No Action Taken. File C:\WINDOWS\d8.exe infected by "Trojan-Downloader.Win32.Small.ahx" Virus. Action Taken: No Action Taken. File C:\WINDOWS\system32\resund3d.exe infected by "Trojan-Downloader.Win32.Agent.ji" Virus. Action Taken: No Action Taken. |
17.02.2005, 09:13 | #7 |
| PeopleOnPage @SabineJ ich würde an deiner stell das system neuafsetzen(formatC), da doch relativ viel malware im system ist. hier eine anleitung http://www.trojaner-board.de/showpos...28&postcount=2 sry chaosman
__________________ Bonus vir semper tiro |
Themen zu PeopleOnPage |
adobe, antivirus, antivirus scan, askbar, bho, control center, dateien, dringend, drivers, ebay, explorer, hijack, hijackthis, internet, internet explorer, messenger, microsoft, neu, programme, security, security center, settings manager, software, sun java, symantec, system, system32, temp, update, urlsearchhook, windows, windows messenger, windows xp |