Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Horsesrver

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 15.03.2005, 16:47   #1
Gravedigger
 
Horsesrver - Unglücklich

Horsesrver



Hallo zusammen!

Bei mir öffnet sich die ganze Zeit eine Seite die "Horseserver" heißt. Habe hier schon gesucht aber leider nichts passendes zu meinem Log-File gefunden.

Kann mir jemand helfen???


Weder mein Antivir noch mein Spy-bot noch Aol_Privacy Protection noch Ad-ware finden was!!!

Danke schon mal im voraus,
Gravedigger

PS: Arbeite mit Mozilla


Logfile of HijackThis v1.99.1
Scan saved at 16:44:43, on 15.03.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\System32\rmctrl.exe
C:\Programme\Java\jre1.5.0\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\PROGRA~1\GEMEIN~1\aol\AOLPRI~1\AOLSP Scheduler.exe
C:\WINDOWS\System32\open32.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\DLink\Bluetooth Software\bin\btwdins.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
C:\Programme\DLink\Bluetooth Software\BTTray.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe
C:\PROGRA~1\DLink\BLUETO~1\BTSTAC~1.EXE
C:\Programme\AOL 9.0\waol.exe
C:\Programme\AOL 9.0\shellmon.exe
C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
C:\Programme\AVPersonal\AVWIN.EXE
C:\Programme\Winamp\winamp.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
F:\Eigene Dateien\Zubehör\HijackThis.exe
C:\PROGRA~1\WinZip\winzip32.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = C:\WINDOWS\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [RemoteControl] C:\WINDOWS\System32\rmctrl.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AOL Spyware Protection] "C:\PROGRA~1\GEMEIN~1\aol\AOLPRI~1\AOLSP Scheduler.exe"
O4 - HKLM\..\Run: [Security iGuard] C:\Programme\Security iGuard\Security iGuard.exe
O4 - HKLM\..\Run: [Shell] open32.exe
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\DLink\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\DLink\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\DLink\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{0AAE2A05-2E65-474B-A5A3-E81CE393FC5E}: NameServer = 205.188.146.145
O18 - Filter: text/html - (no CLSID) - (no file)
O18 - Filter: text/plain - (no CLSID) - (no file)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: AOL Privacy Protection Service (AOLService) - Unknown owner - C:\PROGRA~1\GEMEIN~1\aol\AOLPRI~1\\aolserv.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\DLink\Bluetooth Software\bin\btwdins.exe
O23 - Service: McAfee.com Personal Firewall Service (MpfService) - McAfee.com Corporation - C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe

Alt 15.03.2005, 17:33   #2
dartus
 
Horsesrver - Standard

Horsesrver



Hallo Gravedigger,

Du hast den in Deinem System:

http://sophos.com/virusinfo/analyses/trojsmalldl.html = open.exe

Eine Beschreibung zum Entfernen ist mit dabei (am besten im abgesicherten Modus http://www.systemwiederherstellung-d...indows-xp.html ).

Führe bitte dies mal aus:
1. Downloade Dir escan und befolge diese Anleitung (Scan im AGBESICHERTEN MODUS dauert etwa eine Stunde),
2. starte nach dem Scan wieder in den normalen Modus,
3. öffne die Datei "mwav.log", klicke auf "bearbeiten" danach auf "suchen"
4. gebe dann "infected" ein,
5. suche weiter bei Treffern, markiere diese und kopiere sie ins Forum,
6. neben den Treffern auch das Gesamtergebnis (befindet sich ganz unter im Logfile) posten.

Beispiel:
Wed Feb 02 19:48:56 2005 => Total Files Scanned:
Wed Feb 02 19:48:56 2005 => Total Virus(es) Found:
.
.
.
.


dartus
__________________


Alt 15.03.2005, 20:24   #3
Gravedigger
 
Horsesrver - Standard

Horsesrver



So, läuft alles nach plan. E-scan hat einige Sachen gefunden:

C:\DOKUME~1\Vladimir\LOKALE~1\Temp\tmp81.tmp infected by "Trojan-Clicker.Win32.Small.dx" Virus. Action Taken: No Action Taken.

File C:\DOKUME~1\Vladimir\LOKALE~1\Temp\tmp8A.tmp infected by "Trojan-Clicker.Win32.Small.dx" Virus. Action Taken: No Action Taken.

File C:\Dokumente und Einstellungen\Vladimir\Lokale Einstellungen\Temp\tmp81.tmp infected by "Trojan-Clicker.Win32.Small.dx" Virus. Action Taken: No Action Taken.

File C:\Dokumente und Einstellungen\Vladimir\Lokale Einstellungen\Temp\tmp81.tmp infected by "Trojan-Clicker.Win32.Small.dx" Virus. Action Taken: No Action Taken.


C:\Programme\AVPersonal\INFECTED\*.*


C:\Programme\AVPersonal\INFECTED\winupdate43012943[1].VIR

File C:\Programme\AVPersonal\INFECTED\winupdate43012943[1].VIR infected by "Trojan-Downloader.Win32.Small.ait" Virus. Action Taken: No Action Taken.


Total Files Scanned: 37760
Tue Mar 15 19:40:20 2005 => Total Virus(es) Found: 9
Tue Mar 15 19:40:20 2005 => Total Disinfected Files: 0
Tue Mar 15 19:40:20 2005 => Total Files Renamed: 0
Tue Mar 15 19:40:20 2005 => Total Deleted Files: 0
Tue Mar 15 19:40:20 2005 => Total Errors: 47

bis denn!!!
Und nochmal Danke!!!
__________________

Alt 15.03.2005, 21:14   #4
dartus
 
Horsesrver - Standard

Horsesrver



Hallo Gravedigger,

klicke auf Start ---> auführen und geb "cleanmgr" ein --> Ok klicken --> laufwerk C: wählen --> "Temporäre Dateien" auswählen --> ok anklicken

Frage: Was hast Du mit Deinem IExplorer gemacht?
Der wird zum Updaten gebraucht!
Hier kannst Du die SP 2 downloaden
Microsoft
Alternativ hier
und alle SP 2-Updates bis 12.02.05

Empfehlenswert die 12 Punkte hier:

http://www.trojaner-board.de/showthread.php?t=12154

dartus

Alt 15.03.2005, 22:08   #5
Gravedigger
 
Horsesrver - Standard

Horsesrver



Den Explorer hab ich gelöscht nachdem ich meine Nerven verloren hatte mit einem anderen Virus oder was auch immer das auch war!


Alt 15.03.2005, 22:59   #6
dartus
 
Horsesrver - Standard

Horsesrver



Dann solltest Du öfters mal Microsoft besuchen und die Sicherheitsupdates einzeln downloaden, sonst bist Du bald mit größeren Problemen wieder da.

dartus

Alt 16.03.2005, 05:08   #7
Gravedigger
 
Horsesrver - Standard

Horsesrver



Dachte eigentlich daß ich mit Meinem Norton Internet-Security 2005 auf der sicheren Seite bin. Hab`s jetzt runter geschmissen und Mac Afee Firewall drauf. Mal sehen was die bringt!

Antwort

Themen zu Horsesrver
adobe, antivir, antivir update, avg, bho, drivers, excel, explorer, firewall, helfen, hijack, hijackthis, internet, internet explorer, log-file, monitor, nvcpl.dll, nvidia, privacy protection, programme, rundll, security, senden, software, spyware, spyware protection, sun java, symantec, system, windows, windows xp, öffnet




Zum Thema Horsesrver - Hallo zusammen! Bei mir öffnet sich die ganze Zeit eine Seite die "Horseserver" heißt. Habe hier schon gesucht aber leider nichts passendes zu meinem Log-File gefunden. Kann mir jemand helfen??? - Horsesrver...
Archiv
Du betrachtest: Horsesrver auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.