Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
Trojaner durch 180Solutions

Trojaner durch 180Solutions


Log-Analyse und Auswertung: Trojaner durch 180Solutions

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 27.03.2005, 23:34   #1
AndreasG
 
Trojaner durch 180Solutions - Standard

Trojaner durch 180Solutions


Hallo,

vermutlich wurde die antwort auf mein Problem hier schon zig mal gepostet, aber ich finde mich durch die vielen Fragen bzw. vorgeschlagenen Lösungen einfach nicht schlüssig durch.
Der Rechner hier (Windows98) hat Probleme durch 180Solutions und Ebatemoemoneymaker (oder so ähnlich).
Jedesmal bei Benutzung des IE findet AntiVir infizierte Dateien à la "c:/windows/temp/se.DLL ist das trojanische Pferd TR/startPage.qr.DLL" Ich hatte AntiVir und Ad-aware laufen lassen, die auch hunderte (ehrlich!) von zu bemängelnden Dateien fanden, davon knapp 300 in einem Verzeichnis c:/_RESTORE/ARCHIVE, das ich nicht gefunden habe.
Nach mehreren Scans war der Computer sauber, zumindest wurde nix mehr erkannt. Die bschriebenen Probleme scheinen sich aber immer wieder neu zu re-installieren.
Vielleicht darf ch mal die Log hier posten und ein hilfreicher Mensch kann mir was dazu sagen. Wenn möglich so, dass ich als Computer-Halbdummi das auch verstehe ;-)

Logfile of HijackThis v1.99.1
Scan saved at 00:27:29, on 28.03.2005
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\MICROSOFT SHARED\VS7DEBUG\MDM.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\HPZTSB04.EXE
C:\PROGRAMME\ELABORATE BYTES\CLONECD\CLONECDTRAY.EXE
C:\PROGRAMME\WINAMP\WINAMPA.EXE
C:\PROGRAMME\ANTIVIR\AVGCTRL.EXE
C:\WINDOWS\SYSTEM\CTFMON.EXE
C:\PROGRAMME\NETSCAPE\NETSCAPE 6\NETSCP.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\ULEAD SYSTEMS\ULEAD PHOTO EXPRESS 4.0 SE\CALCHECK.EXE
C:\PROGRAMME\D-LINK AIRPLUS XTREME G\AIRPLUS.EXE
C:\PROGRAMME\NIKON\NKVIEW6\NKVMON.EXE
C:\PROGRAMME\HIJACKTHIS\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/spage.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/spage.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.supermegasite.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: Cls - {CF021F40-3E14-23A5-CBA2-716D74632608} - C:\WINDOWS\SYSTEM\MTC2608.DLL
O2 - BHO: Cls - {CF021F40-3E14-23A5-CBA2-717765721316} - C:\WINDOWS\SYSTEM\WER1316.DLL (file missing)
O2 - BHO: Cls - {CF021F40-3E14-23A5-CBA2-7173706D1316} - C:\WINDOWS\SYSTEM\SPM1316.DLL (file missing)
O2 - BHO: Cls - {CF021F40-3E14-23A5-CBA2-717765728274} - C:\WINDOWS\SYSTEM\WER8274.DLL
O2 - BHO: (no name) - {65F15984-B693-48EE-850E-4B526735D27F} - C:\WINDOWS\SYSTEM\GEDM.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\SYSTEM\hpztsb04.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [WinampAgent] "C:\PROGRAMME\WINAMP\WINAMPa.exe"
O4 - HKLM\..\Run: [ynejehxhl] C:\WINDOWS\SYSTEM\dpvirm.exe
O4 - HKLM\..\Run: [Tnwnql] C:\PROGRAM FILES\GUVBAZY\EDYN.EXE
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\ANTIVIR\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [EbatesMoeMoneyMaker0] "C:\PROGRAMME\EBATES_MOEMONEYMAKER\EbatesMoeMoneyMaker0.exe"
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [MDM7] "C:\PROGRAMME\GEMEINSAME DATEIEN\MICROSOFT SHARED\VS7DEBUG\MDM.EXE"
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\Netscape\Netscape 6\Netscp.exe" -turbo
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Startup: Ulead Kalendar Checker 4.0 SE.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
O4 - Startup: D-Link AirPlus Xtreme G Configuration Utility.lnk = C:\Programme\D-Link AirPlus Xtreme G\AirPlus.exe
O4 - Startup: NkvMon.exe.lnk = C:\Programme\Nikon\NkView6\NkvMon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\OFFICE10\EXCEL.EXE/3000
O9 - Extra button: Net2Phone - {4B30061A-5B39-11D3-80F8-0090276F843F} - C:\Program Files\Net2Phone\Net2fone.exe (file missing)
O9 - Extra 'Tools' menuitem: Net2Phone - {4B30061A-5B39-11D3-80F8-0090276F843F} - C:\Program Files\Net2Phone\Net2fone.exe (file missing)
O9 - Extra button: AOL Instant Messenger (TM) - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\PROGRAMME\AIM95\AIM.EXE (file missing)
O9 - Extra button: Ebates - {6685509E-B47B-4f47-8E16-9A5F3A62F683} - file://C:\PROGRAMME\EBATES_MOEMONEYMAKER\Sy350\Tp350\scri350a.htm (file missing) (HKCU)
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security2.norton.com/SSC/Shar.../bin/cabsa.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security2.norton.com/SSC/Shar...in/AvSniff.cab
O16 - DPF: {11311111-1111-1111-1111-111111111157} - file://C:\Recycled\Q330995.exe
O18 - Filter: text/html - {7B2179F9-571C-4E2A-A175-A5C1931C428C} - C:\WINDOWS\SYSTEM\GEDM.DLL
O18 - Filter: text/plain - {7B2179F9-571C-4E2A-A175-A5C1931C428C} - C:\WINDOWS\SYSTEM\GEDM.DLL

Schon mal besten Dank vorab!
Ach ja, ich benutze derzeit zum surfen den Netscape, den ich zwar nicht mag, der aber dafür keinerlei Probleme bereitet.

herzliche Grüße,
Andreas

Alt 27.03.2005, 23:41   #2
Paul7338
 
Trojaner durch 180Solutions - Standard

Trojaner durch 180Solutions


Das solltest du fixen

Searchbar
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/spage.html

Searchbar
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/spage.html

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)


Toolbar
O2 - BHO: Cls - {CF021F40-3E14-23A5-CBA2-716D74632608} - C:\WINDOWS\SYSTEM\MTC2608.DLL

Mir Unbekannt
O4 - HKLM\..\Run: [EbatesMoeMoneyMaker0] "C:\PROGRAMME\EBATES_MOEMONEYMAKER\EbatesMoeMoneyMa ker0.exe"

Böse datei im Mülleimer also Mülleimer leeren
O16 - DPF: {11311111-1111-1111-1111-111111111157} - file://C:\Recycled\Q330995.exe
__________________
Alt 27.03.2005, 23:43   #3
Haui45
 
Trojaner durch 180Solutions - Standard

Trojaner durch 180Solutions


Arbeite das ab und poste dann ein neues HjT-Logfile.
__________________
Alt 27.03.2005, 23:54   #4
dartus
 
Trojaner durch 180Solutions - Standard

Trojaner durch 180Solutions


Hallo AndreasG,

zunachst lies Dich einmal hier durch (insbesonder Posiing #62 -Lutz):
http://www.trojaner-board.de/showthread.php?t=14366
Downloade das Tool und starte es.

Wechsel dann in den abgesicheren Modus bei deaktivierter Systemwiederhrstellung und fixe (Scan mit Hijackthis, Häckchen vor Einträgen und auf Fix checked klicken) folgende Einträge:
http://www.systemwiederherstellung-d...indows-xp.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.supermegasite.com
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: Cls - {CF021F40-3E14-23A5-CBA2-716D74632608} - C:\WINDOWS\SYSTEM\MTC2608.DLL
O2 - BHO: Cls - {CF021F40-3E14-23A5-CBA2-717765721316} - C:\WINDOWS\SYSTEM\WER1316.DLL (file missing)
O2 - BHO: Cls - {CF021F40-3E14-23A5-CBA2-7173706D1316} - C:\WINDOWS\SYSTEM\SPM1316.DLL (file missing)
O2 - BHO: Cls - {CF021F40-3E14-23A5-CBA2-717765728274} - C:\WINDOWS\SYSTEM\WER8274.DLL
O4 - HKLM\..\Run: [ynejehxhl] C:\WINDOWS\SYSTEM\dpvirm.exe
O4 - HKLM\..\Run: [Tnwnql] C:\PROGRAM FILES\GUVBAZY\EDYN.EXE
O4 - HKLM\..\Run: [EbatesMoeMoneyMaker0] "C:\PROGRAMME\EBATES_MOEMONEYMAKER\EbatesMoeMoneyMa ker0.exe
O9 - Extra button: Net2Phone - {4B30061A-5B39-11D3-80F8-0090276F843F} - C:\Program Files\Net2Phone\Net2fone.exe (file missing)
O9 - Extra 'Tools' menuitem: Net2Phone - {4B30061A-5B39-11D3-80F8-0090276F843F} - C:\Program Files\Net2Phone\Net2fone.exe (file missing)
O9 - Extra button: AOL Instant Messenger (TM) - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\PROGRAMME\AIM95\AIM.EXE (file missing)
O9 - Extra button: Ebates - {6685509E-B47B-4f47-8E16-9A5F3A62F683} - file://C:\PROGRAMME\EBATES_MOEMONEYMAKER\Sy350\Tp350\scri 350a.htm (file missing) (HKCU)
O16 - DPF: {11311111-1111-1111-1111-111111111157} - file://C:\Recycled\Q330995.exe

Folgende Dateien/Ordner manuell löschen:

C:\WINDOWS\SYSTEM\MTC2608.DLL
C:\WINDOWS\SYSTEM\WER8274.DLL
C:\WINDOWS\SYSTEM\dpvirm.exe
C:\PROGRAM FILES\GUVBAZY\EDYN.EXE
C:\PROGRAMME\EBATES_MOEMONEYMAKER

Papierkorb leeren

System herunterfahren --> Neustart --> Systemwiederherstellung aktivieren

Bitte neues Logfile

dartus
Geändert von dartus (28.03.2005 um 00:00 Uhr)

Alt 28.03.2005, 08:57   #5
AndreasG
 
Trojaner durch 180Solutions - Standard

Trojaner durch 180Solutions


Zitat:
Zitat von Haui45
Arbeite das ab und poste dann ein neues HjT-Logfile.
Hallo haui45,

habe das Progrämmchen heruntergeladen und ausgeführt. Nach einem Neustart kam die Meldung, der Computer sei nun desinfiziert. Wäre ja zu schön, wenn das schon alles gewesen wäre ...

Hier nun die neue Log:

Logfile of HijackThis v1.99.1
Scan saved at 10:01:56, on 28.03.2005
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\MICROSOFT SHARED\VS7DEBUG\MDM.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\HPZTSB04.EXE
C:\PROGRAMME\ELABORATE BYTES\CLONECD\CLONECDTRAY.EXE
C:\PROGRAMME\WINAMP\WINAMPA.EXE
C:\PROGRAMME\ANTIVIR\AVGCTRL.EXE
C:\WINDOWS\SYSTEM\CTFMON.EXE
C:\PROGRAMME\NETSCAPE\NETSCAPE 6\NETSCP.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\ULEAD SYSTEMS\ULEAD PHOTO EXPRESS 4.0 SE\CALCHECK.EXE
C:\PROGRAMME\D-LINK AIRPLUS XTREME G\AIRPLUS.EXE
C:\PROGRAMME\NIKON\NKVIEW6\NKVMON.EXE
C:\PROGRAMME\HIJACKTHIS\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/spage.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/spage.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.supermegasite.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: Cls - {CF021F40-3E14-23A5-CBA2-716D74632608} - C:\WINDOWS\SYSTEM\MTC2608.DLL
O2 - BHO: Cls - {CF021F40-3E14-23A5-CBA2-717765721316} - C:\WINDOWS\SYSTEM\WER1316.DLL (file missing)
O2 - BHO: Cls - {CF021F40-3E14-23A5-CBA2-7173706D1316} - C:\WINDOWS\SYSTEM\SPM1316.DLL (file missing)
O2 - BHO: Cls - {CF021F40-3E14-23A5-CBA2-717765728274} - C:\WINDOWS\SYSTEM\WER8274.DLL
O2 - BHO: (no name) - {F11457A0-4C27-4EBF-B564-1EAEA819AD6C} - C:\WINDOWS\SYSTEM\GEDM.DLL (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\SYSTEM\hpztsb04.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [WinampAgent] "C:\PROGRAMME\WINAMP\WINAMPa.exe"
O4 - HKLM\..\Run: [ynejehxhl] C:\WINDOWS\SYSTEM\dpvirm.exe
O4 - HKLM\..\Run: [Tnwnql] C:\PROGRAM FILES\GUVBAZY\EDYN.EXE
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\ANTIVIR\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [EbatesMoeMoneyMaker0] "C:\PROGRAMME\EBATES_MOEMONEYMAKER\EbatesMoeMoneyMaker0.exe"
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [MDM7] "C:\PROGRAMME\GEMEINSAME DATEIEN\MICROSOFT SHARED\VS7DEBUG\MDM.EXE"
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\Netscape\Netscape 6\Netscp.exe" -turbo
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Startup: Ulead Kalendar Checker 4.0 SE.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
O4 - Startup: D-Link AirPlus Xtreme G Configuration Utility.lnk = C:\Programme\D-Link AirPlus Xtreme G\AirPlus.exe
O4 - Startup: NkvMon.exe.lnk = C:\Programme\Nikon\NkView6\NkvMon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\OFFICE10\EXCEL.EXE/3000
O9 - Extra button: Net2Phone - {4B30061A-5B39-11D3-80F8-0090276F843F} - C:\Program Files\Net2Phone\Net2fone.exe (file missing)
O9 - Extra 'Tools' menuitem: Net2Phone - {4B30061A-5B39-11D3-80F8-0090276F843F} - C:\Program Files\Net2Phone\Net2fone.exe (file missing)
O9 - Extra button: AOL Instant Messenger (TM) - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\PROGRAMME\AIM95\AIM.EXE (file missing)
O9 - Extra button: Ebates - {6685509E-B47B-4f47-8E16-9A5F3A62F683} - file://C:\PROGRAMME\EBATES_MOEMONEYMAKER\Sy350\Tp350\scri350a.htm (file missing) (HKCU)
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security2.norton.com/SSC/Shar.../bin/cabsa.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security2.norton.com/SSC/Shar...in/AvSniff.cab
O16 - DPF: {11311111-1111-1111-1111-111111111157} - file://C:\Recycled\Q330995.exe
O18 - Filter: text/html - {37239432-F955-4FB3-9392-33D70FDF897E} - C:\WINDOWS\SYSTEM\GEDM.DLL
O18 - Filter: text/plain - {37239432-F955-4FB3-9392-33D70FDF897E} - C:\WINDOWS\SYSTEM\GEDM.DLL

Vielen Dank,
Andreas


Alt 28.03.2005, 09:26   #6
AndreasG
 
Trojaner durch 180Solutions - Standard

Trojaner durch 180Solutions


Hallo dartus,

habe alle angegebenen Dateien gefixt, allerdings von den zu löschenden Dateien waren die meisten schon nicht mehr vorhanden:

C:\WINDOWS\SYSTEM\MTC2608.DLL --> gelöscht, eine ...MTC2608.tmp habe ich aber stehen gelassen
C:\WINDOWS\SYSTEM\WER8274.DLL --> gelöscht, eine ...WER8274.tmp habe ich stehen gelassen
C:\WINDOWS\SYSTEM\dpvirm.exe --> nicht vorhanden
C:\PROGRAM FILES\GUVBAZY\EDYN.EXE --> nicht vorhanden, der Ordner GUVBAZY war vorhanden, aber leer
C:\PROGRAMME\EBATES_MOEMONEYMAKER --> nicht vorhanden

hier ist die neue Log:

Logfile of HijackThis v1.99.1
Scan saved at 10:29:06, on 28.03.2005
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\MICROSOFT SHARED\VS7DEBUG\MDM.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\HPZTSB04.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\PROGRAMME\ELABORATE BYTES\CLONECD\CLONECDTRAY.EXE
C:\PROGRAMME\WINAMP\WINAMPA.EXE
C:\PROGRAMME\ANTIVIR\AVGCTRL.EXE
C:\WINDOWS\SYSTEM\CTFMON.EXE
C:\PROGRAMME\NETSCAPE\NETSCAPE 6\NETSCP.EXE
C:\PROGRAMME\ULEAD SYSTEMS\ULEAD PHOTO EXPRESS 4.0 SE\CALCHECK.EXE
C:\PROGRAMME\D-LINK AIRPLUS XTREME G\AIRPLUS.EXE
C:\PROGRAMME\NIKON\NKVIEW6\NKVMON.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\HIJACKTHIS\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/spage.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/spage.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: (no name) - {F11457A0-4C27-4EBF-B564-1EAEA819AD6C} - C:\WINDOWS\SYSTEM\GEDM.DLL (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\SYSTEM\hpztsb04.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [WinampAgent] "C:\PROGRAMME\WINAMP\WINAMPa.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\ANTIVIR\AVGCTRL.EXE /min
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [MDM7] "C:\PROGRAMME\GEMEINSAME DATEIEN\MICROSOFT SHARED\VS7DEBUG\MDM.EXE"
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\Netscape\Netscape 6\Netscp.exe" -turbo
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Startup: Ulead Kalendar Checker 4.0 SE.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
O4 - Startup: D-Link AirPlus Xtreme G Configuration Utility.lnk = C:\Programme\D-Link AirPlus Xtreme G\AirPlus.exe
O4 - Startup: NkvMon.exe.lnk = C:\Programme\Nikon\NkView6\NkvMon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\OFFICE10\EXCEL.EXE/3000
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security2.norton.com/SSC/Shar.../bin/cabsa.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security2.norton.com/SSC/Shar...in/AvSniff.cab
O18 - Filter: text/html - {37239432-F955-4FB3-9392-33D70FDF897E} - C:\WINDOWS\SYSTEM\GEDM.DLL
O18 - Filter: text/plain - {37239432-F955-4FB3-9392-33D70FDF897E} - C:\WINDOWS\SYSTEM\GEDM.DLL

Wäre toll, wenn Du damit was anfangen könntest.

Vielen dank einstweilen für Deine bzw. Eure Bemühungen!

Andreas



Papierkorb leeren

System herunterfahren --> Neustart --> Systemwiederherstellung aktivieren

Bitte neues Logfile

dartus[/QUOTE]

Alt 28.03.2005, 14:03   #7
dartus
 
Trojaner durch 180Solutions - Standard

Trojaner durch 180Solutions


Hallo AndreasG,

wechsel bitte nochmals in den abgesicherten Modus bei deaktivierter Systemwiederherstellung und fixe:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/spage.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/spage.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {F11457A0-4C27-4EBF-B564-1EAEA819AD6C} - C:\WINDOWS\SYSTEM\GEDM.DLL (file missing)
O18 - Filter: text/html - {37239432-F955-4FB3-9392-33D70FDF897E} - C:\WINDOWS\SYSTEM\GEDM.DLL
O18 - Filter: text/plain - {37239432-F955-4FB3-9392-33D70FDF897E} - C:\WINDOWS\SYSTEM\GEDM.DLL

Verwende zum Surfen einen sicheren Browser, den IE nur noch zum Updaten.

dartus

Alt 29.03.2005, 19:18   #8
AndreasG
 
Trojaner durch 180Solutions - Standard

Trojaner durch 180Solutions


Hallo dartus,

herzlichen Dank für die Hilfe, ich glaube es ist jetzt alles sauber.

beste Grüße,
Andreas

Zitat:
Zitat von dartus
Hallo AndreasG,

wechsel bitte nochmals in den abgesicherten Modus bei deaktivierter Systemwiederherstellung und fixe:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/spage.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/spage.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {F11457A0-4C27-4EBF-B564-1EAEA819AD6C} - C:\WINDOWS\SYSTEM\GEDM.DLL (file missing)
O18 - Filter: text/html - {37239432-F955-4FB3-9392-33D70FDF897E} - C:\WINDOWS\SYSTEM\GEDM.DLL
O18 - Filter: text/plain - {37239432-F955-4FB3-9392-33D70FDF897E} - C:\WINDOWS\SYSTEM\GEDM.DLL

Verwende zum Surfen einen sicheren Browser, den IE nur noch zum Updaten.

dartus

Alt 29.03.2005, 20:19   #9
cronos
 
Trojaner durch 180Solutions - Standard

Trojaner durch 180Solutions


Es wäre schön, wenn du nochmal einen aktuellen Log zur Nachkontrolle senden könntest.
__________________
Only cronos endures

Alt 29.03.2005, 23:14   #10
AndreasG
 
Trojaner durch 180Solutions - Standard

Trojaner durch 180Solutions


Zitat:
Zitat von cronos
Es wäre schön, wenn du nochmal einen aktuellen Log zur Nachkontrolle senden könntest.
Hallo cronos,

das mach' ich doch sehr gerne. Hab' mich nur nicht so recht getraut, weil Ihr hier ja absolut einen Fulltime-Job habt und ich Euch nicht unnötig belasten wollte.
Jedenfalls habe ich keine Probleme mehr bemerkt, benutze allerdings auch den IE nicht mehr.

Hier die Log file:

Logfile of HijackThis v1.99.1
Scan saved at 00:18:18, on 30.03.2005
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\MICROSOFT SHARED\VS7DEBUG\MDM.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\HPZTSB04.EXE
C:\PROGRAMME\ELABORATE BYTES\CLONECD\CLONECDTRAY.EXE
C:\PROGRAMME\WINAMP\WINAMPA.EXE
C:\PROGRAMME\ANTIVIR\AVGCTRL.EXE
C:\WINDOWS\SYSTEM\CTFMON.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\PROGRAMME\ULEAD SYSTEMS\ULEAD PHOTO EXPRESS 4.0 SE\CALCHECK.EXE
C:\PROGRAMME\D-LINK AIRPLUS XTREME G\AIRPLUS.EXE
C:\PROGRAMME\NIKON\NKVIEW6\NKVMON.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\NETSCAPE\NETSCAPE 6\NETSCP.EXE
C:\PROGRAMME\HIJACKTHIS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.pilzepilze.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\SYSTEM\hpztsb04.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [WinampAgent] "C:\PROGRAMME\WINAMP\WINAMPa.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\ANTIVIR\AVGCTRL.EXE /min
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [MDM7] "C:\PROGRAMME\GEMEINSAME DATEIEN\MICROSOFT SHARED\VS7DEBUG\MDM.EXE"
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\Netscape\Netscape 6\Netscp.exe" -turbo
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Startup: Ulead Kalendar Checker 4.0 SE.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
O4 - Startup: D-Link AirPlus Xtreme G Configuration Utility.lnk = C:\Programme\D-Link AirPlus Xtreme G\AirPlus.exe
O4 - Startup: NkvMon.exe.lnk = C:\Programme\Nikon\NkView6\NkvMon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\OFFICE10\EXCEL.EXE/3000
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security2.norton.com/SSC/Shar.../bin/cabsa.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security2.norton.com/SSC/Shar...in/AvSniff.cab

besten Dank für Durchsicht und Kommentar!

herzlichen Gruß,
Andreas

Alt 30.03.2005, 00:18   #11
dartus
 
Trojaner durch 180Solutions - Standard

Trojaner durch 180Solutions


Hi,

sieht aus meiner Sicht gut aus.
Netscape gibt es IMHO aktuelleres.
Ein schlankerer Browser ist Firefox.

dartus

Antwort

Themen zu Trojaner durch 180Solutions
ad-aware, adobe, antivir, antivirus, antivirus scan, askbar, bho, computer, excel, explorer, file missing, frage, hijack, hijackthis, immer wieder, infizierte, infizierte dateien, internet, internet explorer, launch, mehrere, mozilla, nicht gefunden, problem, programme, registry, rundll, software, solution, surfen, symantec, system, trojaner, urlsearchhook, windows, windows\temp


« Bitte um log Überprüfung | Kann mir vielleicht einer helfen? »


Ähnliche Themen: Trojaner durch 180Solutions


  1. TR/Dldr.Delf.R und dr/180solutions
    Plagegeister aller Art und deren Bekämpfung - 03.12.2009 (9)
  2. Trojaner DR/180Solutions.B
    Plagegeister aller Art und deren Bekämpfung - 06.06.2005 (6)
  3. Dr/180solutions.B kann mir wer helfen
    Log-Analyse und Auswertung - 16.04.2005 (5)
  4. Brauche Hilfe bei 180Solutions
    Log-Analyse und Auswertung - 31.03.2005 (3)
  5. HILFE!!DR/180Solutions bzw. PMS/180Solutions.A
    Log-Analyse und Auswertung - 27.02.2005 (1)
  6. DR/180Solutions
    Log-Analyse und Auswertung - 27.02.2005 (11)
  7. DR/180Solutions
    Plagegeister aller Art und deren Bekämpfung - 24.01.2005 (5)
  8. DR/180solutions
    Log-Analyse und Auswertung - 15.01.2005 (7)
  9. DR/180Solutions
    Plagegeister aller Art und deren Bekämpfung - 08.01.2005 (1)
  10. DR/180Solutions
    Plagegeister aller Art und deren Bekämpfung - 02.01.2005 (14)
  11. DR/180Solutions - brauch auch help bei log :(
    Plagegeister aller Art und deren Bekämpfung - 28.12.2004 (10)
  12. DR/180solutions !!!HILFE!!!
    Plagegeister aller Art und deren Bekämpfung - 01.12.2004 (5)
  13. dr/180solutions dropper please help me...
    Plagegeister aller Art und deren Bekämpfung - 18.11.2004 (3)
  14. dr/180solutions please help me...
    Log-Analyse und Auswertung - 17.11.2004 (3)
  15. Dropper DR/180Solutions
    Log-Analyse und Auswertung - 16.11.2004 (5)
  16. Hilfe! DR 180Solutions
    Plagegeister aller Art und deren Bekämpfung - 06.11.2004 (1)
  17. 180solutions, net.com etc. entfernt ?
    Log-Analyse und Auswertung - 25.10.2004 (1)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Trojaner durch 180Solutions - Hallo, vermutlich wurde die antwort auf mein Problem hier schon zig mal gepostet, aber ich finde mich durch die vielen Fragen bzw. vorgeschlagenen Lösungen einfach nicht schlüssig durch. Der Rechner - Trojaner durch 180Solutions...
Archiv
Du betrachtest: Trojaner durch 180Solutions auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130