Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Trojanerseuche

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 03.07.2005, 16:56   #1
ato
 
Trojanerseuche - Standard

Trojanerseuche



Hallo,
mein Pc ist leider von Trojanern reichlich voll...
Einmal hab ich ne veränderte Startseite von about:blank (www.oneclicksearches.com/) und ein schwarzes Warnschild mit der gelben Schrift Warning You´re in Danger [...] are still there and could broke your life. Secure yourself right now and remove all Spyware from your pc!

Da ich keine Fachfrau bin, bitte ich die Schritte etwas genauer uz erklären *g*

Hier ist mein aktueller Log
*Klick*
_____________
Anm.
Aktive Links editiert!
Beachte zukünftig die Hinweise dieser Anleitung: HiJackThis.


LG Cidre
S-Mod TB

Geändert von Cidre (03.07.2005 um 18:07 Uhr)

Alt 03.07.2005, 17:27   #2
cronos
 
Trojanerseuche - Standard

Trojanerseuche



Arbeite zunächst folgendes ab:

http://www.trojaner-board.de/showthread.php?t=17863
__________________

__________________

Alt 04.07.2005, 20:01   #3
ato
 
Trojanerseuche - Standard

Trojanerseuche



Hallo nochmal,
habe mich bemüht den Anweisungen folge zu leisten komme aber zu keinem Erfolg....

Es wäre super wenn ich einfach nur gesagt bekäme was ich löschen muss, falls löschen notwendig ist, es mir zu erklären, da ich die items nur "fixen" kann und keine Peilung hab wo der Unterschied ist.

Hier mein aktualisierter Log

Logfile of HijackThis v1.99.1
Scan saved at 21:13:11, on 04.07.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\shnlog.exe
C:\WINNT\system32\msole32.exe
C:\WINNT\system32\RunDll32.exe
C:\WINNT\system32\intmon.exe
C:\WINNT\system32\sistray.EXE
C:\WINNT\system32\keyhook.exe
C:\Programme\Logitech\Video\LogiTray.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\AntivirusGold\AntivirusGold.exe
C:\Programme\AntivirusGold\AntivirusGold.exe
C:\WINNT\system32\hookdump.exe
C:\Corel\Graphics8\Programs\MFIndexer.exe
C:\Program Files\InterMute\SpySubtract\SpySub.exe
C:\Programme\Ulead Systems\Ulead Photo Express 3.0 SE\CalCheck.exe
C:\WINNT\twain_32\S6U12BX\WATCH.exe
C:\Programme\TextBridge Pro 8.0\Ereg\REMIND32.EXE
C:\WINNT\system32\LVComsX.exe
C:\Programme\Logitech\Video\FxSvr2.exe
C:\PROGRA~1\Yahoo!\MESSEN~1\ymsgr_tray.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Fritz Schmitt\Lokale Einstellungen\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.oneclicksearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.oneclicksearches.com/bar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.oneclicksearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.oneclicksearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.oneclicksearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.oneclicksearches.com/search.php?qq=%1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.oneclicksearches.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: VMHomepage Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - C:\WINNT\system32\hp3592.tmp
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: Yahoo! Assistent - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Messenger\ycomp5_3_18_0.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SiS Tray] C:\WINNT\system32\sistray.EXE
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINNT\system32\keyhook.exe
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINNT\System32\spoolsrv32.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\Programme\Logitech\Video\ManifestEngine.exe boot
O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quiet
O4 - HKCU\..\Run: [Spyware Begone] C:\freescan\freescan.exe -FastScan
O4 - HKCU\..\Run: [Intel system tool] C:\WINNT\system32\hookdump.exe
O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINNT\System32\spoolsrv32.exe
O4 - Startup: reminder-ScanSoft Produkt Registrierung.lnk = C:\Programme\TextBridge Pro 8.0\Ereg\REMIND32.EXE
O4 - Global Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Corel\Graphics8\Programs\MFIndexer.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: SpySubtract.lnk = C:\Program Files\InterMute\SpySubtract\SpySub.exe
O4 - Global Startup: Ulead Photo Express SE Calendar Checker.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 3.0 SE\CalCheck.exe
O4 - Global Startup: Watch.lnk = C:\WINNT\twain_32\S6U12BX\WATCH.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{21845F53-DA4E-405F-B190-5F461DD987C2}: NameServer = 192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{21845F53-DA4E-405F-B190-5F461DD987C2}: NameServer = 192.168.0.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{21845F53-DA4E-405F-B190-5F461DD987C2}: NameServer = 192.168.0.1
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
__________________

Alt 04.07.2005, 20:06   #4
chaosman
 
Trojanerseuche - Standard

Trojanerseuche



@ato
du kannst es auf eigenen Risiko es mal mit dem remover
versuchen.

poste danach ein neues HJT logfile, du hast noch mehr im system

chaosman
__________________
Bonus vir semper tiro

Alt 05.07.2005, 14:29   #5
ato
 
Trojanerseuche - Standard

Trojanerseuche



hrm,
also schön und gut, hab das programm drauf entpackt und installiert, wunderbar ist jedoch dass ich das Programm nicht an einen mir bekannten ort transeriert hab.
arbeitet dass direkt nach Installation automatisch oder wie?

aber schon mal vielen Dank für den Tip
Gruß
ato


Alt 06.07.2005, 19:19   #6
ato
 
Trojanerseuche - Standard

Trojanerseuche



Hallöchen,
kann mir denn niemand tatkräftig helfen ;-)
greetz
ato

Alt 06.07.2005, 20:45   #7
Haui45
 
Trojanerseuche - Standard

Trojanerseuche



Hallo,

zunächst solltest du diese Anleitung abarbeiten.

Führe dann einen Scan mit eScan durch und stelle uns die Virus-Log-Information sowie ein neues HijackThis-Logfile zur Verfügung.

BTW: Falls es dir möglich ist, wäre es empfehlenswert, die Logfiles von einem Zweitrechner zu posten (auf Diskette/CD kopieren) und mit dem befallenen System nicht mehr online zu gehen. Das nur als Vorsichtsmaßnahme, damit keine neuen Schädlinge nachgeladen werden.

Alt 06.07.2005, 21:08   #8
ato
 
Trojanerseuche - Standard

Trojanerseuche



k, ich denk die einzelnen Schritte arbeite ich morgen ab den Log etc werde ich über Zweitpc machen.

Danke für die Aufmerksamkeit
greetz

Antwort

Themen zu Trojanerseuche
about, about:blank, aktive, anleitung, bla, blank, danger, erklären, hijack, hijackthis, hinweise, klick, links, remove, schild, schwarzes, secure, seite, spyware, startseite, troja, trojaner, trojanern, veränderte, warning




Zum Thema Trojanerseuche - Hallo, mein Pc ist leider von Trojanern reichlich voll... Einmal hab ich ne veränderte Startseite von about :blank (www.oneclicksearches.com/) und ein schwarzes Warnschild mit der gelben Schrift Warning You´re in - Trojanerseuche...
Archiv
Du betrachtest: Trojanerseuche auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.