Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
ich glaubs ja nicht

ich glaubs ja nicht


Log-Analyse und Auswertung: ich glaubs ja nicht

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Seite 1 von 2 1 2
Alt 05.08.2005, 10:04   #1
Lusifee
 
ich glaubs ja nicht - Standard

ich glaubs ja nicht


Guten Morgen,

ich darf mal wieder nen PC heilen, komm aber nicht so wirklich weiter. Könnte mal jemand bitte das folgende Hijack Log sichten:

Logfile of HijackThis v1.99.1
Scan saved at 10:46:51, on 05.08.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Norman\bin\ZANDA.EXE
C:\WINDOWS\system32\slserv.exe
C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\VTTimer.exe
C:\Programme\QuickTime\qttask.exe
C:\Norman\bin\ZLH.EXE
C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
C:\PROGRA~1\COOLSPOT\PERSON~1\PID.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Norman\bin\NJEEVES.EXE
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\intell32.exe
C:\Norman\Nvc\bin\nvcoas.exe
C:\Norman\Nvc\BIN\NIP.EXE
C:\Norman\Nvc\BIN\NVCSCHED.EXE
C:\Norman\Nvc\bin\cclaw.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Netscape\Netscape\Netscp.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\HiJackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\Privat\LOKALE~1\Temp\se.dll/space.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\Privat\LOKALE~1\Temp\se.dll/space.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R3 - URLSearchHook: _URLHandler - {7FF23285-DBBC-49B6-818C-34AC459D5BB3} - C:\PROGRA~1\Coolspot\PERSON~1\pidd.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {6A6EFB02-F7BA-4B01-9BC4-C52F12BF9DB5} - C:\WINDOWS\system32\mgmp.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [CM-SmWizard] C:\WINDOWS\System\SmWizard.exe
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Norman ZANDA] C:\Norman\bin\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /startintray
O4 - HKLM\..\Run: [sp] rundll32 C:\DOKUME~1\Privat\LOKALE~1\Temp\se.dll,DllInstall
O4 - HKLM\..\Run: [intell32.exe] C:\WINDOWS\system32\intell32.exe
O4 - HKLM\..\Run: [PSGuard spyware remover] C:\Programme\PSGuard\PSGuard.exe
O4 - HKCU\..\Run: [Personal ID] C:\PROGRA~1\COOLSPOT\PERSON~1\PID.EXE
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Backward Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Similar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://c:\programme\google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\icslsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\icslsp.dll
O12 - Plugin for .avi: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.hyrican.de
O15 - Trusted Zone: *.sxload.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1094019838343
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game12.zylom.lycos.de/activex/zylomgamesplayer.cab
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://game15.zylom.lycos.de/activex/zylomloader.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/controls/msnchat45.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O18 - Filter: text/html - {F7161F86-60A3-4E44-8419-15199C9CB382} - C:\WINDOWS\system32\mgmp.dll
O18 - Filter: text/plain - {F7161F86-60A3-4E44-8419-15199C9CB382} - C:\WINDOWS\system32\mgmp.dll
O20 - Winlogon Notify: tcpGDC - C:\WINDOWS\SYSTEM32\tcpGDC.dll
O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\Norman\Nvc\BIN\nipsvc.exe
O23 - Service: Norman NJeeves - Unknown owner - C:\Norman\bin\NJEEVES.EXE
O23 - Service: Norman ZANDA - Unknown owner - C:\Norman\bin\ZANDA.EXE
O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\Norman\Nvc\bin\nvcoas.exe
O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman Data Defense Systems - C:\Norman\Nvc\BIN\NVCSCHED.EXE
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe


Vielen herzlichen Dank

Alt 05.08.2005, 10:11   #2
felix1
/// Helfer-Team
 
ich glaubs ja nicht - Standard

ich glaubs ja nicht


Programm laden und ausführen:
http://www.derbilk.de/404.html
Danach installiere cleanup, rufe es auf und setze den Haken bei alles löschen und dann Löschen drücken.
Lade und update Ad-aware, update Spybot und lasse die Programme laufen.
http://www.comsafe.de/download.html
Anschliessend mache den escan. Poste das mit der find.bat erzeugte Log.
http://www.trojaner-board.de/showthread.php?t=17492

Unter den Blinden ist der Einäugige immer der König
Warum reparierst Du fremde PC
__________________
Alt 05.08.2005, 10:16   #3
Lusifee
 
ich glaubs ja nicht - Standard

ich glaubs ja nicht


Zitat:
Zitat von felix1
Unter den Blinden ist der Einäugige immer der König
Warum reparierst Du fremde PC

Danke ich geb mich mal sofort dran ... und warum ich fremde PC's repariere? Das is der PC meines Mannes und der hat unendliches Talent und keine Ahnung - also muss ich ran.

Wobei ... ich sollte mir mal überlegen ob ich ihn nicht selber fummeln lasse
__________________
Geändert von Lusifee (05.08.2005 um 10:49 Uhr)

Alt 05.08.2005, 15:55   #4
Lusifee
 
ich glaubs ja nicht - Standard

ich glaubs ja nicht


so dann mal auf in die nächste Runde. Leider ging die find.bat nich also hab ich von Hand nach infected gesucht:

Fri Jul 08 16:32:44 2005 => System found infected with SearchEXE Spyware/Adware (se.dll)! Action taken: No Action Taken.
Fri Jul 08 16:32:44 2005 => System found infected with CWS.therealsearch Spyware/Adware (waol.exe)! Action taken: No Action Taken.
Fri Jul 08 16:43:04 2005 => System found infected with SearchEXE Spyware/Adware (se.dll)! Action taken: No Action Taken.
Fri Jul 08 16:43:05 2005 => System found infected with CWS.therealsearch Spyware/Adware (waol.exe)! Action taken: No Action Taken.
Fri Jul 08 16:43:59 2005 => File C:\WINDOWS\sload.exe infected by "Trojan-Downloader.Win32.VB.ka" Virus! Action Taken: No Action Taken.
Fri Jul 08 17:53:52 2005 => File C:\WINDOWS\sload.exe infected by "Trojan-Downloader.Win32.VB.ka" Virus! Action Taken: No Action Taken.
Fri Jul 08 18:00:55 2005 => File C:\WINDOWS\Temp\se.dll infected by "Trojan.Win32.StartPage.gv" Virus! Action Taken: No Action Taken.
Fri Aug 05 13:13:32 2005 => System found infected with CWS.therealsearch Spyware/Adware (waol.exe)! Action taken: No Action Taken.
Fri Aug 05 13:35:08 2005 => File C:\Dokumente und Einstellungen\Privat\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\jar.jar-1d5d1ed4-3df6ef0a.zip infected by "Trojan.Java.Femad" Virus! Action Taken: No Action Taken.
Fri Aug 05 14:13:17 2005 => File C:\WINDOWS\sload.exe infected by "Trojan-Downloader.Win32.VB.ka" Virus! Action Taken: No Action Taken.

bei tagged bekomme ich folgende Ergebnisse:

Fri Jul 08 16:55:48 2005 => File C:\Dokumente und Einstellungen\Privat\Anwendungsdaten\Mozilla\Firefox\Profiles\auo5yqhx.default\Cache\137F0C37d01 tagged as "not-a-virus:Dialer.Win32.gen". Action Taken: No Action Taken.
Fri Jul 08 17:00:02 2005 => File C:\Dokumente und Einstellungen\Privat\Desktop\aaw6181.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Fri Jul 08 17:00:41 2005 => File C:\Dokumente und Einstellungen\Privat\Eigene Dateien\downloads\poolsetup.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Fri Jul 08 17:17:19 2005 => File C:\mIRC\mirc.exe tagged as not-a-virus:Client-IRC.Win32.mIRC.16. No Action Taken.
Fri Jul 08 17:18:09 2005 => File C:\Programme\AIM95\unwise32.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Fri Jul 08 17:22:29 2005 => File C:\Programme\Lavasoft\Ad-aware 6\UNWISE.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Fri Jul 08 17:26:51 2005 => File C:\Programme\mirc616.zip tagged as not-a-virus:Client-IRC.Win32.mIRC.16. No Action Taken.
Fri Jul 08 17:27:08 2005 => File C:\Programme\Mozilla Firefox\plugins\NPMyWebS.dll tagged as "not-a-virus:AdWare.ToolBar.MyWebSearch.i". Action Taken: No Action Taken.
Fri Jul 08 17:59:09 2005 => File C:\WINDOWS\system32\Macromed\Shockwave 10\UNWISE.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Fri Aug 05 13:16:43 2005 => File C:\Dokumente und Einstellungen\All Users\Desktop\Ulubione strony.exe tagged as "not-a-virus:Porn-Dialer.Win32.Plsex". Action Taken: No Action Taken.
Fri Aug 05 13:35:24 2005 => File C:\Dokumente und Einstellungen\Privat\Desktop\aaw6181.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Fri Aug 05 13:36:35 2005 => File C:\Dokumente und Einstellungen\Privat\Eigene Dateien\downloads\poolsetup.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Fri Aug 05 13:37:58 2005 => File C:\mIRC\mirc.exe tagged as not-a-virus:Client-IRC.Win32.mIRC.16. No Action Taken.
Fri Aug 05 13:38:49 2005 => File C:\Programme\AIM95\unwise32.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Fri Aug 05 13:39:26 2005 => File C:\Programme\GameHouse\Jewel Quest\UNWISE.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Fri Aug 05 13:39:27 2005 => File C:\Programme\GameHouse\ShapeShifter\UNWISE.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Fri Aug 05 13:43:32 2005 => File C:\Programme\Lavasoft\Ad-aware 6\UNWISE.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Fri Aug 05 13:47:56 2005 => File C:\Programme\mirc616.zip tagged as not-a-virus:Client-IRC.Win32.mIRC.16. No Action Taken.
Fri Aug 05 13:48:14 2005 => File C:\Programme\Mozilla Firefox\plugins\NPMyWebS.dll tagged as "not-a-virus:AdWare.ToolBar.MyWebSearch.i". Action Taken: No Action Taken.
Fri Aug 05 13:56:48 2005 => File C:\WINDOWS\antyvirk.exe tagged as "not-a-virus:Porn-Dialer.Win32.Plsex". Action Taken: No Action Taken.
Fri Aug 05 14:18:37 2005 => File C:\WINDOWS\system32\Macromed\Shockwave 10\UNWISE.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.


Bitte um schnelle Hilfe ... da der Rechner sonst wohl ganz neu formatiert werden muss.

Thx und LG
Lusifee

Alt 05.08.2005, 16:17   #5
Rene-gad
 
ich glaubs ja nicht - Standard

ich glaubs ja nicht


@Lusifee
Zitat:
Bitte um schnelle Hilfe ... da der Rechner sonst wohl ganz neu formatiert werden muss.
Gar keine schlechte Idee. Ich plädiere immer dafür.
Fixe erstmal mit HJT:
Zitat:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\Privat\LOKALE~1\Temp\se.dll/space.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\Privat\LOKALE~1\Temp\se.dll/space.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {6A6EFB02-F7BA-4B01-9BC4-C52F12BF9DB5} - C:\WINDOWS\system32\mgmp.dll
O4 - HKLM\..\Run: [sp] rundll32 C:\DOKUME~1\Privat\LOKALE~1\Temp\se.dll,DllInstall
O10 - Unknown file in Winsock LSP: c:\windows\system32\icslsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\icslsp.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.hyrican.de
O18 - Filter: text/html - {F7161F86-60A3-4E44-8419-15199C9CB382} - C:\WINDOWS\system32\mgmp.dll
O18 - Filter: text/plain - {F7161F86-60A3-4E44-8419-15199C9CB382} - C:\WINDOWS\system32\mgmp.dll
O20 - Winlogon Notify: tcpGDC - C:\WINDOWS\SYSTEM32\tcpGDC.dll
und lösche im abgesicherten Modus die Dateien, die mit diesen Reg-Aufrufen aktiviert werden sollen +C:\WINDOWS\sload.exe.
BTW: Ich plädiere auch dafür, dass man vor eScan etwas Müll vom PC weg räumt:
1.Systemwiederherstellung abschalten
2. Dieses Bereinigungsprogramm hilft dir, den ganzen Müll aus den Temp-Ordner und Papierkorb zu entfernen.
3. Infected-Ordner des Antivirus-Programms, ggf. auch von Spybot Search & Destroy, Ad-Aware usw. leeren. Der Name des Ordners sowie Pfad sind Programm- und Benutzerabhängig. Bitte RTFM zum AV-Programm. Bei einigen Programmen (z. B. AVPE) ist diese Option nicht im Programm integriert. In dem Fall soll dies manuell erfolgen.
Dann sieht man, was wirklich ggf. gefährlich ist/sein könnte. Ca. 80% Virenmeldungen in deinem Log sind von Temp-Ordnern.


Alt 05.08.2005, 16:23   #6
Lusifee
 
ich glaubs ja nicht - Standard

ich glaubs ja nicht


Zitat:
Zitat von Rene-gad
BTW: Ich plädiere auch dafür, dass man vor eScan etwas Müll vom PC weg räumt:
Das habe ich per Cleanup gemacht ... sogar 2 Durchläufe ...

Dann mal ran an Deine Tipps .... wobei ... hier ist das aktuelle Hijack Logfile

Logfile of HijackThis v1.99.1
Scan saved at 17:30:22, on 05.08.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\VTTimer.exe
C:\Programme\QuickTime\qttask.exe
C:\Norman\bin\ZLH.EXE
C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
C:\WINDOWS\system32\intell32.exe
C:\PROGRA~1\COOLSPOT\PERSON~1\PID.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Norman\bin\ZANDA.EXE
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Norman\Nvc\BIN\NIP.EXE
C:\Norman\Nvc\bin\nvcoas.exe
C:\Norman\bin\NJEEVES.EXE
C:\Norman\Nvc\BIN\NVCSCHED.EXE
C:\Norman\Nvc\BIN\nipsvc.exe
C:\WINDOWS\System32\alg.exe
C:\Norman\Nvc\bin\cclaw.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Programme\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R3 - URLSearchHook: _URLHandler - {7FF23285-DBBC-49B6-818C-34AC459D5BB3} - C:\PROGRA~1\Coolspot\PERSON~1\pidd.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [CM-SmWizard] C:\WINDOWS\System\SmWizard.exe
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Norman ZANDA] C:\Norman\bin\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [intell32.exe] C:\WINDOWS\system32\intell32.exe
O4 - HKLM\..\Run: [PSGuard spyware remover] C:\Programme\PSGuard\PSGuard.exe
O4 - HKCU\..\Run: [Personal ID] C:\PROGRA~1\COOLSPOT\PERSON~1\PID.EXE
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Backward Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Similar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://c:\programme\google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\icslsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\icslsp.dll
O12 - Plugin for .avi: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.hyrican.de
O15 - Trusted Zone: *.sxload.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1094019838343
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game12.zylom.lycos.de/activex/zylomgamesplayer.cab
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://game15.zylom.lycos.de/activex/zylomloader.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/controls/msnchat45.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O20 - Winlogon Notify: tcpGDC - C:\WINDOWS\SYSTEM32\tcpGDC.dll
O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\Norman\Nvc\BIN\nipsvc.exe
O23 - Service: Norman NJeeves - Unknown owner - C:\Norman\bin\NJEEVES.EXE
O23 - Service: Norman ZANDA - Unknown owner - C:\Norman\bin\ZANDA.EXE
O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\Norman\Nvc\bin\nvcoas.exe
O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman Data Defense Systems - C:\Norman\Nvc\BIN\NVCSCHED.EXE
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
Geändert von Lusifee (05.08.2005 um 16:31 Uhr)

Alt 05.08.2005, 16:35   #7
Rene-gad
 
ich glaubs ja nicht - Standard

ich glaubs ja nicht


@Lusifee
Zitat:
Das habe ich per Cleanup gemacht
Ich kenne das Tool nicht, somit habe ich dir das andere Bereingungsprogramm verlinkt.
Zitat:
Dann mal ran an Deine Tipps ....
Die Datei c:\windows\system32\icslsp.dll hast du vergessen zu löschen oder nicht gefunden ?
EDIT: Habe etwas aus den Augen gelassen:
Bitte die Datei C:\Windows\System32\Intell32.exe bei http://virusscan.jotti.org/
unbedingt checken

Alt 05.08.2005, 16:45   #8
Lusifee
 
ich glaubs ja nicht - Standard

ich glaubs ja nicht


die c:\windows\system32\icslsp.dll hab ich nicht vergessen ... das Teil lässt sich nicht löschen.

das andere mach ich sofort ... leider komm ich im abgesicherten Modus nich online ... springe hier zwischen 2 Rechnern hin und her

Alt 05.08.2005, 16:52   #9
Lusifee
 
ich glaubs ja nicht - Standard

ich glaubs ja nicht


hier das Ergebnis bei jotti.org

File: intell32.exe
Status:
INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
MD5 f982b21d8786cfa9fd5648514fd40e2e
Packers detected:
-
Scanner results
AntiVir
Found nothing
ArcaVir
Found Trojan.Small.Ev
Avast
Found nothing
AVG Antivirus
Found nothing
BitDefender
Found GenPack:Trojan.FakeAlert.F
ClamAV
Found nothing
Dr.Web
Found nothing
F-Prot Antivirus
Found nothing
Fortinet
Found nothing
Kaspersky Anti-Virus
Found Trojan.Win32.Small.ev
NOD32
Found Win32/Oleloa
Norman Virus Control
Found nothing
UNA
Found nothing
VBA32
Found Trojan.Win32.Small.ev

Alt 05.08.2005, 17:24   #10
felix1
/// Helfer-Team
 
ich glaubs ja nicht - Standard

ich glaubs ja nicht


Den sollte eigentlich Spybot entfernen?

Alt 05.08.2005, 17:35   #11
Lusifee
 
ich glaubs ja nicht - Standard

ich glaubs ja nicht


hmm ... hat es aber nicht ... schaut sowieso anders aus als sonst und ist zusätzlich auf Englisch

und was ist das hier für ein Eintrag?
Common Dialogs: History (4 files) (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU

der ist grün, kann ich den trotzdem fixen ... ausserdem zeigt mir Spybot diverse Logs an.

Wollte nen Scan machen bei Panda ... aber der funzt nur mit dem IE der an dem Rechner nicht mehr geht
Geändert von Lusifee (05.08.2005 um 17:42 Uhr)

Alt 05.08.2005, 17:48   #12
felix1
/// Helfer-Team
 
ich glaubs ja nicht - Standard

ich glaubs ja nicht


Zitat:
Zitat von Lusifee
die c:\windows\system32\icslsp.dll hab ich nicht vergessen ... das Teil lässt sich nicht löschen.

das andere mach ich sofort ... leider komm ich im abgesicherten Modus nich online ... springe hier zwischen 2 Rechnern hin und her
Losche den mal mit der Killbox.

Bei Spybot lässt sich die Sprache auf Deutsch einstellen.

Alt 05.08.2005, 17:53   #13
Lusifee
 
ich glaubs ja nicht - Standard

ich glaubs ja nicht


Zitat:
Zitat von felix1
Losche den mal mit der Killbox.

Bei Spybot lässt sich die Sprache auf Deutsch einstellen.
Das weiß ich auch, nur wenn ich das versuche schmiert mir Spybot ab ... bzw. hängt sich auf. Spybot hatte ich ja hier auf deutsch ... kann zwar englisch, aber wenn es sich vermeiden lässt - bevorzuge ich dann doch meine Muttersprache *zwinker*

Alt 05.08.2005, 18:04   #14
felix1
/// Helfer-Team
 
ich glaubs ja nicht - Standard

ich glaubs ja nicht


Das Deutsche ist mir eigentlich auch lieber.
Lasse spypot updaten, dann prüfen und anschliessend immunisieren.

Poste dann nochmal ein HJT-Log.

Alt 05.08.2005, 18:18   #15
Rene-gad
 
ich glaubs ja nicht - Standard

ich glaubs ja nicht


Zitat:
Zitat von felix1
Den sollte eigentlich Spybot entfernen?
Warum denn so kompliziert: löschen die Datei im abgesicherten Modus - und basta, Reg-Eintag
Zitat:
O4 - HKLM\..\Run: [intell32.exe] C:\WINDOWS\system32\intell32.exe
fixen

Antwort
Seite 1 von 2 1 2

Themen zu ich glaubs ja nicht
adobe, bho, defense, dll, explorer, firefox, google, herzlichen dank, hijack, hijackthis, internet, internet explorer, log, microsoft, mozilla, mozilla firefox, msn, norman, object, programme, rundll, software, spyware, system, temp, unknown file in winsock lsp, urlsearchhook, virus, webroot, windows, windows messenger, windows xp


« Backdoor Virus! | neues logfile (desktop) »


Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema ich glaubs ja nicht - Guten Morgen, ich darf mal wieder nen PC heilen, komm aber nicht so wirklich weiter. Könnte mal jemand bitte das folgende Hijack Log sichten: Logfile of HijackThis v1.99.1 Scan saved - ich glaubs ja nicht...
Archiv
Du betrachtest: ich glaubs ja nicht auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131