Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
Was muss ich hier fixen?

Was muss ich hier fixen?


Log-Analyse und Auswertung: Was muss ich hier fixen?

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 09.08.2005, 11:20   #1
dfe2602
 
Was muss ich hier fixen? - Standard

Was muss ich hier fixen?


Hallo leute! ich hab mal wieder ein problem mit irgend welchen trojanern....
ich hab den CCleaner mal laufen lassen und hab einen panda onlinscan gemacht.. der hat aber nix gefunden... ich hab mal den HijackThis laufen lassen und musste feststellen das irgend wie ziemlich viele sachen dadrin stehen mit denen ich nix anfangen kann....



Logfile of HijackThis v1.99.1
Scan saved at 12:09:16, on 09.08.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\devldr32.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\System32\kernels32.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Creative\ShareDLL\CtNotify.exe
C:\Programme\Creative\SBLive\AudioHQ\AHQTB.EXE
C:\Programme\Creative\SBLive\Program\CTAvTray.EXE
C:\Programme\D-Tools\daemon.exe
C:\Programme\Creative\ShareDLL\MediaDet.Exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
C:\WINDOWS\Twain_32\FlatBed\HotKey.exe
C:\WINDOWS\System32\icasServ.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Spyware Doctor\swdoctor.exe
C:\Programme\AOL 9.0\aoltray.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\WinAce\WinAce.exe
C:\DOKUME~1\Daniel\LOKALE~1\Temp\~AceTemp\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aol.de/e60/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von AOL
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\System32\kernels32.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Disc Detector] C:\Programme\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe
O4 - HKLM\..\Run: [AHQInit] C:\Programme\Creative\SBLive\Program\AHQInit.exe
O4 - HKLM\..\Run: [AudioHQ] C:\Programme\Creative\SBLive\AudioHQ\AHQTB.EXE
O4 - HKLM\..\Run: [CTAvTray] C:\Programme\Creative\SBLive\Program\CTAvTray.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] D:\Corel\Corel Graphics 12\Languages\DE\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=082305 serial=DR12WTX-9999998-YSP lang=DE
O4 - HKLM\..\Run: [HotKey] C:\WINDOWS\Twain_32\FlatBed\HotKey.exe
O4 - HKLM\..\Run: [System] C:\WINDOWS\System32\kernels32.exe
O4 - HKLM\..\Run: [icasServ] C:\WINDOWS\System32\icasServ.exe
O4 - HKLM\..\RunOnce: [CTAVTray] C:\Programme\Creative\SBLive\Program\CTAvStub.EXE EAX.AVI
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O12 - Plugin for .avi: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .mpg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .wav: C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.aol.de/e60/
O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5free/asinst.cab
O21 - SSODL: DCOM Server - {2C1CD3D7-86AC-4068-93BC-A02304BB8C34} - C:\WINDOWS\System32\dcom_9.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

vielen dank schonmal für eure hilfe!

Alt 09.08.2005, 11:32   #2
felix1
/// Helfer-Team
 
Was muss ich hier fixen? - Standard

Was muss ich hier fixen?


Du hast ein absolut veraltetes und ungepatchtes System. Deshalb auch Deine Probleme.

Lasse die Datei
C:\WINDOWS\System32\kernels32.exe

hier scannen:
http://virusscan.jotti.org/de/
__________________
Alt 09.08.2005, 11:39   #3
dfe2602
 
Was muss ich hier fixen? - Standard

Was muss ich hier fixen?


also das kam dabei raus....

Datei: kernels32.exe
Status: INFIZIERT/MALWARE
Entdeckte Packprogramme: FSG

AntiVir TR/Dldr.Small.agq.4 gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender BehavesLike:Trojan.ShellStartup gefunden (mögliche Variante)
ClamAV Trojan.Downloader.Small-627 gefunden
Dr.Web Trojan.DownLoader.2489 gefunden
F-Prot Antivirus unknown virus gefunden (mögliche Variante)
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Trojan-Downloader.Win32.Small.agq gefunden
NOD32 a variant of Win32/TrojanDownloader.Small.AWA gefunden
Norman Virus Control Keine Viren gefunden
UNA Keine Viren gefunden
VBA32 Trojan.Downloader.Small.1 gefunden (mögliche Variante)


ich glaub das iss garnet gut...
__________________
Alt 09.08.2005, 11:48   #4
Gigamail
 
Was muss ich hier fixen? - Standard

Was muss ich hier fixen?


Hallo,

gar net gut ist wahrscheinlich der hier
C:\WINDOWS\System32\MsPMSPSv.exe==> http://vil.nai.com/vil/content/v_100454.htm wenn sich das bestädigt dann solltest du dein System Neuaufsetzen.
Also beende den Prozess im Taskmanager und lasse mal die Datei hier scannen und teile das Ergebnis mit,
für die Aktion solltest du deinen Virenscanner deaktivieren
__________________
Gruß Gigamail

eScan-Anleitung und Download



Alt 09.08.2005, 11:55   #5
felix1
/// Helfer-Team
 
Was muss ich hier fixen? - Standard

Was muss ich hier fixen?


Dabei handelt es sich um den:
http://www.sophos.de/virusinfo/analy...dloaderfs.html

Damit ist ein Neuaufsetzen erforderlich. Beachte genau:
http://www.trojaner-board.de/showthread.php?t=12154


Alt 09.08.2005, 11:58   #6
dfe2602
 
Was muss ich hier fixen? - Standard

Was muss ich hier fixen?


ja geil...
der taskmanager wurde durch den administrator deaktiviert...
und ich dachte bissher ich währ der admin...

Alt 09.08.2005, 12:14   #7
felix1
/// Helfer-Team
 
Was muss ich hier fixen? - Standard

Was muss ich hier fixen?


Wenn Du hier nicht weiterkommst, dann mache den escan, genau nach Anleitung und poste das mit der find.bat erzeugte Log:
http://www.trojaner-board.de/showthread.php?t=17492

Ich denke mal, es wird ein Neuaufsetzen.

Alt 09.08.2005, 12:21   #8
Gigamail
 
Was muss ich hier fixen? - Standard

Was muss ich hier fixen?


Zitat:
der taskmanager wurde durch den administrator deaktiviert...
Um den Taskmanager wieder zu aktivieren
HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System\DisableTaskMgr = "1"
in
HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System\DisableTaskMgr = "0"
umändern.
__________________
Gruß Gigamail

eScan-Anleitung und Download



Alt 09.08.2005, 15:21   #9
dfe2602
 
Was muss ich hier fixen? - Standard

Was muss ich hier fixen?


ich hab das mit dem scanner mal probiert... genau nach anleitung....

das kam dabei raus....
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Tue Aug 09 14:42:10 2005 => File C:\WINDOWS\System32\kernels32.exe infected by "Trojan-Downloader.Win32.Small.agq" Virus! Action Taken: No Action Taken.
Tue Aug 09 14:42:19 2005 => File C:\WINDOWS\System32\kernels32.exe infected by "Trojan-Downloader.Win32.Small.agq" Virus! Action Taken: No Action Taken.
Tue Aug 09 14:42:28 2005 => System found infected with Alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken.
Tue Aug 09 14:42:30 2005 => System found infected with CWS.therealsearch Spyware/Adware (waol.exe)! Action taken: No Action Taken.
Tue Aug 09 14:51:02 2005 => File C:\WINDOWS\Downloaded Program Files\win32.exe infected by "Trojan-Downloader.Win32.Small.agq" Virus! Action Taken: No Action Taken.
Tue Aug 09 14:54:02 2005 => File C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GHIJKLMN\winlogon[1].exe infected by "not-virus:Hoax.Win32.Renos.l" Virus! Action Taken: No Action Taken.
Tue Aug 09 15:05:30 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Tue Aug 09 15:13:12 2005 => File C:\Recycled\Q330995.exe infected by "Trojan-Downloader.Win32.Small.amb" Virus! Action Taken: No Action Taken.
Tue Aug 09 15:52:46 2005 => Scanning File E:\mp3\b\Barthezz\Bartezz - Infected.mp3
Tue Aug 09 15:52:46 2005 => Scanning File E:\mp3\b\Barthezz\Barthezz - Infected.mp3
Tue Aug 09 16:02:30 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Tue Aug 09 15:28:56 2005 => File D:\Sicherung\clonecd\kmd171_de.exe tagged as "not-a-virus:AdWare.Cydoor". Action Taken: No Action Taken.
Tue Aug 09 15:57:52 2005 => File F:\Daniel\programme\clonecd\kmd171_de.exe tagged as "not-a-virus:AdWare.Cydoor". Action Taken: No Action Taken.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Tue Aug 09 16:02:30 2005 => Total Virus(es) Found: 10
Tue Aug 09 16:02:30 2005 => Total Errors: 38
Tue Aug 09 16:02:30 2005 => Time Elapsed: 01:20:24
Tue Aug 09 16:02:30 2005 => Total Objects Scanned: 104405
Tue Aug 09 14:41:32 2005 => Virus Database Date: 2005/08/09
Tue Aug 09 16:02:30 2005 => Virus Database Date: 2005/08/09
Tue Aug 09 16:03:30 2005 => Virus Database Date: 2005/08/09
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~



wo muss ich das mit dem taskmanager denn einstellen? in der regestry??? ich hab das nirgendswo gefunden....

Alt 09.08.2005, 17:01   #10
felix1
/// Helfer-Team
 
Was muss ich hier fixen? - Standard

Was muss ich hier fixen?


Es ist der, wie ich vermutet habe.

Laut Sophos macht er das:

Troj/Vixup-F ist ein Downloader-Trojaner für die Windows-Plattform.
Troj/Vixup-F enthält Funktionalität zum Herunterladen, Installieren und Starten neuer Software.
Troj/Vixup-F versucht, den Windows Task-Manager zu deaktivieren.

Den Taskmanager hat er ja schon.

Ich weiss auch nicht, wielange er schon im System ist.

Schaue es Dir selbst an:
http://www.sophos.de/virusinfo/analyses/trojvixupf.html

Alt 09.08.2005, 18:49   #11
dfe2602
 
Was muss ich hier fixen? - Standard

Was muss ich hier fixen?


gibt es ne möglichkeit wie ich den so wieder runter bekomme? ich hab ehrlich gesagt nicht wirklich lust dazu den rewchner neu hochzuziehen...
ich hab mir eben mal das norton 2005 drauf gemacht, im abgesicherten zustand hat der 8 von 10 viren weg gemacht... allerdings hat der noch 2 drinne die er anscheinend net weg kriegt....

Trojan.Repsamo in c:\windows\system32\winacpi.dll
(zugriff wurde verwehrt)

http://securityresponse.symantec.com...n.repsamo.html

und

Trojan.Goldun
c:\windows\system32\tcpG4T.dll
(zugriff wurde verwehrt)

http://securityresponse.symantec.com...an.goldun.html

Alt 09.08.2005, 19:23   #12
felix1
/// Helfer-Team
 
Was muss ich hier fixen? - Standard

Was muss ich hier fixen?


Ich weiss nicht, ich weiss nicht.....
http://www.sophos.de/virusinfo/analyses/trojcimuzb.html

Das wird eigendlich von Schadenspotential immer schlimmer.

Dass Du keine Lust auf Neuinstallation hast, kann ich nachvollziehen. Aber Schuld hast Du selbst. Hättest den PC aktuell halten müssen.

Ist eigentlich unverantwortlich von mir.
Update XP und IE.

Lade und update Ad-aware und Spybot und lasse die Programme laufen. Lade weiterhin die Killbox.
http://www.comsafe.de/download.html
Installiere cleanup, rufe es auf und setze den Haken bei alles löschen und dann Löschen drücken.
http://www.clearprog.de/

Danach:
Wechsel in den abgesicherten Modus bei deaktivierter Systemwiederherstellung
http://www.systemwiederherstellung-d...indows-xp.html

Starte "clearprog" Häckchen bei "Alles Löschen" und auf löschen klicken.
Scanne mit Adaware sowie Spybot und lösche alle Funde.

Weiterhin:
Lösche mit killbox:
c:\windows\system32\winacpi.dll
c:\windows\system32\tcpG4T.dll
Starte wieder im Normalmodus.
Dann mal ein neues HJT.
Dann lösche im Verzeichnis C:\bases_x die Datei mwav.log. Danach neuer escan im abgesicherten Modus, wie beschrieben.
Bin aber trotzdem skeptisch.

Alt 09.08.2005, 22:59   #13
dfe2602
 
Was muss ich hier fixen? - Standard

Was muss ich hier fixen?


hab das alles mal gemacht... bis zum schluss hat alles funktioniert... im abgesicherten findet weder spybot noch ad-aware was...
allerdings lässt sich mit killbox die tcpg4t.dll nicht löschen... beim nächsten mal hochfahren im normalen modus wieder das gleiche spiel mit den norton meldungen...
auch wieder in der winacpi.dll obwohlö ich die gelöscht habe....

das neue HJT-log nach dem versuch des saubermachens....

Logfile of HijackThis v1.99.1
Scan saved at 23:54:34, on 09.08.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Creative\ShareDLL\CtNotify.exe
C:\Programme\Creative\SBLive\AudioHQ\AHQTB.EXE
C:\Programme\Creative\SBLive\Program\CTAvTray.EXE
C:\Programme\D-Tools\daemon.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Creative\ShareDLL\MediaDet.Exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
C:\WINDOWS\Twain_32\FlatBed\HotKey.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\windows\system32\mdms.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\AOL 9.0\aoltray.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Daniel\LOKALE~1\Temp\Rar$EX01.405\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von AOL
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)
O2 - BHO: (no name) - {78364D99-A640-4ddf-B91A-67EFF8373045} - C:\WINDOWS\system32\appwiz.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Disc Detector] C:\Programme\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe
O4 - HKLM\..\Run: [AHQInit] C:\Programme\Creative\SBLive\Program\AHQInit.exe
O4 - HKLM\..\Run: [AudioHQ] C:\Programme\Creative\SBLive\AudioHQ\AHQTB.EXE
O4 - HKLM\..\Run: [CTAvTray] C:\Programme\Creative\SBLive\Program\CTAvTray.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] D:\Corel\Corel Graphics 12\Languages\DE\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=082305 serial=DR12WTX-9999998-YSP lang=DE
O4 - HKLM\..\Run: [HotKey] C:\WINDOWS\Twain_32\FlatBed\HotKey.exe
O4 - HKLM\..\Run: [System] C:\WINDOWS\System32\kernels32.exe
O4 - HKLM\..\Run: [icasServ] C:\WINDOWS\System32\icasServ.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [SysMemory manager] c:\windows\system32\mdms.exe
O4 - HKLM\..\Run: [PayTime] C:\WINDOWS\System32\paytime.exe
O4 - HKLM\..\RunOnce: [CTAVTray] C:\Programme\Creative\SBLive\Program\CTAvStub.EXE EAX.AVI
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [aupd] C:\WINDOWS\System32\symcsvc.exe
O4 - HKCU\..\Run: [PayTime] C:\WINDOWS\System32\paytime.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O12 - Plugin for .avi: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .mpg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .wav: C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.aol.de/e60/
O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab
O20 - Winlogon Notify: tcpG4T - C:\WINDOWS\SYSTEM32\tcpG4T.dll
O21 - SSODL: DCOM Server - {2C1CD3D7-86AC-4068-93BC-A02304BB8C34} - C:\WINDOWS\System32\dcom_9.dll
O21 - SSODL: System - {3AFB198E-B4E4-4E53-A718-AFD7390AD950} - vr_sys.dll (file missing)
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

...den e-scan hab ich mir dann mal gespart... oder ist der von nöten?

Alt 10.08.2005, 00:04   #14
dartus
 
Was muss ich hier fixen? - Standard

Was muss ich hier fixen?


Hallo dfe2602,

Deine Logfiles sehen immer schlimmer aus!
Spybot und Adaware helfen bei derartigen Verseuchung keineswegs.
Um wieder ein vertrauenswürdiges System zu besitzen ist eine Neuinstallation unumgänglich!

http://www.mathematik.uni-marburg.de...c-removal.html
http://www.mathematik.uni-marburg.de...ompromise.html
http://en.wikipedia.org/wiki/Botnet
http://de.wikipedia.org/wiki/Backdoor

Empfohlene Anleitung zur Neuinstallation

http://www.trojaner-board.de/showthread.php?t=12154

Thema Datensicherung:

http://www.trojaner-board.de/showpos...8&postcount=11

dartus
__________________
Kein Support per PN

Alt 10.08.2005, 10:35   #15
Gigamail
 
Was muss ich hier fixen? - Standard

Was muss ich hier fixen?


@ dfe2602

was soll die ganze Doktorarbeit wenn du nicht nach den Ratschlägen gehst die dir gegeben werden. Ich hatte im Post #4 schon mal darauf hingewiesen, aber anscheinend hast du das überlesen. Die Datei befindet sich immer noch auf deinem Rechner und hättest du sie geprüft wie beschrieben dann wäre das Neuaufsetzen wahrscheinlich schon dort klar gewesen. Ich kann Dartus nur beipflichten.
__________________
Gruß Gigamail

eScan-Anleitung und Download



Antwort

Themen zu Was muss ich hier fixen?
adobe, antivir, avgnt.exe, bho, browser, canon, excel, explorer, hijack, hijackthis, icqtoolbar, internet, internet explorer, monitor, nvidia, problem, programme, rundll, scan, server, software, spyware, system, temp, trojaner, urlsearchhook, windows, windows xp


« Habe ein Problem mit Trojaner! | das ist der richtige »


Ähnliche Themen: Was muss ich hier fixen?


  1. O13 - gopher Prefix: missing Art Sofort fixen! Grundsätzlich fixen!
    Log-Analyse und Auswertung - 03.07.2012 (1)
  2. MBR fixen
    Alles rund um Windows - 01.03.2012 (7)
  3. Habe hier das Problem mit den anscheinend hier Bekannten "50Euro" Virus
    Plagegeister aller Art und deren Bekämpfung - 09.01.2012 (3)
  4. Router unauffindbar-Trojanerfund-Was muss ich noch fixen?
    Log-Analyse und Auswertung - 17.02.2010 (8)
  5. Abrechnung mit dem Rest - was kann ich hier noch fixen?
    Mülltonne - 02.11.2008 (0)
  6. Hier muss was faul sein!
    Log-Analyse und Auswertung - 08.02.2006 (2)
  7. Welche dateien muss ich fixen????
    Log-Analyse und Auswertung - 12.10.2005 (15)
  8. hier mein log, was muss weg?
    Log-Analyse und Auswertung - 29.08.2005 (3)
  9. Was muss ich fixen?
    Log-Analyse und Auswertung - 04.07.2005 (7)
  10. wie fixen?
    Log-Analyse und Auswertung - 14.04.2005 (1)
  11. Was ist zu fixen???
    Log-Analyse und Auswertung - 10.04.2005 (6)
  12. Was ist den fixen?
    Log-Analyse und Auswertung - 14.02.2005 (1)
  13. was muss ich in meiner logfile fixen???
    Log-Analyse und Auswertung - 19.01.2005 (1)
  14. Problem mit cws Hijack Was muss ich fixen???
    Log-Analyse und Auswertung - 06.01.2005 (4)
  15. nix klappt,kommt trotz fixen wieder-hier mein logfile-kann mir bitte jemand helfen
    Log-Analyse und Auswertung - 27.11.2004 (2)
  16. Was muss ich fixen?
    Plagegeister aller Art und deren Bekämpfung - 14.11.2004 (1)
  17. Hilfe was muss ich fixen
    Log-Analyse und Auswertung - 04.10.2004 (1)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Was muss ich hier fixen? - Hallo leute! ich hab mal wieder ein problem mit irgend welchen trojanern.... ich hab den CCleaner mal laufen lassen und hab einen panda onlinscan gemacht.. der hat aber nix gefunden... - Was muss ich hier fixen?...
Archiv
Du betrachtest: Was muss ich hier fixen? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130