|
Plagegeister aller Art und deren Bekämpfung: Bin durch Trojaner verseucht, HiJackThis-Log angegebenWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
31.03.2004, 19:50 | #1 |
| Bin durch Trojaner verseucht, HiJackThis-Log angegeben Hallo, hab schon Spybot, Adaware, CWShredder usw. drüberlaufen lassen, doch mein PC ist immer noch verseucht. Das merke ich daran, dass beim Start des IE und auch während des laufenden IE, Werbung-Websites eingeblendet werden. Außerdem dauert das Hochfahren merklich länger, die Downloads für HiJacker etc. klappen nur per direkten Link und winlogon.exe versucht sich seit meinem Problem mit Internet und Netzwerk(meistens zur IP 192.168.0.100[Gateway]) zu verbinden. Nun habe ich den HijackThis drüberlaufen gelassen, kann aber keinen eindeutigen "bösen" Eintrag trotz Internetrecherche feststellen. Daher hier der HiJackThis-Log-File, hoffe ihr könnt mir helfen: Logfile of HijackThis v1.97.7 Scan saved at 20:40:55, on 31.03.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\SYSTEM32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\Programme\AVPersonal\AVGUARD.EXE C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\tcpsvcs.exe C:\WINDOWS\System32\SLEE401.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\MsPMSPSv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\qttask.exe C:\WINDOWS\Dit.exe C:\Programme\D-Tools\daemon.exe C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe C:\WINDOWS\System32\hphmon04.exe C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe C:\WINDOWS\Mixer.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\RUNDLL32.EXE C:\Programme\Steam\Steam.exe C:\WINDOWS\DitExp.exe C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe C:\WINDOWS\System32\HPHipm11.exe C:\WINDOWS\system32\ntvdm.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Programme\Messenger\msmsgs.exe D:\Eigene Dateien\Downloads\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.games-fusion.net R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.de/ O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [QuickTime Task] C:\WINDOWS\system32\qttask.exe O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe O4 - HKLM\..\Run: [HPHmon04] C:\WINDOWS\System32\hphmon04.exe O4 - HKLM\..\Run: [HPHUPD04] "C:\Programme\HP Photosmart 11\hphinstall\UniPatch\hphupd04.exe" O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe O4 - HKLM\..\Run: [seaamgnj] C:\WINDOWS\System32\pugutfuy.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit O4 - HKCU\..\Run: [Steam] C:\Programme\Steam\Steam.exe -silent O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe O4 - Global Startup: Adobe Gamma Loader.lnk = ? O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: Subscribe in Desktop Sidebar (HKLM) O9 - Extra 'Tools' menuitem: Subscribe in Desktop Sidebar (HKLM) O9 - Extra button: ICQ Pro (HKLM) O9 - Extra 'Tools' menuitem: ICQ (HKLM) O9 - Extra button: Preispiraten 2.02 (HKLM) O9 - Extra button: Real.com (HKLM) O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM) O9 - Extra button: MedionShop (HKCU) O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...irector/sw.cab O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/downlo...22/wmv9VCM.CAB O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab O16 - DPF: {DDFFA75A-E81D-4454-89FC-B9FD0631E726} - http://www.bundleware.com/activeX/DS3/DS3.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{4ADB1933-9EF7-4E0C-BECC-9C6B2B7159C0}: NameServer = 192.168.0.100 |
01.04.2004, 08:42 | #2 |
| Bin durch Trojaner verseucht, HiJackThis-Log angegeben </font><blockquote>Zitat:</font><hr />Original erstellt von NeonE:
__________________O4 - HKLM\..\Run: [seaamgnj] C:\WINDOWS\System32\pugutfuy.exe </font>[/QUOTE]Verdächtig... mit KAV prüfen Dein Startup ist völlg überladen !!! Hast du einen Komplettscsan mit aktuellem AVPE gemacht ? Auch lesen: http://www.trojaner-board.de/51130-a...ijackthis.html weitere Details/Links: Forensuche also use onlinescanner from www.ravantivirus.com remove found malware according to info on VGREP (see below) or google Check the files listed in the Hijackthis-log with http://www.sysinfo.org/startuplist.php (and search on Google) and scan them with KAV (see below), to see what's malicious or useless: fix those with hijackthis Links and further details can be found via the board search or google then scan again with HijackThis and post the NEW log here |
01.04.2004, 09:47 | #3 |
| Bin durch Trojaner verseucht, HiJackThis-Log angegeben Ich kann pugutfuy.exe nicht im ordner c:/windows/system32/ finden, hab es aber aus dem Autorun gelöscht, Prob besteht jedoch weiterhin.
__________________AVPE habe ich auch schon 2x drüberlaufen lassen, hatte auch in den Tempory Internet Files ordentlich was gefunden, worauf ich alles darin gelöscht habe, Prob besteht jedoch weiterhin. ICh glaube kaum, dass die lange Hochladezeit durch den Startup verursacht wurde. Es daurt nämlich nicht, so lange wenn Windows schon komplett geladen ist, sondern während er anzeigt "Benutzereinstellungen werden geladen" (also nach Kennworteingaben). ICh vermute dass ich mir den ganzen SCH*** bei www.ircspy.com geholt habe. [img]graemlins/headbang.gif[/img] [ 01. April 2004, 11:16: Beitrag editiert von: NeonE ] |
01.04.2004, 10:02 | #4 |
/// Mr. Schatten | Bin durch Trojaner verseucht, HiJackThis-Log angegeben Wenn Du glaubst dass dein Link gefährlich ist, dann Entlinke ihn bitte!! Also Edit link löschen und als hxxp://www.ircspy.com schreiben! </font><blockquote>Zitat:</font><hr />Original erstellt von NeonE: ICh glaube kaum, dass die lange Hochladezeit durch den Startup verursacht wurde. Es daurt nämlich nicht, so lange wenn Windows schon komplett geladen ist, sondern während er anzeigt "Benutzereinstellungen werden geladen" (also nach Kennworteingaben). </font>[/QUOTE]Natürlich! Im Startup gibt es Einstellung für jeden Nutzer und Einstellungen die Benutzerspezifisch geladen werden, bzw. Einstellungen für den Computer (absolut Nutzerunabhängig). Und nur Dienste die unter jedem Nutzer laufen sollen werden vorher geladen (Umkehrschluß ist nicht zulässig). (kann, muß aber nicht) Probier mal einen anderen Nutzer (Administrator, den gibt es sicher noch *bg*)
__________________ alle Tipps + Hilfen aller Helfer sind ohne Gewähr + Haftung keine Hilfe via PN hier ist ein Forum, jeder kann profitieren/kontrollieren - niemand ist fehlerfrei tendenzielle Beachtung der Rechtschreibregeln erhöht die Wahrscheinlichkeit einer Antwort - |
01.04.2004, 10:11 | #5 |
/// Mr. Schatten | Bin durch Trojaner verseucht, HiJackThis-Log angegeben O4 - HKCU\..\Run: [Steam] C:\Programme\Steam\Steam.exe -silent brauchst Du dies? Dauert sicher... (ist wohl für Ego-Shooter ein Updatesucher, muss dies wirklich jedesmal geladen werden? [img]graemlins/headbang.gif[/img]
__________________ alle Tipps + Hilfen aller Helfer sind ohne Gewähr + Haftung keine Hilfe via PN hier ist ein Forum, jeder kann profitieren/kontrollieren - niemand ist fehlerfrei tendenzielle Beachtung der Rechtschreibregeln erhöht die Wahrscheinlichkeit einer Antwort - |
01.04.2004, 10:14 | #6 |
/// Helfer-Team | Bin durch Trojaner verseucht, HiJackThis-Log angegeben Steam ist von Valve und somit unter anderem für Counter Strike. Steam ist im eigentlichen Sinne kein reiner Updatesucher. Es ist auch der starter für CS und Co. Wenn man den aus dem Autostart rausnimmt, dann braucht es recht lange bis CS startet. So waren meine Erfahrungen mit Einführung von Steam. Björn
__________________ --> Bin durch Trojaner verseucht, HiJackThis-Log angegeben |
01.04.2004, 10:14 | #7 |
| Bin durch Trojaner verseucht, HiJackThis-Log angegeben ich bin der einzige Nutzer hier auf dem system. Zum Startup: Vorher(vor 2 Tagen) muss ich ja auch schon einen ziemlich überladenen Startup gehabt haben (steam und co waren schon immer drauf), da ging aber alles problos und schnell. Es kann nur durch den Trojaner/Virus verursacht worden sein, da diese Erscheinung gleichzeitig mit dieser beschi****** Werbeeinblendeung beim IE auftrat. |
01.04.2004, 11:18 | #8 |
/// Mr. Schatten | Bin durch Trojaner verseucht, HiJackThis-Log angegeben Nagut, kenne mich auch mit Spielen nicht aus [img]graemlins/heulen.gif[/img] </font><blockquote>Zitat:</font><hr />Original erstellt von NeonE: ich bin der einzige Nutzer hier auf dem system. </font>[/QUOTE]Blödsinn Das glaubst Du (noch) vielleicht! Aber selbst wenn es so wäre, würde es an den von mir beschriebenen Tatsachen nichts ändern! Es gibt Einstellungen die Sind Benutzerspezifisch und die werden eben erst NACH der Anmeldung geladen und es gibt nichtbenutzerspezifische Einstellungen! Und die können (müssen aber nicht) auch schon vorher geladen werden. Wenn Du lesen könntest: </font><blockquote>Zitat:</font><hr />Original erstellt von Shadow: Probier mal einen anderen Nutzer (Administrator, den gibt es sicher noch *bg*) </font>[/QUOTE]Nein Ich glaube Dir einfach nicht dass Du der einzige (angelegte) Benutzer bist *bg*
__________________ alle Tipps + Hilfen aller Helfer sind ohne Gewähr + Haftung keine Hilfe via PN hier ist ein Forum, jeder kann profitieren/kontrollieren - niemand ist fehlerfrei tendenzielle Beachtung der Rechtschreibregeln erhöht die Wahrscheinlichkeit einer Antwort - |
01.04.2004, 13:41 | #9 |
| Bin durch Trojaner verseucht, HiJackThis-Log angegeben Hi, bez. Steam im Autorun --> aus meiner Erfahrung --> führt zu einer erheblichen Verlangsamung bis das System ready ist. Ich bin auch bekennender CSler und mein "verwalteter" Autostart umfasst 2 Programme -> den Rest startet ich bei Bedarf. greetz Blackdog
__________________ Think positiv - es wird Ihnen gehilft |
Themen zu Bin durch Trojaner verseucht, HiJackThis-Log angegeben |
.exe, .inf, adobe, askbar, button, dateien, desktop, dll, drivers, explorer, helfen, hijackthis, icq, internet, internet explorer, link, links, logon.exe, meinem, messenger, microsoft, netzwerk, nvcpl.dll, object, problem, programme, rundll, shockwave, software, system, system32, tcpip, windows, windows messenger, windows xp, windows\system32\drivers, winlogon.exe |