Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
Plagegeister: Desktophijack.B und Alemod

Plagegeister: Desktophijack.B und Alemod


Log-Analyse und Auswertung: Plagegeister: Desktophijack.B und Alemod

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 31.10.2005, 13:24   #1
Nordmann
 
Plagegeister: Desktophijack.B und Alemod - Standard

Plagegeister: Desktophijack.B und Alemod


Hallo an die hilfreichen Spezialisten Vom Trojaner-Board,

nun brauch ich auch proffesionelle Hilfe. Komme allein nicht mehr weiter. Habe einen infizierten Rechner, auf dem die Dateien "wininet.dll" und "oleext.dll" befallen sind. Lassen sich nicht löschen. Norton gibt Alarm wg. Trojan.Desktophijack.B und Trojan.Alemod. Könnt Ihr helfen. Anbei das HJT-Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 11:22:58, on 31.10.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\alg.exe
D:\PROGRA~1\MICROS~1\MSSQL\binn\sqlservr.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\AVM\NetWAYS\NETWSERV.EXE
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\Programme\Spyware Doctor\sdhelp.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\AVM\NetWAYS\AVMIKE.EXE
C:\Programme\AVM\NetWAYS\CERTSRV.EXE
C:\WINDOWS\explorer.exe
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\Dit.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\FRITZ!DSL\Awatch.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Spyware Doctor\swdoctor.exe
C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\Programme\Hijack\HijackThis.exe

F2 - REG:system.ini: Shell=explorer.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [vmcleaner] gxlib.exe
O4 - HKLM\..\Run: [PSGuard] C:\Programme\PSGuard\PSGuard.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q
O4 - Global Startup: Dienst-Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O4 - Global Startup: WorldAntiSpy.lnk = C:\Programme\WorldAntiSpy\WorldAntiSpy.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1130479183156
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{DA6BBAFF-282B-4F71-95DA-0DFEEE920992}: NameServer = 192.168.122.252,192.168.122.253
O20 - Winlogon Notify: PCANotify - C:\WINDOWS\SYSTEM32\PCANotify.dll
O23 - Service: AVM IKE Service for NetWAYS ISDN (avmike) - AVM Berlin - C:\Programme\AVM\NetWAYS\AVMIKE.EXE
O23 - Service: pcAnywhere Host Service (awhost32) - Symantec Corporation - C:\Programme\Symantec\pcAnywhere\awhost32.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: AVM CERT Service for NetWAYS ISDN (certsrv) - Unknown owner - C:\Programme\AVM\NetWAYS\CERTSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: AVM NetWAYS ISDN (NetWAYS Service) - Unknown owner - C:\Programme\AVM\NetWAYS\NETWSERV.EXE
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: AVM Crypt Service for NetWAYS ISDN (nwcrypt) - Unknown owner - C:\Programme\AVM\NetWAYS\NWCRYPT.EXE
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools - C:\Programme\Spyware Doctor\sdhelp.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe



Schon jetzt vielen Dank für Eure Mühe. KLeine Bitte im HInblick auf eine Antwort: Ihr habt es hier mit einem einfachen Anwender zu tun - sprecht bitte "deutsch" mit mir.

Es grüßt Euch

der Nordmann

Alt 31.10.2005, 13:31   #2
Wildone
 
Plagegeister: Desktophijack.B und Alemod - Standard

Plagegeister: Desktophijack.B und Alemod


Hallo,
arbeite mal diese Anleitung ab, und poste danach das smitrem Logfile (smitfiles.txt) das Escan Logfile (die Anleitung zu Escan sorgfältig lesen! dort steht auch wie man das Log mit Hilfe der find.bat erstellt) und ein neues HijackThis Logfile.


Grüße Wildone
__________________
Alt 31.10.2005, 13:32   #3
stupormundi
 
Plagegeister: Desktophijack.B und Alemod - Standard

Plagegeister: Desktophijack.B und Alemod


Servus, nordmann!
Arbeite mal in aller Ruhe das http://www.trojaner-board.de/showthread.php?t=21709 durch und poste anschließend alle logfiles (smitfiles.txt, HJT-Log, escan)
Und hol´ Dir das Servicepack 2 für XP Dein BS ist nicht aktuell
Zitat:
Logfile of HijackThis v1.99.1
Scan saved at 11:22:58, on 31.10.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Bis dann, stupormundi
~~Edit~~ @wildone: ok, ok, heute hab´ ich mehr geschrieben, warst Du schneller ~~/edit~~
__________________
__________________
Alt 31.10.2005, 16:14   #4
Nordmann
 
Plagegeister: Desktophijack.B und Alemod - Standard

Plagegeister: Desktophijack.B und Alemod


Vielen Dank für die schnelle Hilfe. Scheint soweit ganz gut geklappt zu haben. Könnt Ihr mir jetzt auch noch abschließend helfen? Nachfolgend ist die neue HJT-Logfile und Virus-Log von Escan eingefügt.


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Mon Oct 31 15:09:42 2005 => File C:\WINDOWS\system32\OLEEXT.dll infected by "Trojan-Downloader.Win32.Agent.ns" Virus! Action Taken: No Action Taken.
Mon Oct 31 15:10:18 2005 => System found infected with begin2search Spyware/Adware (download movies.url)! Action taken: No Action Taken.
Mon Oct 31 15:10:20 2005 => System found infected with cydoor.topicks.a Spyware/Adware (settings.dat)! Action taken: No Action Taken.
Mon Oct 31 15:19:11 2005 => File C:\Programme\Norton AntiVirus\Quarantine\61894135.exe infected by "Trojan-Downloader.Win32.Agent.ns" Virus! Action Taken: No Action Taken.
Mon Oct 31 15:19:11 2005 => File C:\Programme\Norton AntiVirus\Quarantine\67B94C67.dll infected by "Trojan-Downloader.Win32.Agent.ns" Virus! Action Taken: No Action Taken.
Mon Oct 31 15:42:34 2005 => File C:\WINDOWS\system32\oleext.dll infected by "Trojan-Downloader.Win32.Agent.ns" Virus! Action Taken: No Action Taken.
Mon Oct 31 15:43:42 2005 => File C:\WINDOWS\system32\wininet.old infected by "Virus.Win32.Nsag.b" Virus! Action Taken: No Action Taken.
Mon Oct 31 15:46:27 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "offending"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Mon Oct 31 15:10:18 2005 => Offending file found: C:\Dokumente und Einstellungen\Lenderoth\Desktop\download movies.url
Mon Oct 31 15:10:20 2005 => Offending file found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\symantec\common client\settings.dat
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Mon Oct 31 15:46:26 2005 => Total Virus(es) Found: 7
Mon Oct 31 15:46:27 2005 => Total Errors: 68
Mon Oct 31 15:46:27 2005 => Time Elapsed: 00:37:06
Mon Oct 31 15:46:26 2005 => Total Objects Scanned: 40038
Mon Oct 31 15:08:31 2005 => Virus Database Date: 2005/10/31
Mon Oct 31 15:46:27 2005 => Virus Database Date: 2005/10/31
Mon Oct 31 15:48:09 2005 => Virus Database Date: 2005/10/31
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~





Logfile of HijackThis v1.99.1
Scan saved at 15:57:42, on 31.10.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\alg.exe
D:\PROGRA~1\MICROS~1\MSSQL\binn\sqlservr.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\AVM\NetWAYS\NETWSERV.EXE
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\Programme\Spyware Doctor\sdhelp.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\NORTON~1\Navw32.exe
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\Dit.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AVM\NetWAYS\AVMIKE.EXE
C:\Programme\FRITZ!DSL\Awatch.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Spyware Doctor\swdoctor.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\AVM\NetWAYS\CERTSRV.EXE
C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\Hijack\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [vmcleaner] gxlib.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Dienst-Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O4 - Global Startup: WorldAntiSpy.lnk = C:\Programme\WorldAntiSpy\WorldAntiSpy.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - h**p://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1130479183156
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - h**p://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{DA6BBAFF-282B-4F71-95DA-0DFEEE920992}: NameServer = 192.168.122.252,192.168.122.253
O20 - Winlogon Notify: PCANotify - C:\WINDOWS\SYSTEM32\PCANotify.dll
O23 - Service: AVM IKE Service for NetWAYS ISDN (avmike) - AVM Berlin - C:\Programme\AVM\NetWAYS\AVMIKE.EXE
O23 - Service: pcAnywhere Host Service (awhost32) - Symantec Corporation - C:\Programme\Symantec\pcAnywhere\awhost32.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: AVM CERT Service for NetWAYS ISDN (certsrv) - Unknown owner - C:\Programme\AVM\NetWAYS\CERTSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: AVM NetWAYS ISDN (NetWAYS Service) - Unknown owner - C:\Programme\AVM\NetWAYS\NETWSERV.EXE
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: AVM Crypt Service for NetWAYS ISDN (nwcrypt) - Unknown owner - C:\Programme\AVM\NetWAYS\NWCRYPT.EXE
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools - C:\Programme\Spyware Doctor\sdhelp.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe




Könnt Ihr mir sagen, was ich jetzt zu tun habe? Vielen Dank sagt

der Nordmann

Alt 31.10.2005, 16:35   #5
Wildone
 
Plagegeister: Desktophijack.B und Alemod - Standard

Plagegeister: Desktophijack.B und Alemod


Hallo,
erstmal, hast du die C:\smitfiles.txt noch, wenn ja bitte auch noch posten.
lösche mal noch folgende Datei:
C:\WINDOWS\system32\oleext.dll
ev. auch noch(falls ungewollt):
C:\Dokumente und Einstellungen\Lenderoth\Desktop\download movies.url
und fixe (Haken davor und auf fix checked klicken) noch folgende Einträge mit HijackThis:
O4 - HKLM\..\Run: [vmcleaner] gxlib.exe
O4 - Global Startup: WorldAntiSpy.lnk = C:\Programme\WorldAntiSpy\WorldAntiSpy.exe

Falls es unter Systemsteurung>>Software einen Eintrag Worldantispy gibt, diesen deinstallieren.
Wenn nicht manuell den Ordner C:\Programme\WorldAntispy löschen.


Grüße Wildone


Alt 31.10.2005, 16:41   #6
Nordmann
 
Plagegeister: Desktophijack.B und Alemod - Standard

Plagegeister: Desktophijack.B und Alemod


Sorry, die habe ich ganz vergessen


smitRem © log file
version 2.7

by noahdfear


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

checking for ShudderLTD key

ShudderLTD key present!

Running LTDFix/PSGuard.com fix!

checking for PSGuard.com key


PSGuard.com key not present!



ShudderLTD key was successfully removed!


if previously present, PSGuard.com key was successfully removed!

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Existing Pre-run Files


~~~ Program Files ~~~

PSGuard


~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~

oleext.dll


~~~ Icons in System32 ~~~

ptainfo1
ptainfo2


~~~ Windows directory ~~~



~~~ Drive root ~~~


~~~ Miscellaneous Files/folders ~~~




~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~



Remaining Post-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~

oleext.dll


~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~



~~~ Miscellaneous Files/folders ~~~




~~~ Wininet.dll ~~~

wininet.dll INFECTED!! Starting replacement procedure.


~~~~ Looking for C:\WINDOWS\system32\dllcache\wininet.dll ~~~~


~~~~ C:\WINDOWS\system32\dllcache\wininet.dll Present! ~~~~


~~~~ Checking dllcache\wininet.dll for infection ~~~~


~~~~ dllcache\wininet.dll Clean! ~~~~

~~~ Replaced wininet.dll from dllcache ~~~



~~~ Upon reboot ~~~

wininet.old present!
oleadm.dll not present!
oleext.dll present!


~~~ Upon completion ~~~

wininet.old not present!
oleadm.dll not present!
oleext.dll not present!


~~~~ Rechecking C:\WINDOWS\system32\wininet.dll for infection ~~~~


~~~~ C:\WINDOWS\system32\wininet.dll Clean! ~~~~

Alt 31.10.2005, 16:50   #7
Nordmann
 
Plagegeister: Desktophijack.B und Alemod - Standard

Plagegeister: Desktophijack.B und Alemod


Hallo Wildone,

habe Deine Anleitung befolgt (soweit es ging). Die oleext.dll und die Movies.url waren nicht zu finden. Haben sich wohl vor Schreck inLuft aufgelöst.

War es das? Oder muss noch was getan werden. Ich nehme an, ich muss nun die Deaktivierung der Systemwiederherstellung aufheben, oder?

Nochmals vielen Dank für tolle Hilfe - Ihr seid echt super

Es Grüßt
Nordmann

Alt 31.10.2005, 16:53   #8
Wildone
 
Plagegeister: Desktophijack.B und Alemod - Standard

Plagegeister: Desktophijack.B und Alemod


Hallo,
sieht alles ganz gut aus, wenn du noch die Sachen von oben löschst sollte die Sache ausgestanden sein.
Besorge dir jetzt SP2 und alle weiteren Patches, ein aktuelles System ist der wichtigste Gesichtspunkt beim Thema Systemsicherheit.
Dann solltest du noch überlegen ob du nich vielleicht auf einen alternativen Browser (Firefox, Mozilla, Opera) umsteigen solltest, oder zumindest mal den IE sicherer konfigurieren.

Edit:
suche mal die Dateien folgendermaßen. Und ja, jetzt (nachdem du die oleext.dll gelöscht hast) kannst die systemwiederherstellung wieder aktivieren.


Grüße Wildone

Alt 31.10.2005, 17:12   #9
Nordmann
 
Plagegeister: Desktophijack.B und Alemod - Standard

Plagegeister: Desktophijack.B und Alemod


habe ich alles gemacht - die bleiben verschwunden. SP2 ist drauf. Feuerfuchs kommt auch. Tja, das war es dann wohl hoffentlich. Nochmals danke!!!

Antwort

Themen zu Plagegeister: Desktophijack.B und Alemod
.dll, adobe, alemod, antivirus, antivirus scan, bho, crypt, dateien, drivers, dsl, explorer, firewall, hijackthis, infizierte, internet, internet explorer, messenger, microsoft, monitor, mssql, pc tools spyware doctor, programme, rundll, security, security center, server, settings manager, spyware, symantec, system, trojaner-board, vielen dank, windows, windows xp


« Hilfe Pop Ups | kontrolle »


Ähnliche Themen: Plagegeister: Desktophijack.B und Alemod


  1. Trojan.Alemod im Temporäre Verzeichnis oder noch größere Probleme
    Log-Analyse und Auswertung - 01.06.2011 (5)
  2. DesktopHiJack
    Log-Analyse und Auswertung - 16.01.2006 (2)
  3. desktophijack.B Probleme mit smitrem!!HILFE!!
    Log-Analyse und Auswertung - 07.01.2006 (1)
  4. Desktophijack
    Log-Analyse und Auswertung - 23.12.2005 (1)
  5. W32.Desktophijack
    Plagegeister aller Art und deren Bekämpfung - 21.11.2005 (31)
  6. Trojan.Desktophijack.B
    Log-Analyse und Auswertung - 04.10.2005 (1)
  7. Trojan.Desktophijack.B macht mich krank!! HELP!!
    Log-Analyse und Auswertung - 26.09.2005 (8)
  8. Trojan.Desktophijack.B auch nach Systemneuinstallation!?
    Plagegeister aller Art und deren Bekämpfung - 21.09.2005 (8)
  9. W32.Desktophijack, bitte um Auswertung meiner log-file
    Plagegeister aller Art und deren Bekämpfung - 16.08.2005 (2)
  10. W32/Alemod
    Plagegeister aller Art und deren Bekämpfung - 01.08.2005 (29)
  11. Desktophijack ist nicht wegzukriegen - brauche Hilfe
    Log-Analyse und Auswertung - 21.07.2005 (4)
  12. W32.Desktophijack <= ...bitte um Hilfe...
    Log-Analyse und Auswertung - 02.07.2005 (1)
  13. Hilferuf W32.Desktophijack
    Mülltonne - 02.07.2005 (1)
  14. trojan.Desktophijack nur teilweise vorhanden
    Log-Analyse und Auswertung - 30.06.2005 (8)
  15. W32/desktophijack
    Plagegeister aller Art und deren Bekämpfung - 30.06.2005 (11)
  16. W32.desktophijack und trojan.desktophijack.B !!! Help ;-)
    Plagegeister aller Art und deren Bekämpfung - 26.06.2005 (3)
  17. trojan.desktophijack
    Log-Analyse und Auswertung - 26.04.2005 (5)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Plagegeister: Desktophijack.B und Alemod - Hallo an die hilfreichen Spezialisten Vom Trojaner-Board, nun brauch ich auch proffesionelle Hilfe. Komme allein nicht mehr weiter. Habe einen infizierten Rechner, auf dem die Dateien "wininet.dll" und "oleext.dll" befallen - Plagegeister: Desktophijack.B und Alemod...
Archiv
Du betrachtest: Plagegeister: Desktophijack.B und Alemod auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131