|
Log-Analyse und Auswertung: Bin neu hier und brauche dringend Hilfe!Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
09.08.2006, 14:58 | #1 |
| Bin neu hier und brauche dringend Hilfe! hallo, ich bin echt verzweifelt ich habe schon vieles versucht, doch f-secure, spybot und ad-aware scheinen nicht gegen die viren/trojaner anzukommen... die sache an der ich merkte das etwas nicht stimmt war die das ich (inet DSL6000) immer eine internetverbindung von 200-600 kbit\s habe und nicht weiss woher das kommt wenn ich alle onlineprogramme bzw. alle mir bewussten onlineprozesse beendet habe. kann mir bitte jemand bei dem logfile helfen oder allgemeine tips geben? dankeschön schon mal im vorraus! hier das logfile: ------------------------------------------------------- Logfile of HijackThis v1.99.1 Scan saved at 15:42:58, on 09.08.2006 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) Running processes: D:\WINDOWS\System32\smss.exe D:\WINDOWS\system32\winlogon.exe D:\WINDOWS\system32\services.exe D:\WINDOWS\system32\lsass.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\system32\spoolsv.exe D:\Programme\F-Secure\Anti-Virus\fsgk32st.exe D:\Programme\F-Secure\Anti-Virus\FSGK32.EXE D:\Programme\KEN!\KENCLI.EXE D:\Programme\F-Secure\Anti-Virus\fssm32.exe D:\WINDOWS\System32\nvsvc32.exe D:\WINDOWS\Explorer.EXE D:\WINDOWS\SOUNDMAN.EXE D:\Programme\KEN!\kentbcli.exe D:\WINDOWS\Mixer.exe D:\Programme\Winamp\winampa.exe D:\Programme\ICQLite\ICQLite.exe D:\Programme\Java\jre1.5.0_06\bin\jusched.exe D:\Programme\QuickTime\qttask.exe D:\Programme\F-Secure\Common\FSM32.EXE D:\Programme\DAEMON Tools\daemon.exe D:\Programme\NetPumper\NetPumperIEProxy.exe D:\Programme\Gemeinsame Dateien\{A8F0DE23-0874-1031-0521-030428030031}\Update.exe D:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-Watch.exe D:\Programme\Steam\Steam.exe D:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe D:\Programme\F-Secure\Common\FSMA32.EXE D:\Programme\F-Secure\Common\FSMB32.EXE D:\Programme\F-Secure\Common\FCH32.EXE D:\Programme\F-Secure\Common\FAMEH32.EXE D:\Programme\F-Secure\Common\FNRB32.EXE D:\Programme\F-Secure\Common\FIH32.EXE D:\Programme\F-Secure\Anti-Virus\fsav32.exe D:\Dokumente und Einstellungen\**********\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://192.168.100.1:3128/ken2000.html R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = file://D:\Programme\WinJam\ws.js R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=192.168.100.1:3128;https=192.168.100.1:3128;ftp=192.168.100.1:3128;socks=192.168.100.1:1080 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost F2 - REG:system.ini: UserInit=userinit.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [KEN Taskbar Client] "D:\Programme\KEN!\kentbcli.exe" O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [WinampAgent] D:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [ICQ Lite] "D:\Programme\ICQLite\ICQLite.exe" -minimize O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Programme\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [F-Secure Manager] "D:\Programme\F-Secure\Common\FSM32.EXE" /splash O4 - HKLM\..\Run: [DAEMON Tools] "D:\Programme\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [NetPumper] "D:\Programme\NetPumper\NetPumperIEProxy.exe" O4 - HKLM\..\Run: [jumpcoalwarnsoap] D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\messbluejumpcoal\ThisName.exe O4 - HKLM\..\Run: [DXDllRegExe] D:\WINDOWS\System32\dxdllreg.exe O4 - HKCU\..\Run: [AWMON] "D:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-Watch.exe" O4 - HKCU\..\Run: [Steam] "D:\Programme\Steam\Steam.exe" -silent O4 - HKCU\..\Run: [trustmode] D:\DOKUME~1\*******\ANWEND~1\CLOCKF~1\time sign.exe O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O8 - Extra context menu item: Alles mit FlashGet laden - D:\Programme\FlashGet\jc_all.htm O8 - Extra context menu item: Download with NetPumper - D:\Programme\NetPumper\AddUrl.htm O8 - Extra context menu item: Mit FlashGet laden - D:\Programme\FlashGet\jc_link.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FlashGet\flashget.exe O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FlashGet\flashget.exe O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - ht*p://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - ht*p://messenger.zone.msn.com/binary/ZIntro.cab47946.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{163E42FD-D698-4DF8-AC99-BB689421FCAB}: NameServer = 192.168.100.1 O17 - HKLM\System\CCS\Services\Tcpip\..\{3D376D0E-ADD8-419C-BECE-434B7BB1CD50}: NameServer = 192.168.100.1 O17 - HKLM\System\CCS\Services\Tcpip\..\{96390768-8546-4BD7-A934-4E40E100628E}: NameServer = 192.168.100.1 O17 - HKLM\System\CS1\Services\Tcpip\..\{163E42FD-D698-4DF8-AC99-BB689421FCAB}: NameServer = 192.168.100.1 O17 - HKLM\System\CS2\Services\Tcpip\..\{163E42FD-D698-4DF8-AC99-BB689421FCAB}: NameServer = 192.168.100.1 O17 - HKLM\System\CS3\Services\Tcpip\..\{163E42FD-D698-4DF8-AC99-BB689421FCAB}: NameServer = 192.168.100.1 O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - D:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - D:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - D:\Programme\F-Secure\Anti-Virus\fsgk32st.exe O23 - Service: F-Secure Network Request Broker - F-Secure Corporation - D:\Programme\F-Secure\Common\FNRB32.EXE O23 - Service: F-Secure Authentication Agent (FSAA) - F-Secure Corporation. All Rights Reserved. - D:\Programme\F-Secure\Common\FSAA.EXE O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - D:\Programme\F-Secure\Common\FSMA32.EXE O23 - Service: AVM KEN Klient (KEN Client Service) - AVM Berlin - D:\Programme\KEN!\KENCLI.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\System32\nvsvc32.exe |
09.08.2006, 15:51 | #2 |
> MalwareDB | Bin neu hier und brauche dringend Hilfe! Hallo,
__________________zuerst lies bitte hier, was ein Service Pack ist. Dein XP hat ein solches bisher nie gesehen, daher kann man Dir nur den Rat geben das System nach dieser Anleitung neu aufzusetzen. Gruß Schrulli
__________________ |
09.08.2006, 16:29 | #3 |
| Bin neu hier und brauche dringend Hilfe!__________________ |
09.08.2006, 19:16 | #4 |
| Bin neu hier und brauche dringend Hilfe! zu schrulli: habe mir die winxp professional draufgehauen weil mir das anrufen wegen dem key für die homeedition zu stressig war, falls sich das problem nicht lösen lässt werde ich auf jeden fall die home edition benutzen! Silentrunners log kommt noch vollständig Geändert von Black-Haze88 (09.08.2006 um 19:25 Uhr) |
09.08.2006, 19:29 | #5 | |
| Bin neu hier und brauche dringend Hilfe! Hallo, Zitat:
Das Silentrunners Log scheint mir nicht vollständig zu sein, aber das was ich sehen wollte ist wohl drauf, poste aber trotzdem mal den Rest. 1.) Arbeite mal das hier ab, die relevanten Einträge sind: O4 - HKLM\..\Run: [jumpcoalwarnsoap] D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\messbluejumpcoal\ThisName.exe O4 - HKCU\..\Run: [trustmode] D:\DOKUME~1\*******\ANWEND~1\CLOCKF~1\time sign.exe und poste danach ein neues HijackThis Log. Wie sieht es danach mit dem Traffic aus? 2.) Beende den Prozess Update.exe, prüfe die zugehörige Datei ( D:\Programme\Gemeinsame Dateien\{A8F0DE23-0874-1031-0521-030428030031}\Update.exe) hier und poste das Ergebnis. Grüße Wildone |
09.08.2006, 19:53 | #6 |
| Bin neu hier und brauche dringend Hilfe! so hier der vollständige log von silentrunners "Silent Runners.vbs", revision 46, http://www.silentrunners.org/ Operating System: Windows XP Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\ "{A8F0DE23-0874-1031-0521-030428030031}" = ""D:\Programme\Gemeinsame Dateien\{A8F0DE23-0874-1031-0521-030428030031}\Update.exe" mc-110-12-0000272" [null data] HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "AWMON" = ""D:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-Watch.exe"" ["Lavasoft Sweden"] "Steam" = ""D:\Programme\Steam\Steam.exe" -silent" ["Valve Corporation"] "trustmode" = "D:\DOKUME~1\BLACK-~1\ANWEND~1\CLOCKF~1\time sign.exe" [file not found] HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\ {++} "ICQ Lite" = "D:\Programme\ICQLite\ICQLite.exe -trayboot" ["ICQ Ltd."] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "SoundMan" = "SOUNDMAN.EXE" ["Realtek Semiconductor Corp."] "KEN Taskbar Client" = ""D:\Programme\KEN!\kentbcli.exe"" ["AVM Berlin"] "C-Media Mixer" = "Mixer.exe /startup" ["C-Media Electronic Inc. (www.cmedia.com.tw)"] "NvCplDaemon" = "RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup" [MS] "NvMediaCenter" = "RunDLL32.exe NvMCTray.dll,NvTaskbarInit" [MS] "WinampAgent" = "D:\Programme\Winamp\winampa.exe" [null data] "ICQ Lite" = ""D:\Programme\ICQLite\ICQLite.exe" -minimize" ["ICQ Ltd."] "SunJavaUpdateSched" = "D:\Programme\Java\jre1.5.0_06\bin\jusched.exe" ["Sun Microsystems, Inc."] "QuickTime Task" = ""D:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."] "F-Secure Manager" = ""D:\Programme\F-Secure\Common\FSM32.EXE" /splash" ["F-Secure Corporation"] "DAEMON Tools" = ""D:\Programme\DAEMON Tools\daemon.exe" -lang 1033" ["DT Soft Ltd."] "NetPumper" = ""D:\Programme\NetPumper\NetPumperIEProxy.exe"" ["Icenet LLC"] "jumpcoalwarnsoap" = "D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\messbluejumpcoal\ThisName.exe" [file not found] "DXDllRegExe" = "D:\WINDOWS\System32\dxdllreg.exe" [MS] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided) -> {HKLM...CLSID} = "Adobe PDF Reader Link Helper" \InProcServer32\(Default) = "D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"] {C7B6903B-3B89-4348-883D-8A72FFFBF804}\(Default) = (no title provided) -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "D:\WINDOWS\System32\geebb.dll" [null data] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung" -> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung" \InProcServer32\(Default) = "deskpan.dll" [file not found] "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons" -> {HKLM...CLSID} = "HyperTerminal Icon Ext" \InProcServer32\(Default) = "D:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."] "{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class" -> {HKLM...CLSID} = "DesktopContext Class" \InProcServer32\(Default) = "D:\WINDOWS\System32\nvcpl.dll" ["NVIDIA Corporation"] "{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper" -> {HKLM...CLSID} = "NVIDIA CPL Extension" \InProcServer32\(Default) = "D:\WINDOWS\System32\nvcpl.dll" ["NVIDIA Corporation"] "{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer" -> {HKLM...CLSID} = "Desktop Explorer" \InProcServer32\(Default) = "D:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"] "{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "D:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"] "{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu" -> {HKLM...CLSID} = "nView Desktop Context Menu" \InProcServer32\(Default) = "D:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"] "{FC9FB64A-1EB2-4CCF-AF5E-1A497A9B5C2D}" = "Messenger Sharing Folders" -> {HKLM...CLSID} = "Meine freigegebenen Ordner" \InProcServer32\(Default) = "D:\Programme\MSN Messenger\fsshext.8.0.0792.00.dll" [MS] "{73B24247-042E-4EF5-ADC2-42F62E6FD654}" = "ICQ Lite Shell Extension" -> {HKLM...CLSID} = "MCLiteShellExt Class" \InProcServer32\(Default) = "D:\Programme\ICQLite\ICQLiteShell.dll" [empty string] "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "D:\Programme\WinRAR\rarext.dll" [null data] "{640167b4-59b0-47a6-b335-a6b3c0695aea}" = "Portable Media Devices" -> {HKLM...CLSID} = "Portable Media Devices" \InProcServer32\(Default) = "D:\WINDOWS\System32\Audiodev.dll" [MS] "{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu" -> {HKLM...CLSID} = "Portable Media Devices Menu" \InProcServer32\(Default) = "D:\WINDOWS\System32\Audiodev.dll" [MS] "{5A048F10-C886-4617-9B44-A051C221DDB2}" = (no title provided) -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "D:\WINDOWS\system32\mvorcl32.dll" [null data] HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ INFECTION WARNING! geebb\DLLName = "D:\WINDOWS\System32\geebb.dll" [null data] HKLM\Software\Classes\Folder\shellex\ColumnHandlers\ {F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info" -> {HKLM...CLSID} = "PDF Shell Extension" \InProcServer32\(Default) = "D:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."] HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}" -> {HKLM...CLSID} = "MCLiteShellExt Class" \InProcServer32\(Default) = "D:\Programme\ICQLite\ICQLiteShell.dll" [empty string] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "D:\Programme\WinRAR\rarext.dll" [null data] HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\ ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}" -> {HKLM...CLSID} = "MCLiteShellExt Class" \InProcServer32\(Default) = "D:\Programme\ICQLite\ICQLiteShell.dll" [empty string] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "D:\Programme\WinRAR\rarext.dll" [null data] HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "D:\Programme\WinRAR\rarext.dll" [null data] Active Desktop and Wallpaper: ----------------------------- Active Desktop is disabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState HKCU\Control Panel\Desktop\ "Wallpaper" = "D:\WINDOWS\web\wallpaper\Grüne Idylle.bmp" Enabled Screen Saver: --------------------- HKCU\Control Panel\Desktop\ "SCRNSAVE.EXE" = "D:\WINDOWS\System32\logon.scr" [MS] Startup items in "Black-Haze" & "All Users" startup folders: ------------------------------------------------------------ D:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart "Adobe Reader - Schnellstart" -> shortcut to: "D:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe" ["Adobe Systems Incorporated"] Enabled Scheduled Tasks: ------------------------ "At1" -> launches: "D:\WINDOWS\user32.exe" [null data] "At2" -> launches: "D:\WINDOWS\dr.exe" [file not found] "At3" -> launches: "D:\WINDOWS\dr.exe" [file not found] "At4" -> launches: "D:\WINDOWS\patcher.exe" [null data] "At5" -> launches: "D:\WINDOWS\user32.exe" [null data] "At6" -> launches: "D:\WINDOWS\widupdate.exe" [file not found] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] 000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS] 000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] 000000000004\LibraryPath = "%SystemRoot%\System32\nwprovau.dll" [MS] Transport Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: %SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 22 %SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05 Toolbars, Explorer Bars, Extensions: ------------------------------------ Extensions (Tools menu items, main toolbar menu buttons) HKLM\Software\Microsoft\Internet Explorer\Extensions\ {08B0E5C0-4FCB-11CF-AAA5-00401C608501}\ "MenuText" = "Sun Java Konsole" "CLSIDExtension" = "{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBC}" -> {HKCU...CLSID} = "Java Plug-in" \InProcServer32\(Default) = "D:\Programme\Java\jre1.5.0_06\bin\ssv.dll" ["Sun Microsystems, Inc."] -> {HKLM...CLSID} = "Java Plug-in 1.5.0_06" \InProcServer32\(Default) = "D:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll" ["Sun Microsystems, Inc."] {B863453A-26C3-4E1F-A54D-A2CD196348E9}\ "ButtonText" = "ICQ Lite" "MenuText" = "ICQ Lite" "Exec" = "D:\Programme\ICQLite\ICQLite.exe" ["ICQ Ltd."] {D6E814A0-E0C5-11D4-8D29-0050BA6940E3}\ "ButtonText" = "FlashGet" "MenuText" = "&FlashGet" "Exec" = "D:\PROGRA~1\FlashGet\flashget.exe" ["FlashGet.com"] Running Services (Display Name, Service Name, Path {Service DLL}): ------------------------------------------------------------------ AVM KEN Klient, KEN Client Service, "D:\Programme\KEN!\KENCLI.EXE" ["AVM Berlin"] F-Secure Gatekeeper Handler Starter, F-Secure Gatekeeper Handler Starter, ""D:\Programme\F-Secure\Anti-Virus\fsgk32st.exe"" ["F-Secure Corp."] F-Secure Management Agent, FSMA, ""D:\Programme\F-Secure\Common\FSMA32.EXE"" ["F-Secure Corporation"] F-Secure Network Request Broker, F-Secure Network Request Broker, ""D:\Programme\F-Secure\Common\FNRB32.EXE"" ["F-Secure Corporation"] NVIDIA Display Driver Service, NVSvc, "D:\WINDOWS\System32\nvsvc32.exe" ["NVIDIA Corporation"] Windows User Mode Driver Framework, UMWdf, "D:\WINDOWS\System32\wdfmgr.exe" [MS] ---------- + This report excludes default entries except where indicated. + To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. + The search for DESKTOP.INI DLL launch points on all local fixed drives took 64 seconds. + The search for all Registry CLSIDs containing dormant Explorer Bars took 169 seconds. ---------- (total run time: 566 seconds) |
09.08.2006, 20:40 | #7 |
| Bin neu hier und brauche dringend Hilfe! Hallo, von wegen das was ich sehen woillte ist schon drauf, das Log könnte ein Lehrbeispiel dafür sein was man bei HijackThis nicht sieht. überprüfe folgende Dateien ebenfalls bei virustotal und poste das jeweilige Ergebnis: D:\WINDOWS\system32\mvorcl32.dll D:\WINDOWS\user32.exe D:\WINDOWS\patcher.exe D:\WINDOWS\widupdate.exe (falls vorhanden) Außerdem postes du mal die vier Logfiles der Datfind.bat, aber nur die Dateien der letzten drei Monate abkopieren. Übrigens, fairerweise muss ich sagen das es wohl auf ein Neuaufsetzen des Systems hinauslaufen wird, aber es wäre nett wenn ich dein System noch etwas weiter untersuchen könnte, da ich mehr über den Trojaner erfahren will. Grüße Wildone Geändert von Wildone (09.08.2006 um 20:54 Uhr) |
Themen zu Bin neu hier und brauche dringend Hilfe! |
ad-aware, adobe, askbar, cs3, desktop, dll, download, dringend, dsl, einstellungen, explorer, f-secure, ftp, helfen, hijack, hijackthis, internet explorer, logfile, microsoft, neu, nvidia, rundll, software, system, windows, windows xp |