|
Log-Analyse und Auswertung: neulig braucht unbedingt hilfeWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
05.10.2004, 08:32 | #1 |
| neulig braucht unbedingt hilfe hallo @ all! ich bin über google aub das forum gestossen, und muss sagen -> genial! mein problem ist, dass gestern beim runterladen vom sp2 ging automatisch ein telnet fenster auf, und danach war das system instabil... antivir findet immer mal wieder trojaner und dialer, aber das sind wohl nicht alle... hab dann hier im forum rumgelesen, und mir das escan geholt, das hat dann mehr trojaner gefunden, aber nicht beseitigt... als letzte möglichkeit hab ich jetzt eure hilfe gesehen. min hijack this logfile: Logfile of HijackThis v1.98.2 Scan saved at 09:27:26, on 05.10.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Apache2\bin\Apache.exe C:\WINDOWS\System32\Atievxx.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\mysql\bin\mysqld-nt.exe C:\Apache2\bin\Apache.exe C:\WINDOWS\System32\msiexec.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\iRiver\iHP100\iHPDetect.exe C:\Programme\QuickTime\qttask.exe C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe C:\DOKUME~1\Anian\LOKALE~1\Temp\e1f577sogk.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\Plaxo\1.5.2.32\InstallStub.exe C:\WINDOWS\system32\winmm64.exe C:\WINDOWS\system32\6432s-ntms.exe C:\Programme\T-DSL SpeedManager\tsmsvc.exe C:\Apache2\bin\ApacheMonitor.exe C:\Programme\WinZip\WZQKPICK.EXE C:\mysql\bin\winmysqladmin.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\WINDOWS\explorer.exe C:\antispyware\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://s-redirect.com/?a=2&b=n-abc R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://s-redirect.com/?a=2&b=n-abc R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://s-redirect.com/?a=2&b=n-abc R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://s-redirect.com/?a=2&b=n-abc R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://s-redirect.com/?b=n-abc R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://s-redirect.com/?a=2&b=n-abc R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://s-redirect.com/?a=2&b=n-abc R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://s-redirect.com/?a=2&b=n-abc R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://s-redirect.com/?a=2&b=n-abc R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://s-redirect.com/?a=2&b=n-abc R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://s-redirect.com/?a=2&b=n-abc R3 - URLSearchHook: (no name) - {FA78D247-B00B-6420-324F-D2360CCAAFF6} - C:\DOKUME~1\Anian\LOKALE~1\Temp\e1f577sogk.exe O1 - Hosts: 69.61.29.131 yahoo.com O1 - Hosts: 69.61.29.131 www.yahoo.com O1 - Hosts: 69.61.29.131 search.yahoo.com O1 - Hosts: 69.61.29.132 google.com O1 - Hosts: 69.61.29.132 www.google.com O1 - Hosts: 69.61.29.133 msn.com O1 - Hosts: 69.61.29.133 www.msn.com O1 - Hosts: 69.61.29.133 search.msn.com O1 - Hosts: 69.61.29.133 auto.search.msn.com O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: REALBAR - {4E7BD74F-2B8D-469E-C0FF-FD60B590A87D} - C:\PROGRA~1\GEMEIN~1\Real\Toolbar\realbar.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: REALBAR - {4E7BD74F-2B8D-469E-C0FF-FD60B590A87D} - C:\PROGRA~1\GEMEIN~1\Real\Toolbar\realbar.dll O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [iHP-100] C:\Programme\iRiver\iHP100\iHPDetect.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe" O4 - HKLM\..\Run: [WildTangent CDA] RUNDLL32.exe "C:\Programme\WildTangent\Apps\CDA\cdaEngine0400.dll",cdaEngineMain O4 - HKLM\..\Run: [AA2CFD7B] C:\DOKUME~1\Anian\LOKALE~1\Temp\e1f577sogk.exe O4 - HKLM\..\Run: [B0744E73] C:\DOKUME~1\Anian\LOKALE~1\Temp\8f98tv2mjy.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [PlaxoUpdate] C:\WINDOWS\Plaxo\1.5.2.32\InstallStub.exe -a O4 - HKCU\..\Run: [SpywareGuardPlus] C:\WINDOWS\system32\winmm64.exe O4 - HKCU\..\Run: [nthh] C:\WINDOWS\nthh.exe O4 - HKCU\..\Run: [6432s-ntms] C:\WINDOWS\system32\6432s-ntms.exe O4 - HKCU\..\Run: [AA2CFD7B] C:\DOKUME~1\Anian\LOKALE~1\Temp\e1f577sogk.exe O4 - HKCU\..\Run: [B0744E73] C:\DOKUME~1\Anian\LOKALE~1\Temp\8f98tv2mjy.exe O4 - Startup: WinMySQLadmin.lnk = C:\mysql\bin\winmysqladmin.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Monitor Apache Servers.lnk = C:\Apache2\bin\ApacheMonitor.exe O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {08BEF711-06DA-48B2-9534-802ECAA2E4F9} (PlxInstall Class) - http://down.plaxo.com/down/release/PlaxoInstall.cab O16 - DPF: {3A7FE611-1994-4EF1-A09F-99456752289D} - http://install.wildtangent.com/Activ...veLauncher.cab O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti...l_v1-0-3-9.cab O16 - DPF: {4D7F48C0-CB49-4EA6-97D4-04F4EACC2F3B} - http://www.ipswitch.com/_installs/wsftp_le/setup.exe O16 - DPF: {62360003-D8A7-418B-9DC6-2B9DE95273A0} (MS Investor Ticker) - http://fdl.msn.com/public/investor/v8/0326/ticker.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1094666532283 O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{60D647AD-8A18-4171-8435-0032B513C49C}: NameServer = 217.237.151.97 217.237.150.33 bitte helft mir, brauche meinen rechner dringend... greetz |
05.10.2004, 09:14 | #2 |
| neulig braucht unbedingt hilfe Hallo,
__________________überprüfe die nachfolgenden Dateien bitter hier http://virusscan.jotti.org/de C:\DOKUME~1\Anian\LOKALE~1\Temp\e1f577sogk.exe C:\WINDOWS\system32\6432s-ntms.exe C:\DOKUME~1\Anian\LOKALE~1\Temp\8f98tv2mjy.exe C:\WINDOWS\nthh.exe Ich gehe davon aus, dass es sich um Malware handelt und nehme es in die zu fixenden Einträge mit auf. Da es sich offenbar um von E-Scan und Antivir noch nicht erkannte Schädlinge handelt, schicke sie bitte in einer gepackten Datei noch an: partytime-germany.ice@web.de mit einem Link zu diesem Thread. Wenn keiner der Scanner in einer Datei einen Schädling entdeckt, lass sie beim Fixen erstmal weg und warte auf die Überprüfung per mail. Falls du eine Software namens Wildtangent in deiner Liste findest, deinstalliere sie. Plaxo ist wohl ebenfalls eine etwas umstrittene Software, ich würde sowieso zu einem alternativen mailclient wie foxmail oder thunderbrird anstatt outlook raten, wie auch zum Ersatz des IE mit firefox oder opera (außer für die winupdates). Diese Prozesse per Taskmanager beenden: C:\DOKUME~1\Anian\LOKALE~1\Temp\e1f577sogk.exe C:\WINDOWS\system32\winmm64.exe C:\WINDOWS\system32\6432s-ntms.exe Mit HijackThis fixen (Scan/genannte Einträge markieren/"Fix checked" klicken): R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://s-redirect.com/?a=2&b=n-abc R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://s-redirect.com/?a=2&b=n-abc R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://s-redirect.com/?a=2&b=n-abc R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://s-redirect.com/?a=2&b=n-abc R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://s-redirect.com/?b=n-abc R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://s-redirect.com/?a=2&b=n-abc R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://s-redirect.com/?a=2&b=n-abc R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://s-redirect.com/?a=2&b=n-abc R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://s-redirect.com/?a=2&b=n-abc R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://s-redirect.com/?a=2&b=n-abc R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://s-redirect.com/?a=2&b=n-abc R3 - URLSearchHook: (no name) - {FA78D247-B00B-6420-324F-D2360CCAAFF6} - C:\DOKUME~1\Anian\LOKALE~1\Temp\e1f577sogk.exe O1 - Hosts: 69.61.29.131 yahoo.com O1 - Hosts: 69.61.29.131 www.yahoo.com O1 - Hosts: 69.61.29.131 search.yahoo.com O1 - Hosts: 69.61.29.132 google.com O1 - Hosts: 69.61.29.132 www.google.com O1 - Hosts: 69.61.29.133 msn.com O1 - Hosts: 69.61.29.133 www.msn.com O1 - Hosts: 69.61.29.133 search.msn.com O1 - Hosts: 69.61.29.133 auto.search.msn.com O4 - HKLM\..\Run: [WildTangent CDA] RUNDLL32.exe "C:\Programme\WildTangent\Apps\CDA\cdaEngine0400.dll",cdaEngineMain O4 - HKLM\..\Run: [AA2CFD7B] C:\DOKUME~1\Anian\LOKALE~1\Temp\e1f577sogk.exe O4 - HKLM\..\Run: [B0744E73] C:\DOKUME~1\Anian\LOKALE~1\Temp\8f98tv2mjy.exe O4 - HKCU\..\Run: [nthh] C:\WINDOWS\nthh.exe O4 - HKCU\..\Run: [6432s-ntms] C:\WINDOWS\system32\6432s-ntms.exe O4 - HKCU\..\Run: [AA2CFD7B] C:\DOKUME~1\Anian\LOKALE~1\Temp\e1f577sogk.exe O4 - HKCU\..\Run: [B0744E73] C:\DOKUME~1\Anian\LOKALE~1\Temp\8f98tv2mjy.exe O16 - DPF: {3A7FE611-1994-4EF1-A09F-99456752289D} - http://install.wildtangent.com/Acti...iveLauncher.cab O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52...meInstaller.exe Boote in den abgesicherten Modus: http://www.bsi.bund.de/av/texte/wiederher_xp.htm lösche die in den Einträgen genannten Dateien, lass E-Scan wie oben beschrieben durchlaufen, boote normal und aktiviere die Systemwiederherstellung, erstelle eine neues Log und poste es zusammen mit den Informationen über von E-Scan gefundene Schädlinge. |
05.10.2004, 09:36 | #3 | |
| neulig braucht unbedingt hilfeZitat:
|
05.10.2004, 09:45 | #4 |
| neulig braucht unbedingt hilfe @xdream1328 kuckst du hier http://www.trojaner-board.de/51130-a...ijackthis.html nehme alles zurück, dateien muss du nun manuell löschen schicke bitte die dateien die MuntainKing erwähnt zum genannten adresse chaosman
__________________ Bonus vir semper tiro |
05.10.2004, 10:01 | #5 |
| neulig braucht unbedingt hilfe kann die dateien nicht schicken, weil ich es mit meinem web.de account, schicken wollte, und der hat einen virus gefunden.. hab jetzt nur die art von virus und den link zum thread geschickt.... |
05.10.2004, 10:18 | #6 |
| neulig braucht unbedingt hilfe Hast du die Dateien vor dem Verschicken gezipped? HAt die Auswertung bei http://virusscan.jotti.org/de etwas ergeben? |
05.10.2004, 12:03 | #7 | |
| neulig braucht unbedingt hilfeZitat:
|
05.10.2004, 12:05 | #8 |
| neulig braucht unbedingt hilfe hab alles erledigt. neues hijack this logfile: Logfile of HijackThis v1.98.2 Scan saved at 13:04:55, on 05.10.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Apache2\bin\Apache.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\Atievxx.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\mysql\bin\mysqld-nt.exe C:\Apache2\bin\Apache.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\iRiver\iHP100\iHPDetect.exe C:\Programme\QuickTime\qttask.exe C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\system32\winmm64.exe C:\Apache2\bin\ApacheMonitor.exe C:\Programme\WinZip\WZQKPICK.EXE C:\mysql\bin\winmysqladmin.exe C:\Programme\T-DSL SpeedManager\tsmsvc.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\antispyware\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://s-redirect.com/?a=2&b=n-abc R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://s-redirect.com/?a=2&b=n-abc R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://s-redirect.com/?a=2&b=n-abc R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://s-redirect.com/?a=2&b=n-abc R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://s-redirect.com/?b=n-abc R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://s-redirect.com/?a=2&b=n-abc R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://s-redirect.com/?a=2&b=n-abc R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://s-redirect.com/?a=2&b=n-abc R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://s-redirect.com/?a=2&b=n-abc R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://s-redirect.com/?a=2&b=n-abc R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://s-redirect.com/?a=2&b=n-abc O1 - Hosts: 69.61.29.131 yahoo.com O1 - Hosts: 69.61.29.131 www.yahoo.com O1 - Hosts: 69.61.29.131 search.yahoo.com O1 - Hosts: 69.61.29.132 google.com O1 - Hosts: 69.61.29.132 www.google.com O1 - Hosts: 69.61.29.133 msn.com O1 - Hosts: 69.61.29.133 www.msn.com O1 - Hosts: 69.61.29.133 search.msn.com O1 - Hosts: 69.61.29.133 auto.search.msn.com O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: REALBAR - {4E7BD74F-2B8D-469E-C0FF-FD60B590A87D} - C:\PROGRA~1\GEMEIN~1\Real\Toolbar\realbar.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: REALBAR - {4E7BD74F-2B8D-469E-C0FF-FD60B590A87D} - C:\PROGRA~1\GEMEIN~1\Real\Toolbar\realbar.dll O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [iHP-100] C:\Programme\iRiver\iHP100\iHPDetect.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [SpywareGuardPlus] C:\WINDOWS\system32\winmm64.exe O4 - HKCU\..\Run: [AA2CFD7B] C:\DOKUME~1\Anian\LOKALE~1\Temp\e1f577sogk.exe O4 - Startup: WinMySQLadmin.lnk = C:\mysql\bin\winmysqladmin.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Monitor Apache Servers.lnk = C:\Apache2\bin\ApacheMonitor.exe O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {08BEF711-06DA-48B2-9534-802ECAA2E4F9} (PlxInstall Class) - http://down.plaxo.com/down/release/PlaxoInstall.cab O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti...l_v1-0-3-9.cab O16 - DPF: {4D7F48C0-CB49-4EA6-97D4-04F4EACC2F3B} - http://www.ipswitch.com/_installs/wsftp_le/setup.exe O16 - DPF: {62360003-D8A7-418B-9DC6-2B9DE95273A0} (MS Investor Ticker) - http://fdl.msn.com/public/investor/v8/0326/ticker.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1094666532283 O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{60D647AD-8A18-4171-8435-0032B513C49C}: NameServer = 217.237.151.97 217.237.150.33 das hat e-scan gefunden: File C:\WINDOWS\telnet.exe infected by "TrojanDropper.Win32.Agent.k" Virus. Action Taken: No Action Taken. File C:\WINDOWS\System32\winmm64.exe infected by "TrojanDownloader.Win32.Small.vt" Virus. Action Taken: No Action Taken. File C:\RECYCLER\S-1-5-21-515967899-839522115-854245398-500\Dc2.exe infected by "TrojanDropper.Win32.Small.kt" Virus. Action Taken: No Action Taken. File C:\RECYCLER\S-1-5-21-515967899-839522115-854245398-500\Dc4.exe infected by "TrojanDropper.Win32.Small.kt" Virus. Action Taken: No Action Taken. File C:\WINDOWS\$NtServicePackUninstall$\telnet.exe infected by "TrojanDropper.Win32.Agent.k" Virus. Action Taken: No Action Taken. File C:\WINDOWS\system32\winmm64.exe infected by "TrojanDownloader.Win32.Small.vt" Virus. Action Taken: No Action Taken. File C:\WINDOWS\telnet.exe infected by "TrojanDropper.Win32.Agent.k" Virus. Action Taken: No Action Taken. |
05.10.2004, 19:26 | #9 |
Gast | neulig braucht unbedingt hilfe Bei partytime-germany.ice@web.de sind keine Dateien angekommen. Lösche diese Dateien im abgesicherten Modus: C:\WINDOWS\system32\winmm64.exe C:\PROGRA~1\GEMEIN~1\Real\Toolbar\realbar.dll Fixe dies: R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://s-redirect.com/?a=2&b=n-abc R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://s-redirect.com/?a=2&b=n-abc R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://s-redirect.com/?a=2&b=n-abc R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://s-redirect.com/?a=2&b=n-abc R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://s-redirect.com/?b=n-abc R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://s-redirect.com/?a=2&b=n-abc R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://s-redirect.com/?a=2&b=n-abc R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://s-redirect.com/?a=2&b=n-abc R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://s-redirect.com/?a=2&b=n-abc R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://s-redirect.com/?a=2&b=n-abc R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://s-redirect.com/?a=2&b=n-abc O1 - Hosts: 69.61.29.131 yahoo.com O1 - Hosts: 69.61.29.131 www.yahoo.com O1 - Hosts: 69.61.29.131 search.yahoo.com O1 - Hosts: 69.61.29.132 google.com O1 - Hosts: 69.61.29.132 www.google.com O1 - Hosts: 69.61.29.133 msn.com O1 - Hosts: 69.61.29.133 www.msn.com O1 - Hosts: 69.61.29.133 search.msn.com O1 - Hosts: 69.61.29.133 auto.search.msn.com O3 - Toolbar: REALBAR - {4E7BD74F-2B8D-469E-C0FF-FD60B590A87D} - C:\PROGRA~1\GEMEIN~1\Real\Toolbar\realbar.dll O4 - HKCU\..\Run: [SpywareGuardPlus] C:\WINDOWS\system32\winmm64.exe O4 - HKCU\..\Run: [AA2CFD7B] C:\DOKUME~1\Anian\LOKALE~1\Temp\e1f577sogk.exe O16 - DPF: {08BEF711-06DA-48B2-9534-802ECAA2E4F9} (PlxInstall Class) - http://down.plaxo.com/down/release/PlaxoInstall.cab O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/act...ol_v1-0-3-9.cab O16 - DPF: {4D7F48C0-CB49-4EA6-97D4-04F4EACC2F3B} - http://www.ipswitch.com/_installs/wsftp_le/setup.exe O16 - DPF: {62360003-D8A7-418B-9DC6-2B9DE95273A0} (MS Investor Ticker) - http://fdl.msn.com/public/investor/v8/0326/ticker.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.c...b?1094666532283 O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/active...ol_v1-0-3-0.cab |
05.10.2004, 21:05 | #10 |
| neulig braucht unbedingt hilfe so, hab nochmal alles gemacht, logfile sieht folgendermaßen aus: Logfile of HijackThis v1.98.2 Scan saved at 22:03:38, on 05.10.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Apache2\bin\Apache.exe C:\WINDOWS\System32\Atievxx.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\mysql\bin\mysqld-nt.exe C:\Apache2\bin\Apache.exe C:\WINDOWS\Explorer.EXE C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\iRiver\iHP100\iHPDetect.exe C:\Programme\QuickTime\qttask.exe C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Apache2\bin\ApacheMonitor.exe C:\Programme\WinZip\WZQKPICK.EXE C:\mysql\bin\winmysqladmin.exe C:\Programme\T-DSL SpeedManager\tsmsvc.exe C:\antispyware\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: (no name) - {4E7BD74F-2B8D-469E-C0FF-FD60B590A87D} - (no file) O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [iHP-100] C:\Programme\iRiver\iHP100\iHPDetect.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - Startup: WinMySQLadmin.lnk = C:\mysql\bin\winmysqladmin.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Monitor Apache Servers.lnk = C:\Apache2\bin\ApacheMonitor.exe O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {08BEF711-06DA-48B2-9534-802ECAA2E4F9} (PlxInstall Class) - http://down.plaxo.com/down/release/PlaxoInstall.cab O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti...l_v1-0-3-9.cab O16 - DPF: {4D7F48C0-CB49-4EA6-97D4-04F4EACC2F3B} - http://www.ipswitch.com/_installs/wsftp_le/setup.exe O16 - DPF: {62360003-D8A7-418B-9DC6-2B9DE95273A0} (MS Investor Ticker) - http://fdl.msn.com/public/investor/v8/0326/ticker.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1094666532283 O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{60D647AD-8A18-4171-8435-0032B513C49C}: NameServer = 217.237.151.97 217.237.150.33 e-scan hat nichtsmehr gefunden zwischendurch mal ein danke an alle, die hier helfen :aplaus: |
05.10.2004, 21:10 | #11 |
Administrator, a.D. | neulig braucht unbedingt hilfe Diesen Eintrag kannst du noch fixen, ansonsten ist dein Log-File sauber: O3 - Toolbar: (no name) - {4E7BD74F-2B8D-469E-C0FF-FD60B590A87D} - (no file) Lesenswerte Lektüre: http://www.mathematik.uni-marburg.de...ompromise.html |
06.10.2004, 08:44 | #12 |
| neulig braucht unbedingt hilfe danke an alle, die mir geholfen haben @Cidre: wirklich lesenswert greetz |
Themen zu neulig braucht unbedingt hilfe |
adobe, antispyware, antivir, bho, escan, excel, explorer, google, hijack, hijack this, hijackthis, hilfe, internet, internet explorer, logfile, microsoft, problem, programme, rojaner gefunden, rundll, software, sun java, system, tcpip, temp, trojaner, trojaner gefunden, urlsearchhook, windows, windows messenger, windows xp |