Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
http://213.159.117.134/index.php problem

http://213.159.117.134/index.php problem


Log-Analyse und Auswertung: http://213.159.117.134/index.php problem

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 17.10.2004, 14:22   #1
jens29
 
http://213.159.117.134/index.php problem - Standard

http://213.159.117.134/index.php problem


hallo leute, hab mir mal wieder einen virus eingefangen.
win me
ie 6
aktuelle updates


hab schon viele proggs laufen lassen die finden auch was, bloß bekomme ich es nicht weg.

hier mal der log von hijack this:

Logfile of HijackThis v1.98.2
Scan saved at 15:05:31, on 17.10.2004
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\LEXBCES.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\SYSTEM\LEXPPS.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\WINDOWS\SYSTEM\P2P NETWORKING\P2P NETWORKING.EXE
C:\WINDOWS\SYSTEM\SYSTIME.EXE
C:\WINDOWS\SYSTEM\WINUPDATE.EXE
C:\WINDOWS\LOADQM.EXE
C:\PROGRAMME\MICROSOFT ACTIVESYNC\WCESCOMM.EXE
D:\PROGRAMME\BINARY\STRAY.EXE
C:\WINDOWS\SYSTEM\SYSTIME.EXE
C:\WINDOWS\ANWENDUNGSDATEN\NOCO.EXE
C:\PROGRAMME\SPYBOT - SEARCH & DESTROY\TEATIMER.EXE
C:\WINDOWS\SYSTEM\BMUG.EXE
C:\PROGRAMME\WINZIP\WZQKPICK.EXE
C:\PROGRAMME\HEWLETT-PACKARD\DIGITAL IMAGING\BIN\HPOHMR08.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAMME\HEWLETT-PACKARD\DIGITAL IMAGING\BIN\HPOEVM08.EXE
C:\PROGRAMME\HEWLETT-PACKARD\DIGITAL IMAGING\BIN\HPOSTS08.EXE
D:\DOWNLOADS\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [P2P NETWORKING] C:\WINDOWS\SYSTEM\P2P NETWORKING\P2P NETWORKING.EXE /AUTOSTART
O4 - HKLM\..\Run: [SysTime] C:\WINDOWS\SYSTEM\systime.exe
O4 - HKLM\..\Run: [Windows SyncroAd] C:\PROGRAM FILES\WINDOWS SYNCROAD\SYNCROAD.EXE
O4 - HKLM\..\Run: [WinUpdate] WinUpdate.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\PROGRAMME\MICROSOFT ACTIVESYNC\WCESCOMM.EXE"
O4 - HKCU\..\Run: [STAMPIT-Tray] D:\programme\BINARY\STRAY.EXE
O4 - HKCU\..\Run: [SysTime] C:\WINDOWS\SYSTEM\systime.exe
O4 - HKCU\..\Run: [Sowc] C:\WINDOWS\Anwendungsdaten\noco.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Dwtakins] C:\WINDOWS\SYSTEM\bmug.exe
O4 - Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O4 - Startup: hp psc 1000 series.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRAMME\MICROSOFT ACTIVESYNC\INETREPL.DLL
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRAMME\MICROSOFT ACTIVESYNC\INETREPL.DLL
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRAMME\MICROSOFT ACTIVESYNC\INETREPL.DLL
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/active...ol_v1-0-3-0.cab
O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - http://cm4all01.kundenserver.de/app...ivex/msxml4.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/act...l_v1-0-3-12.cab
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_f...edceabcca450006
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.168.1.1

wobei das fettgedruckte mein problem sein müsste. als startseite im ie ist auch immer diese url eingetragen. http://213.159.117.134/index.php

ich bekomme sie nicht raus.

habs versucht mit:
av antivirus
sbybot
hijack this
sphifix
cwshredder

wer kann mir weiterhelfen

ps: keenval.3 hab ich auch drauf!


hoffe auf schelle antwort. danke

Alt 17.10.2004, 14:30   #2
Moskitoman
 
http://213.159.117.134/index.php problem - Standard

http://213.159.117.134/index.php problem


Diese Einträge solltest du unbedingt fixen und manuell löschen:

C:\WINDOWS\SYSTEM\P2P NETWORKING\P2P NETWORKING.EXE
C:\WINDOWS\SYSTEM\SYSTIME.EXE
C:\WINDOWS\SYSTEM\WINUPDATE.EXE
C:\WINDOWS\SYSTEM\SYSTIME.EXE

Diese Einträge solltest du mit HijackThis fixen:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
http://213.159.117.134/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
http://213.159.117.134/index.php
O4 - HKLM\..\Run: [SysTime] C:\WINDOWS\SYSTEM\systime.exe
O4 - HKLM\..\Run: [Windows SyncroAd] C:\PROGRAM FILES\WINDOWS
SYNCROAD\SYNCROAD.EXE
O4 - HKLM\..\Run: [WinUpdate] WinUpdate.exe
O4 - HKCU\..\Run: [SysTime] C:\WINDOWS\SYSTEM\systime.exe
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} -
http://public.windupdates.com/get_f...edceabcca450006


Bei O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) - bin ich mir nicht sicher.

VLG Moskitoman
__________________

__________________
Alt 17.10.2004, 14:55   #3
jens29
 
http://213.159.117.134/index.php problem - Standard

http://213.159.117.134/index.php problem


dateien gefixt und manuell gelöscht. im ie ist jetzt die startseite schonmal wieder i.o.

aber hijack this log kam wieder folgendes:

Logfile of HijackThis v1.98.2
Scan saved at 16:00:18, on 17.10.2004
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\LEXBCES.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\SYSTEM\LEXPPS.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\WINDOWS\SYSTEM\P2P NETWORKING\P2P NETWORKING.EXE
C:\WINDOWS\LOADQM.EXE
C:\PROGRAMME\MICROSOFT ACTIVESYNC\WCESCOMM.EXE
D:\PROGRAMME\BINARY\STRAY.EXE
C:\WINDOWS\ANWENDUNGSDATEN\NOCO.EXE
C:\PROGRAMME\SPYBOT - SEARCH & DESTROY\TEATIMER.EXE
C:\WINDOWS\SYSTEM\BMUG.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAMME\WINZIP\WZQKPICK.EXE
C:\PROGRAMME\HEWLETT-PACKARD\DIGITAL IMAGING\BIN\HPOHMR08.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\HEWLETT-PACKARD\DIGITAL IMAGING\BIN\HPOEVM08.EXE
C:\PROGRAMME\HEWLETT-PACKARD\DIGITAL IMAGING\BIN\HPOSTS08.EXE
D:\DOWNLOADS\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [P2P NETWORKING] C:\WINDOWS\SYSTEM\P2P NETWORKING\P2P NETWORKING.EXE /AUTOSTART
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\PROGRAMME\MICROSOFT ACTIVESYNC\WCESCOMM.EXE"
O4 - HKCU\..\Run: [STAMPIT-Tray] D:\programme\BINARY\STRAY.EXE
O4 - HKCU\..\Run: [Sowc] C:\WINDOWS\Anwendungsdaten\noco.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Dwtakins] C:\WINDOWS\SYSTEM\bmug.exe
O4 - Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O4 - Startup: hp psc 1000 series.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRAMME\MICROSOFT ACTIVESYNC\INETREPL.DLL
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRAMME\MICROSOFT ACTIVESYNC\INETREPL.DLL
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRAMME\MICROSOFT ACTIVESYNC\INETREPL.DLL
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab
O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - http://cm4all01.kundenserver.de/app/...vex/msxml4.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-12.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.168.1.1



und nun???


edit: mit cwshreder

kam folgender log

CWShredder v1.59.1 scan only report
Please understand that a CWShredder 'Scan only' report
might not be sufficient to troubleshoot an infected system.
You can use HijackThis for that:
http://filepony.de/download-hijackthis/
http://www.spywareinfo.com/~merijn/files/hijackthis.zip

Windows ME (4.90.3000 )
Windows dir: C:\WINDOWS
Windows system dir: C:\WINDOWS\SYSTEM
AppData folder: C:\WINDOWS\Anwendungsdaten
Username: Vorinstallation

Hosts file not present
Found Win.ini file: C:\WINDOWS\win.ini (2942 bytes, A)
Found line in Win.ini: run=
Found System.ini file: C:\WINDOWS\system.ini (2232 bytes, A)
Found line in System.ini: shell=Explorer.exe

- END OF REPORT -
__________________
Alt 17.10.2004, 15:56   #4
jens29
 
http://213.159.117.134/index.php problem - Standard

http://213.159.117.134/index.php problem


ok. hab alles gefunden.

die automatische logfile auswertung ist klasse.

und @moskitoman - alle aussagen und tipps 100%ig.


ok danke nochmals

dieses board kann man wirklich weiter empfehlen


gruss
jens
Alt 17.10.2004, 16:36   #5
*Christian*
Gast
 
http://213.159.117.134/index.php problem - Standard

http://213.159.117.134/index.php problem


Lt. deinem 2ten HijackThis-Log hast du immernoch reichlich Malware drauf.

Scanne mal mit eScan im abgesicherten Modus:
http://www.trojaner-board.de/42731-escan-anleitung.html

Dann poste ein neues HijackThis-Log.


Antwort

Themen zu http://213.159.117.134/index.php problem
agent, als startseite, bho, button, danke, digital, document, explorer, hijack, hijack this, hijackthis, internet, internet explorer, log, microsoft, p2p, problem, programme, seite, services, software, spybot, start, startseite, system, virus, windows


« Hallo ihr, brauche dringend euro hilfe | mein hijackthis logfile - bitte ansehen! »


Ähnliche Themen: http://213.159.117.134/index.php problem


  1. Problem mit Interneteinstellungen - ProxyServer: http=127.0.0.1:9880
    Log-Analyse und Auswertung - 28.10.2014 (9)
  2. Problem mit http://static.australianbrewingcompany.com
    Plagegeister aller Art und deren Bekämpfung - 07.12.2013 (9)
  3. Problem mit http://serve.bannersdontwork.com
    Log-Analyse und Auswertung - 22.08.2013 (9)
  4. Problem ( http://www_getwindowinfo/)
    Log-Analyse und Auswertung - 16.08.2013 (8)
  5. Problem mit http://ad.adserverplus.com...
    Plagegeister aller Art und deren Bekämpfung - 07.04.2013 (14)
  6. Problem mit Trojaner http://www.searchnu.com/413
    Log-Analyse und Auswertung - 04.05.2012 (1)
  7. Problem mit http://www.searchnu.com/413?tag=newtab
    Plagegeister aller Art und deren Bekämpfung - 20.04.2012 (1)
  8. http://www.searchqu.com/420 - Problem!
    Plagegeister aller Art und deren Bekämpfung - 22.12.2011 (5)
  9. gleiches Problem wie http://www.trojaner-board.de/99057-das-system-hat-ein-problem-mit-einem-oder-me
    Plagegeister aller Art und deren Bekämpfung - 26.05.2011 (1)
  10. HTTP, Https und FTP -Problem
    Netzwerk und Hardware - 01.07.2008 (4)
  11. Umleitung auf http://81.95.149.27/eur/index.php
    Plagegeister aller Art und deren Bekämpfung - 10.08.2007 (2)
  12. Problem mit IE (http://www.sysprotectionpage.com/)
    Log-Analyse und Auswertung - 29.06.2006 (6)
  13. Problem durch http://www.securityiguard.com
    Plagegeister aller Art und deren Bekämpfung - 30.06.2005 (2)
  14. http://213.159.117.134/index.php
    Log-Analyse und Auswertung - 26.12.2004 (1)
  15. http://213.159.117.134/index.php
    Plagegeister aller Art und deren Bekämpfung - 31.10.2004 (3)
  16. http://213.159.117.134/index.php
    Log-Analyse und Auswertung - 23.10.2004 (2)
  17. http://296f8.ilxt.info/index.php?aid=
    Plagegeister aller Art und deren Bekämpfung - 18.09.2004 (1)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema http://213.159.117.134/index.php problem - hallo leute, hab mir mal wieder einen virus eingefangen. win me ie 6 aktuelle updates hab schon viele proggs laufen lassen die finden auch was, bloß bekomme ich es nicht - http://213.159.117.134/index.php problem...
Archiv
Du betrachtest: http://213.159.117.134/index.php problem auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55