Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
Bitte um Check! Werde Trojaner nicht los!

Bitte um Check! Werde Trojaner nicht los!


Log-Analyse und Auswertung: Bitte um Check! Werde Trojaner nicht los!

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 15.11.2004, 09:53   #1
grOOvekill@
 
Bitte um Check! Werde Trojaner nicht los! - Standard

Bitte um Check! Werde Trojaner nicht los!


Hi!

Hab mir diesen Mist eingefangen und werde ihn einfach nicht mehr los. Habe mir mal diesen Hijack this Log erstellt. Kann mir wer sagen, wie ich am besten vorgehen sollte? Thx!

Logfile of HijackThis v1.98.2
Scan saved at 09:48:27, on 15.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\EASYPH~1\Apache\apache.exe
C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\EASYPH~1\Apache\apache.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\PROGRA~1\EASYPH~1\MySql\bin\mysqld.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\Programme\Analog Devices\SoundMAX\DrvLsnr.exe
C:\Programme\COMPAQ\Easy Access Button Support\StartEAK.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Compaq\Easy Access Button Support\CPQEADM.EXE
C:\Compaq\EAKDRV\EAUSBKBD.EXE
C:\PROGRA~1\Compaq\EASYAC~1\BttnServ.exe
C:\Dokumente und Einstellungen\KK\Desktop\HijackThis.exe
C:\Programme\Mozilla Firefox\firefox.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.couldnotfind.com/search_p...ount_id=137837
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.couldnotfind.com/search_p...ount_id=137837
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.a-trust.at/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://go.compaq.com/1Q00CDT/0407/bl8.asp
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.compaq.com/1Q00CDT/0407/bl7.asp
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.couldnotfind.com/search_p...ount_id=137837
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.a-trust.at/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.compaq.com/1Q00CDT/0407/bl7.asp
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.a-trust.at:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *hot-searches.com*;*lender-search.com*
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O1 - Hosts file is located at: C:\WINDOWS\nsdb\hosts
O1 - Hosts: 82.179.166.164 lender-search.com
O1 - Hosts: 82.179.166.165 hot-searches.com
O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem220.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - C:\Programme\SideFind\sfbho.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: BHO Class - {CBEFB350-ED5B-4115-B846-C1041676B388} - C:\WINDOWS\System32\CustIE32.dll
O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\System32\msbe.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: ISTbar - {5F1ABCDB-A875-46c1-8345-B72A4567E486} - C:\Programme\ISTbar\istbar.dll (file missing)
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [DrvLsnr] C:\Programme\Analog Devices\SoundMAX\DrvLsnr.exe
O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe
O4 - HKLM\..\Run: [SetRefresh] C:\Programme\Compaq\SetRefresh\SetRefresh.exe
O4 - HKLM\..\Run: [CPQEASYACC] C:\Programme\COMPAQ\Easy Access Button Support\StartEAK.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O4 - HKLM\..\Run: [AVG7_RegCleaner] C:\PROGRA~1\Grisoft\AVG7\avgregcl.exe /BOOT
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: A-Trust a-sign Client.lnk = C:\Programme\A-Trust GmbH\a-sign Client\a-sign client.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Web Rebates - file://C:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Programme\SideFind\sidefind.dll (file missing)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O15 - Trusted Zone: *.c4tdownload.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.iframe.biz
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.newiframe.biz
O15 - Trusted Zone: *.overpro.com
O15 - Trusted Zone: *.pizdato.biz
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.sp2admin.biz
O15 - Trusted Zone: *.sp2fucked.biz
O15 - Trusted Zone: *.vse-moe.biz
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.xxxtoolbar.com
O15 - Trusted Zone: *.ysbweb.com
O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://C:\foo.mht!http://82.179.166.130/e9xr2.chm::/file.exe
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_fi...7510b28ebf1261
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} - http://www.xxxtoolbar.com/ist/softwa...06_regular.cab
O16 - DPF: {771A1334-6B08-4A6B-AEDC-CF994BA2CEBE} (Installer Class) - http://www.ysbweb.com/ist/softwares/...sb_regular.cab
O16 - DPF: {A996E48C-D3DC-4244-89F7-AFA33EC60679} (Settings Class) - http://www.a-trust.at/capicom.cab

Alt 15.11.2004, 10:18   #2
grOOvekill@
 
Bitte um Check! Werde Trojaner nicht los! - Standard

Bitte um Check! Werde Trojaner nicht los!


Habe im abgesicherten Modus einen Scan durchgeführt und zwei Viren gefunden, die ich gelöscht habe. Danach habe ich mir mal die Hijack this Liste angekuckt und ein paar verdächtige Einträge gelöscht. Hier die Liste, die übergeblieben ist. Wäre echt toll, wenn da einer einen Blick drauf werfen könnte.

Logfile of HijackThis v1.98.2
Scan saved at 10:12:25, on 15.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Grisoft\AVG7\avgw.exe
C:\Dokumente und Einstellungen\KK\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.couldnotfind.com/search_p...ount_id=137837
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.couldnotfind.com/search_p...ount_id=137837
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.a-trust.at/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://go.compaq.com/1Q00CDT/0407/bl8.asp
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.compaq.com/1Q00CDT/0407/bl7.asp
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.couldnotfind.com/search_p...ount_id=137837
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.a-trust.at/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.compaq.com/1Q00CDT/0407/bl7.asp
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.a-trust.at:8080
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O1 - Hosts file is located at: C:\WINDOWS\nsdb\hosts
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: BHO Class - {CBEFB350-ED5B-4115-B846-C1041676B388} - C:\WINDOWS\System32\CustIE32.dll
O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\System32\msbe.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [DrvLsnr] C:\Programme\Analog Devices\SoundMAX\DrvLsnr.exe
O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe
O4 - HKLM\..\Run: [SetRefresh] C:\Programme\Compaq\SetRefresh\SetRefresh.exe
O4 - HKLM\..\Run: [CPQEASYACC] C:\Programme\COMPAQ\Easy Access Button Support\StartEAK.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O4 - HKLM\..\Run: [AVG7_RegCleaner] C:\PROGRA~1\Grisoft\AVG7\avgregcl.exe /BOOT
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: A-Trust a-sign Client.lnk = C:\Programme\A-Trust GmbH\a-sign Client\a-sign client.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Web Rebates - file://C:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Programme\SideFind\sidefind.dll (file missing)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.ysbweb.com
O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://C:\foo.mht!http://82.179.166.130/e9xr2.chm::/file.exe
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_fi...7510b28ebf1261
O16 - DPF: {A996E48C-D3DC-4244-89F7-AFA33EC60679} (Settings Class) - http://www.a-trust.at/capicom.cab
__________________
Alt 15.11.2004, 10:21   #3
cacatoa
 
Bitte um Check! Werde Trojaner nicht los! - Standard

Bitte um Check! Werde Trojaner nicht los!


Servus,
als erstes: Dein System ist nicht upgedated, hättest Du es gemacht, wäre weit weniger drauf.
Es sieht böse aus und folgendes ist erst mal zu tun:
Updaten auf Sp 2 und neueste Version von IE (wenn du ihn denn schon benutzt)
Dann hast Du Einträge in den "Vertrauenswürdigen Seiten". Dort sperrst du alles, was du nicht kennst. (Internetoptionen - Sicherheit -Vertrauenswürdige Seiten).
Dann im abgesichertern Modus bei deaktivierter Systemwiederherstellung (rechte Maustaste Arbeitsplatz - Eigenschaften-Systemwiederherstellung) folgende Einträge fixen:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.couldnotfind.com/search_...count_id=137837
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.couldnotfind.com/search_...count_id=137837
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.couldnotfind.com/search_...count_id=137837
O1 - Hosts file is located at: C:\WINDOWS\nsdb\hosts
O1 - Hosts: 82.179.166.164 lender-search.com
O1 - Hosts: 82.179.166.165 hot-searches.com
O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem220.dll (file missing)
O2 - BHO: BHO Class - {CBEFB350-ED5B-4115-B846-C1041676B388} - C:\WINDOWS\System32\CustIE32.dll
O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\System32\msbe.dll
O3 - Toolbar: ISTbar - {5F1ABCDB-A875-46c1-8345-B72A4567E486} - C:\Programme\ISTbar\istbar.dll (file missing)
O8 - Extra context menu item: Web Rebates - file://C:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Programme\SideFind\sidefind.dll (file missing)
O15 - Trusted Zone: *.c4tdownload.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.iframe.biz
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.newiframe.biz
O15 - Trusted Zone: *.overpro.com
O15 - Trusted Zone: *.pizdato.biz
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.sp2admin.biz
O15 - Trusted Zone: *.sp2fucked.biz
O15 - Trusted Zone: *.vse-moe.biz
O15 - Trusted Zone: *.xxxtoolbar.com
O15 - Trusted Zone: *.ysbweb.com
O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://C:\foo.mht!http://82.179.166.130/e9xr2.chm::/file.exe
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_f...510b28ebf126 1
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} - http://www.xxxtoolbar.com/ist/softw...006_regular.cab

Dann folgende Dateien manuell löschen:
C:\WINDOWS\nsdb\hosts
C:\WINDOWS\System32\CustIE32.dll
C:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.htm

Wenn du Sie nicht kennst, dann auch folgende fixen:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.a-trust.at/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://go.compaq.com/1Q00CDT/0407/bl8.asp
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.compaq.com/1Q00CDT/0407/bl7.asp
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.a-trust.at/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.compaq.com/1Q00CDT/0407/bl7.asp
O16 - DPF: {771A1334-6B08-4A6B-AEDC-CF994BA2CEBE} (Installer Class) - http://www.ysbweb.com/ist/softwares...ysb_regular.cab
O16 - DPF: {A996E48C-D3DC-4244-89F7-AFA33EC60679} (Settings Class) - http://www.a-trust.at/capicom.cab

Dann, ebenfalls im abgesicherten Modus einen eScan machen, und das Ergebnis (nach dem eScan:
..."Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen...) zusammen mit einem neuen HijackThis Logfile hier reinposten.
So jetzt hat Du erst mal zu tun....
cacatoa
__________________
__________________
Geändert von cacatoa (15.11.2004 um 10:30 Uhr) Grund: Hab was vergessen

Alt 15.11.2004, 10:23   #4
cacatoa
 
Bitte um Check! Werde Trojaner nicht los! - Standard

Bitte um Check! Werde Trojaner nicht los!


Hi,
ich noch mal:
mach alles, was ich Dir im letzten Post geschrieben habe, auch wenn Du schon vorgearbeitet hast.
cacatoa
__________________
Der Mensch sollte eine Hundeseele haben

Alt 15.11.2004, 10:43   #5
grOOvekill@
 
Bitte um Check! Werde Trojaner nicht los! - Standard

Bitte um Check! Werde Trojaner nicht los!


Alles klar, bin gerade dabei. Ich verwende eigentlich eh schon seit längerem Firefox als Browser, keine Ahnung, wie sich das einschleichen konnte. Kann es sein, dass die ganzen Bemühungen im worst case für'n Hugo sind und ich erst das System neu installieren muß? In anderen Threads habe ich gesehen, dass der Trojaner selbst bei einer Neuinstallation nicht verschwindet. Wie zum geier kann das sein? Ich überlege nämlich gerade, ob ich nicht gleich mein ganzes System neu auf die Platte klatsche, auch wenn mich die neuerliche Installation von meinen hunderten Tools nicht sehr begeistern würde.


Alt 15.11.2004, 11:10   #6
Shadowdance
 
Bitte um Check! Werde Trojaner nicht los! - Standard

Bitte um Check! Werde Trojaner nicht los!


Hallo grOOvekill@,

wenn Du so nett wärest, uns mitzuteilen, welche Trojaner sich auf Deinem System befinden, könnten wir Dir mitteilen, ob es anzuraten ist, Dein System zu formatieren und neu zu installieren. Das ist meistens der Fall, wenn man Würmer mit Backdoor-Charakter auf dem System hat, oder eben Trojaner mit Backdooreigenschaften.

Solltest Du Dein System formatieren und neu aufsetzen wollen, mach's richtig, das erspart Dir dann, dass Du es noch einige Male wiederholen musst. Lies dazu bitte zuerst Cidre's Rat und folge seinen Empfehlungen.

SD

Alt 15.11.2004, 11:10   #7
cacatoa
 
Bitte um Check! Werde Trojaner nicht los! - Standard

Bitte um Check! Werde Trojaner nicht los!


Hast ja nichts ganz schlimmes drauf, mach mal wie besprochen
__________________
Der Mensch sollte eine Hundeseele haben

Alt 15.11.2004, 11:30   #8
grOOvekill@
 
Bitte um Check! Werde Trojaner nicht los! - Standard

Bitte um Check! Werde Trojaner nicht los!


Okay, habe alles erledigt. Mann, mit escan werden 10 (!) Viren angezeigt! Hier mal die Einträge vom mwave.log:

File C:\WINDOWS\Reboot.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\WINDOWS\system32\amerax.exe infected by "Trojan-Downloader.Win32.Agent.eb" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\deroul.exe infected by "TrojanClicker.Win32.Agent.v" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\e3tile.exe infected by "TrojanClicker.Win32.Agent.af" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\exdl.exe tagged as not-a-virus:AdWare.BargainBuddy.j. No Action Taken.
File C:\WINDOWS\system32\exe.exe infected by "Trojan.Win32.Favadd.c" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\exul.exe tagged as not-a-virus:RiskWare.PSWTool.EDialer. No Action Taken.
File C:\WINDOWS\system32\labga.exe tagged as not-a-virus:PornWare.Dialer.Salc. No Action Taken.
File C:\WINDOWS\system32\puetes.exe infected by "Trojan.Win32.StartPage.po" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\ywdwere.exe infected by "TrojanDownloader.Win32.Agent.eb" Virus. Action Taken: No Action Taken.


Und hier ein neuerlicher Blick aufs HJT log:

Logfile of HijackThis v1.98.2
Scan saved at 11:24:16, on 15.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Dokumente und Einstellungen\KK\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.a-trust.at/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://go.compaq.com/1Q00CDT/0407/bl8.asp
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.compaq.com/1Q00CDT/0407/bl7.asp
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.a-trust.at/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.compaq.com/1Q00CDT/0407/bl7.asp
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.a-trust.at:8080
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [DrvLsnr] C:\Programme\Analog Devices\SoundMAX\DrvLsnr.exe
O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe
O4 - HKLM\..\Run: [SetRefresh] C:\Programme\Compaq\SetRefresh\SetRefresh.exe
O4 - HKLM\..\Run: [CPQEASYACC] C:\Programme\COMPAQ\Easy Access Button Support\StartEAK.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O4 - HKLM\..\Run: [AVG7_RegCleaner] C:\PROGRA~1\Grisoft\AVG7\avgregcl.exe /BOOT
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: A-Trust a-sign Client.lnk = C:\Programme\A-Trust GmbH\a-sign Client\a-sign client.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1100510797796
O16 - DPF: {A996E48C-D3DC-4244-89F7-AFA33EC60679} (Settings Class) - http://www.a-trust.at/capicom.cab


Und was jetzt?

Alt 15.11.2004, 11:53   #9
Shadowdance
 
Bitte um Check! Werde Trojaner nicht los! - Standard

Bitte um Check! Werde Trojaner nicht los!


@ grOOvekill@,


Zitat:
Und was jetzt?
--> jetzt entfernst Du Deine Viren.

Mach bitte Folgendes: Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren.

Boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren, in die Windows Suche übertragen -> löschen!

auf Diskette sichern, vor dem Löschen (Dialer-Hinweis):
File C:\WINDOWS\system32\exul.exe tagged as not-a-virus:RiskWare.PSWTool.EDialer.
File C:\WINDOWS\system32\labga.exe tagged as not-a-virus:PornWare.Dialer.Salc.

Information zu Trojan.Win32.Favadd.c - bitte löschen!

nicht löschen:
File C:\WINDOWS\Reboot.exe tagged as not-a-virus:Tool.Win32.Reboot.

nun zum Logfile,

bleib im abgesicherten Modus, bei deaktivierter Systemwiederherstellung und fixe mit Hijack This, aber NUR wenn Du folgende Einträge nicht kennst/brauchst (Häk'chen setzen und Fix Checked klicken):

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.a-trust.at/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://go.compaq.com/1Q00CDT/0407/bl8.asp
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.compaq.com/1Q00CDT/0407/bl7.asp
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = h**p://www.a-trust.at/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://go.compaq.com/1Q00CDT/0407/bl7.asp

O4 - HKLM\..\Run: [SetRefresh] C:\Programme\Compaq\SetRefresh\SetRefresh.exe
O16 - DPF: {A996E48C-D3DC-4244-89F7-AFA33EC60679} (Settings Class) - h**p://www.a-trust.at/capicom.cab

Damit dürfte Dein System dann wieder in Ordnung sein und ich stimme cacatoa zu, der auch keine Notwendigkeit sieht, dass Du Dein System formatieren müßtest. Lies Dich hier ein:

- Vorbeugende Maßnahmen: www.trojaner-info.de
- www.mathematik.uni-marburg.de
- IE sicher konfigurieren und Browser-Sicherheit
- Einschränktes Benutzerkonto: www.ntsvcfg.de.
- faq.underflow.de

SD
Geändert von Shadowdance (16.11.2004 um 03:27 Uhr)

Alt 15.11.2004, 12:24   #10
cacatoa
 
Bitte um Check! Werde Trojaner nicht los! - Standard

Bitte um Check! Werde Trojaner nicht los!


@ SD:
Thx *g*
__________________
Der Mensch sollte eine Hundeseele haben

Antwort

Themen zu Bitte um Check! Werde Trojaner nicht los!
.dll, adobe, avg, bho, desktop, drivers, einstellungen, excel, explorer, file missing, firefox, hijack, hijack this, hijackthis, internet, internet explorer, log, microsoft, mozilla, mozilla firefox, pdf, programme, refresh, regcleaner, software, sun java, system, trojaner, urlsearchhook, windows, windows xp, windows\system32\drivers


« Log File | CoolWWWSearch.Msconfig »


Ähnliche Themen: Bitte um Check! Werde Trojaner nicht los!


  1. Windows Verschlüsselungs Trojaner - bitte Hilfe wie ich den wieder los werde.
    Plagegeister aller Art und deren Bekämpfung - 04.06.2012 (10)
  2. "System Check" - Virus, wie werde ich ihn wieder los
    Plagegeister aller Art und deren Bekämpfung - 04.04.2012 (23)
  3. backdoor trojaner werde sie nicht los und formatieren geht auch nicht
    Alles rund um Windows - 07.01.2011 (15)
  4. Werde Trojaner nicht los!
    Log-Analyse und Auswertung - 02.01.2011 (8)
  5. Bitte um Hilfe: trojaner?! wie werde ich ihn los?
    Mülltonne - 08.10.2009 (0)
  6. Bitte um Log-File Check nach Virus/Trojaner
    Log-Analyse und Auswertung - 14.03.2009 (1)
  7. werde die trojaner nicht los....
    Log-Analyse und Auswertung - 21.01.2009 (0)
  8. Trojaner bitte um check
    Mülltonne - 07.09.2008 (0)
  9. Werde Trojaner nicht los
    Mülltonne - 17.07.2008 (1)
  10. Werde Trojan.Vundo.DLY nicht los - bitte um Hilfe !!!
    Mülltonne - 15.06.2007 (1)
  11. Werde Trojaner nicht los
    Plagegeister aller Art und deren Bekämpfung - 25.04.2007 (16)
  12. Werde Bat.ftp nicht los. Bitte Log checken!
    Log-Analyse und Auswertung - 04.06.2006 (13)
  13. Werde about:blank hijacker nicht los: könnt Ihr bitte mal mein HJT Log checken?
    Log-Analyse und Auswertung - 24.12.2005 (2)
  14. Hilfe! Trojaner: TR/StartPage.qr.DLL + TR/Delprot.A + mehr... Bitte check logfile...
    Log-Analyse und Auswertung - 13.04.2005 (21)
  15. Werde Startseite nicht mehr los. Bitte um Auswertung von Logfile
    Log-Analyse und Auswertung - 22.03.2005 (3)
  16. Bitte um Logfile-Check nach Trojaner entfernung
    Plagegeister aller Art und deren Bekämpfung - 31.01.2005 (5)
  17. Werde Datei nicht los! Bitte um Hilfe!
    Plagegeister aller Art und deren Bekämpfung - 14.11.2004 (2)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Bitte um Check! Werde Trojaner nicht los! - Hi! Hab mir diesen Mist eingefangen und werde ihn einfach nicht mehr los. Habe mir mal diesen Hijack this Log erstellt. Kann mir wer sagen, wie ich am besten vorgehen - Bitte um Check! Werde Trojaner nicht los!...
Archiv
Du betrachtest: Bitte um Check! Werde Trojaner nicht los! auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130