Trojaner-Board
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Spy Bot, Add Aware, CWS haben versagt :-( (https://www.trojaner-board.de/10030-spy-bot-add-aware-cws-haben-versagt.html)

BAMBI 24.11.2004 15:02
Spy Bot, Add Aware, CWS haben versagt :-(
 
Hi ihr lieben Leuts. Mein Rechner hat sich was eingefangen und wird es nicht mehr los. Hoffentlich wisst ihr was!! Danke


Logfile of HijackThis v1.98.2
Scan saved at 13:36:00, on 24.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System\MSMSGSVC.exe
C:\Program Files\InterMute\SpySubtract\SpySub.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\wanmpsvc.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Mozilla Firefox\firefox.exe
D:\Programme\Spyware Doctor\spydoctor.exe
C:\Dokumente und Einstellungen\D. Harald Alke\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis1982.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.e-finder.cc/search/ (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.e-finder.cc/search/ (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = http://www.e-finder.cc/search/ (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.e-finder.cc/search/ (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.e-finder.cc/search/ (obfuscated)
O2 - BHO: DOMPeek Class - {834261E1-DD97-4177-853B-C907E5D5BD6E} - C:\WINDOWS\dpe.dll
O4 - HKCU\..\Run: [MSMsgSvc] C:\WINDOWS\System\MSMSGSVC.exe
O4 - HKCU\..\Run: [Spyware Doctor] "D:\Programme\Spyware Doctor\spydoctor.exe" /Q

:heilig: :heilig: :heilig:

Haui45 24.11.2004 15:04
Ist das wirklich das ganze Logfile?
Wenn nicht, dann poste es nochmal.

BAMBI 24.11.2004 22:04
Also viel mehr ist das nicht. Ich hab vorhin aus lauter ungeduld alles gelöscht. der kram da unten kam aber einfach wieder. irgendwie extrem hartnäckig. HILFFEEEE!!!! :( :( :(


Logfile of HijackThis v1.98.2
Scan saved at 22:09:00, on 24.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System\MSMSGSVC.exe
D:\Programme\Spyware Doctor\spydoctor.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\wanmpsvc.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Dokumente und Einstellungen\D. Harald Alke\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis1982.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.e-finder.cc/search/ (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.e-finder.cc/search/ (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = http://www.e-finder.cc/search/ (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.e-finder.cc/search/ (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.e-finder.cc/search/ (obfuscated)
O2 - BHO: DOMPeek Class - {834261E1-DD97-4177-853B-C907E5D5BD6E} - C:\WINDOWS\dpe.dll
O4 - HKCU\..\Run: [MSMsgSvc] C:\WINDOWS\System\MSMSGSVC.exe
O4 - HKCU\..\Run: [Spyware Doctor] "D:\Programme\Spyware Doctor\spydoctor.exe" /Q
O4 - HKCU\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe

Lidius 24.11.2004 22:13
Versteh ich das richtig das du einmal komplett alles gefixt hast?

BAMBI 24.11.2004 22:18
jap. welche foldegn hat das? :(

Cidre 24.11.2004 22:23
Zitat:
Ich hab vorhin aus lauter ungeduld alles gelöscht.
Warum macht man sowas?!

Zitat:
C:\Dokumente und Einstellungen\D. Harald Alke\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis1982.zip\HijackThis.exe
Wenn du das hijackthis1982.zip nicht temporär entpackt und der HijackThis.exe einen extra Ordner spendiert hättest, dann könnte man das Fixen wieder rückgängig machen.


Lade und scanne mit eScan AntiVirus im abgesicherten Modus wie beschrieben, lösche danach die erkannte Malware manuell und poste die Virus Log Information von eScan AntiVirus.

BAMBI 24.11.2004 22:28
Zitat:
Zitat von Cidre
Warum macht man sowas?!
weil man doof ist. naja. was hab ich denn jetzt zerstört? wenn man das so abschätzen kann... kann man den schaden beheben. programme neu installieren etc... danke danke danke!!!

Cidre 24.11.2004 22:40
Zitat:
kann man den schaden beheben.
Ja, das kann man.
Führe zuerst wie beschrieben eScan aus und dann sehen wir weiter.

BAMBI 24.11.2004 22:48
ich hab alles gauso gemacht. ich hab auch die infizierten dateien vor mir. aber ich kann die doch nicht einfach komplett löschen..... :dummguck:

Cidre 24.11.2004 22:52
Bist du dir sicher, dass du eScan im abgesicherten Modus angewandt hast?!
Ich denke nicht!
Wie gross ist deine Festplatte, etwa 1 GB?

BAMBI 24.11.2004 23:00
hi. ich probiers gleich nochmal. und geb bescheid. danke...!

BAMBI 24.11.2004 23:35
ja also es ist wohl so wie unten beschrieben. 3 trojaner/viren sind in meinem windows ordner in kleinen dateien versteckt. unter anderem logpad.com usw.

soll ich diese dateien komplett killen?

Lidius 24.11.2004 23:42
nennen uns erstmal die Namen der Viren (und auch die dateinamen)

BAMBI 24.11.2004 23:54
Orginal:
WINDOWS/System/MSMSGSVC.exe infected by "Trojan Dropper.Win32.Small.lx" Virus.
(die Meldung oben kommt irgendwie 2 mal ohne erkennbaren unterschied.
WINDOWS/System32/notepad.com infected by "Trojan Dropper.Win32.Small.lx" Virus.

Tausend Dank!

Passat2002 24.11.2004 23:59
hi bambi
Zitat:
Spy Bot, Add Aware, CWS haben versagt :-(
das glaube ich nicht, da hast du eher versucht, dein system :kloppen: :) :)

Zitat:
C:\Dokumente und Einstellungen\D. Harald Alke\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis1982.zip\HijackThis.exe
--> sollte so aussehen C:\Programme\HijackThis\HijackThis.exe
Zitat:
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
--> windows-update durchführen


Alle Zeitangaben in WEZ +1. Es ist jetzt 07:52 Uhr.
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19