Trojaner-Board - wer kann helfen, nur "böse" Dinge auf meinem Rechner

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - wer kann helfen, nur "böse" Dinge auf meinem Rechner (https://www.trojaner-board.de/10120-helfen-nur-boese-dinge-meinem-rechner.html)

puh, ist alles nicht so einfach...Danke. Jetzt ist der ganze Ordner voll,
kann leider nicht kopiert und hier eingefügt werden. Mache jetzt weiter im Programm....

file:///C:/bases/0005DA77.key

trotz Strg A und Strg C kommt nur der obere Eintrag beim Einfügen.

Du brauchst jetzt nicht mehr den Inhalt des Ordners posten.
Fahre wie folgt fort:
- "kavupd.exe" (Update) ausführen
- Scanner mit der "mwavscan.com" starten. Alle Häkchen setzen und "Scan" klicken

aber im abgesicherten Modus scannen?

Hallo, bin kurz wieder da.
Antwort: Ja.

habe jetzt gescannt, wie soll ich das Ergebnis jetzt hier posten? den gesamten Scan? also die Text (log) Datei?

@ Ulli04

"öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre)

SD

Sun Nov 28 00:12:03 2004 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\TIBS11.zip infected by "Password-protected-EXE" Virus. Acti

Guten Morgen, sind über 60000 Dateien gescannt worden, 14 Dateien erschienen. Bei der Such in der Log-Datei erscheint aber bei Suche nach infected nur das obige. Ist das ok?

alles klar, muss weitersuchen...:

Sun Nov 28 00:12:03 2004 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\TIBS.zip infected by "Password-protected-EXE" Virus. Action Taken: File Renamed.

Sun Nov 28 00:12:03 2004 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\TIBS11.zip infected by "Password-protected-EXE" Virus. Action Taken: File Renamed.

Sun Nov 28 00:12:04 2004 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\TIBS4.zip infected by "Password-protected-EXE" Virus. Action Taken: File Renamed.

Sun Nov 28 00:13:03 2004 => File C:\Dokumente und Einstellungen\Ulrich\Eigene Dateien\Eigene Bilder\hijackthis_198\backups\backup-20041127-174045-570.dll infected by "Trojan.Win32.Dialer.bi" Virus. Action Taken: File Deleted.

Sun Nov 28 00:50:44 2004 => Scanning File C:\Programme\CA\eTrust\InoculateIT\Help\inocit\infected_object.html

Sun Nov 28 00:50:45 2004 => Scanning File C:\Programme\CA\eTrust\InoculateIT\Help\inocit\log_infected_popup.html

Sun Nov 28 00:50:47 2004 => Scanning File C:\Programme\CA\eTrust\InoculateIT\Help\inocit\remove_infected_macros.html

Sun Nov 28 00:50:49 2004 => Scanning File C:\Programme\CA\eTrust\InoculateIT\Help\inocit\send_analysis_infected_files.html

Sun Nov 28 00:50:49 2004 => Scanning File C:\Programme\CA\eTrust\InoculateIT\Help\inocit\send_infected_files_only.html

Sun Nov 28 00:50:53 2004 => Scanning File C:\Programme\CA\eTrust\InoculateIT\Help\inocprc\curing_an_infected_file_after_a_scan.html

Sun Nov 28 00:50:53 2004 => Scanning File C:\Programme\CA\eTrust\InoculateIT\Help\inocprc\deleting_an_infected_file_after_a_scan.html

Sun Nov 28 00:50:54 2004 => Scanning File C:\Programme\CA\eTrust\InoculateIT\Help\inocprc\moving_an_infected_file_after_a_scan.html

Sun Nov 28 00:50:54 2004 => Scanning File C:\Programme\CA\eTrust\InoculateIT\Help\inocprc\renaming_an_infected_file_after_a_scan.html

Sun Nov 28 00:50:55 2004 => Scanning File C:\Programme\CA\eTrust\InoculateIT\Help\inocprc\viewing_details_about_an_infected_file.html

Sun Nov 28 01:09:13 2004 => Total Number of Disinfected Files: 0

Das waren alle.

Morgen, Ulli!
Na, also, haben wir´s doch noch geschafft!
Wichtig sind nur die ersten vier, der Rest gehört zu eTrust.
Die vierte wurde von eScan gekillt.
Die ersten drei sind im Quarantäne- (bzw. Wiederherstellungsordner ) von Spybot.
Bitte leere diesen Ordner.
Damit sollte alles erledigt sein. Ein abschließendes Logfile macht die Sache noch richtig rund. ;)
cacatoa

Guten MOrgen Cacatao, puh, habe jetzt den ganzen Ordner Recovery gelöscht, also den Inhalt. Jetzt noch mal mit hijack oder eScan?
Habe mir das SP 2 runtergeladen, danach installieren?
Und surfen hauptsächlich mit Mozilla?

Zitat:

hijack oder eScan? HiJackThis
Habe mir das SP 2 runtergeladen, danach installieren?JA
Und surfen hauptsächlich mit Mozilla?JA

Das war ne schwere Geburt. ;)

Hi, ulli,
hast du den Spybot Ordner über Spybot selbst gelert? (In Spybot auf: Wiederherstellen, dann die Probleme markieren und auf "Markiertes Löschen" gedrückt)?
Ein HJT-Logfile nach der Installation von SP2. Mach nicht den Fehler wie viele, die sich nur den Installer des SP 2 runterladen und glauben, sie sind fertig. Man muß SP 2 dann nämlich noch installieren und das dauert ruhig mal (je nach Zugang [DSL oder Modem]) von einer halben bis zu zwei und mehr Stunden.
Also, bis dann
cacatoa

Mozilla oder opera, IE nur für Windows-Updates (geht nicht ohne den)

So, hier nochmal ein aktuelles Log:

Logfile of HijackThis v1.98.2
Scan saved at 10:50:18, on 28.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\CA\eTrust\InoculateIT\InoRpc.exe
C:\Programme\CA\eTrust\InoculateIT\InoRT.exe
C:\Programme\CA\eTrust\InoculateIT\InoTask.exe
C:\WINDOWS\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Launch Manager\LaunchAp.exe
C:\Programme\Launch Manager\HotkeyApp.exe
C:\Programme\Launch Manager\CtrlVol.exe
C:\Programme\Launch Manager\Wbutton.exe
C:\Programme\Wistron\AVManager\AVManager.exe
C:\WINDOWS\System32\NWTRAY.EXE
C:\Programme\CA\eTrust\InoculateIT\realmon.exe
C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NCLConf.exe
C:\Programme\Samsung\SmarThru\PORTCTRL.EXE
C:\Programme\AceBIT\WISE-FTP\WF_Scheduler.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\Telekom\Eumex 704PC DSL\Capictrl.exe
C:\Programme\AT-AR215\AT-AR215 USB ADSL MODEM\dslmon.exe
C:\Programme\Telekom\Eumex 704PC DSL\HNetCtrl.exe
C:\Programme\CASIO\Photo Loader\Plauto.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Palm\HOTSYNC.EXE
C:\Programme\1&1 Internet\Profi-Dialer\ProfiDialer.exe
C:\Programme\Messenger\msmsgs.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\Microsoft Office\Office10\OUTLOOK.EXE
C:\Dokumente und Einstellungen\Ulrich\Eigene Dateien\Eigene Bilder\hijackthis_198\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Programme\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Programme\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Programme\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [AVManager] "C:\Programme\Wistron\AVManager\AVManager.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [NWTRAY] NWTRAY.EXE
O4 - HKLM\..\Run: [Realtime Monitor] C:\Programme\CA\eTrust\InoculateIT\realmon.exe
O4 - HKLM\..\Run: [Nokia Connection Monitor] "C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NCLConf.exe"
O4 - HKLM\..\Run: [GW Port Controller] C:\Programme\Samsung\SmarThru\PORTCTRL.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [Wise-FTP Scheduler] C:\Programme\AceBIT\WISE-FTP\WF_Scheduler.exe
O4 - Startup: HotSync Manager.lnk = C:\Palm\HOTSYNC.EXE
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: DSLMON.lnk = ?
O4 - Global Startup: HomeNet Control.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Photo Loader resident.lnk = C:\Programme\CASIO\Photo Loader\Plauto.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O12 - Plugin for ¸æV: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1101547581651
O17 - HKLM\System\CCS\Services\Tcpip\..\{4BB96062-8851-43A3-953A-C327A137DCFC}: NameServer = 192.168.1.100
O17 - HKLM\System\CCS\Services\Tcpip\..\{BF47E1EB-C909-4D60-ABAE-92D681063607}: NameServer = 217.237.149.161 217.237.151.225

Noch irgendwas nicht in Ordnung?

Na, also,
jetzt noch SP 2 drauf und dann ist das Kindchen geboren ;)

cacatoa

Vielen Dank für eure umfangreiche Hilfe. Wünsche noch einen schönen Sonntag.