Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Bitte um hilfe! (https://www.trojaner-board.de/11506-bitte-um-hilfe.html)

sternentreiber 01.01.2005 21:39

Bitte um hilfe!
 
Ist hier noch was zu retten?
Mal wieder ein ein verseuchter Rechner kann man noch was machen oder ist der Rechner komprometiert? Bitte um Hilfe:
Logfile of HijackThis v1.98.2
Scan saved at 21:06:31, on 01.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\program files\interMute\SpySubtract\SpySub.exe
C:\PROGRA~1\WINZIP\wzqkpick.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\unzipped\hijackthis1982\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.medion.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aldi.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://update.spysubtract.com/regist...5&430=882c5933
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [CloneDVDElbyDelay] "C:\Programme\Elaborate Bytes\CloneDVD\ElbyCheck.exe" /L ElbyDelay
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [Norton Secure] fsecure.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\RunServices: [Norton Secure] fsecure.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Kontrollfeld für die kabellose Tastatur.lnk = C:\WINDOWS\CNYHKey.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: SpySubtract.lnk = C:\program files\interMute\SpySubtract\SpySub.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: MedionShop - {84FAA847-1400-4400-BC93-D338EF03127B} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O21 - SSODL: Web Event Logger - {79FEACFF-FFCE-815E-A900-316290B5B738} - (no file)

Cidre 01.01.2005 22:22

Hallo,

Überprüfe mal folgende Datei bei http://virusscan.jotti.org/de
und poste das Ergebnis:
fsecure.exe

btw:
Poste danach ein aktuelles Log-File (Vers. 1.99), aber diesmal aus dem "normalen " Modus.

sternentreiber 01.01.2005 23:54

Hallo Cidre, ich habe hier ein kleines Problem: Ich komme kaum mehr ins Netz geschweige denn, dass ich noch viel surfen kann. Ich versuchte den onlinscanner zu überreden die Datei upzuloaden, jedoch gelangte ich dann auf eine kostenpflichtige Seite. Hier brach ich dann ab, um erst mal zu fragen, ob es nicht andere Alernativen gibt. Meine Kreditkartennummer anzugeben wird alleine daher schon schwierig, da ich keine habe :lach:
Gibt es noch andere Möglichkeiten?
(nur zur Erklärung, ich sitze hier bei einem Freund und nicht an meinem Rechner. Von Sicherheit (15 Schritte Windows sicher zu konfigurieren - oder Ähnlichem hat dieser Freund noch nie was gehört) Ich gebe mir die größte Mühe :D

Cidre 02.01.2005 00:14

Zitat:

jedoch gelangte ich dann auf eine kostenpflichtige Seite. Hier brach ich dann ab, um erst mal zu fragen,
Das Problem ist nicht die von mir gepostete Seite, sondern dein verseuchter Rechner.

Führe folgendes aus:
Lade und scanne mit eScan AntiVirus im abgesicherten Modus wie beschrieben.
Poste anschliessend die Virus Log Information von eScan AntiVirus:
Öffne die mwav.log -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.

sternentreiber 02.01.2005 16:28

Hallo Cidre, nun sitze ich wieder an meinem Rechner. Habe gestern Nacht aufgegeben. Im Netz konnt ich nur 2 Minuten bleiben, bevor der Recher die Seiten nicht mehr geöffnet hat oder abgestürzt ist.
Es ist ein ALDI Rechner dementsprechend partitioniert und ohne Kennwörter etc. Da mehrere Festplatten vorhanden sind und das Betriebssystem auf C gespeichert ist, habe ich erstmal alle Date auf D geschoben. C zu formatieren und dabei die anderen Festplatten unberührt zu lassen, habe ich noch nie gemacht. Der Rechner hat eine Festplatte welche sich RECOVERY nennt und alle Programme zur Wiederherstellung beinhaltet.
Währe es nicht das Sinnvollste C zu formatieren und neu zu bespielen? Würde das nicht ungeimein viel Zeit sparen? Ich experimentiere ja gerne, aber dennoch denke ich, dass das hier der schnellste und sicherste Weg ist.
Noch ne Frage: Was hälst Du von dem Program " Windows-Dienste abschalte"? Über Eure Links kommt man ja dorthin. In dem Text steht dann auch, dass dann eine Firewall zweckfrei sei, da keine Angriffspunkte mehr gegeben seien.
Vielen Dank schon mal

HerrKautz 02.01.2005 16:33

Zitat:

habe ich erstmal alle Date auf D geschoben
Das war vielleicht unklug,du weißt ja nicht,was du da "verschoben" hast!

Wenn also definitiv nichts mehr geht,ist es sicherlich sinnvoll c: zu formatieren!

Zitat:

Noch ne Frage: Was hälst Du von dem Program " Windows-Dienste abschalte"?
Das solltest du zu allererst machen. :bussi:

Cidre 02.01.2005 16:38

Da du ja im Besitz einer Recovery CD bist, kannst du mit Hilfe dieser denn Auslieferungszustand wieder herstellen, wie am "1. Tag".
Siehe auch http://www.trojaner-board.de/showthread.php?t=8684

Sichere danach dein System dementsprechend VOR der ersten I-net Verbindung ab. http://www.trojaner-board.de/showpos...28&postcount=2

Zitat:

Was hälst Du von dem Program " Windows-Dienste abschalte"?
Sehr viel, darum empfehle ich es auch ständig. Siehe dazu: http://www.mathematik.uni-marburg.de...ompromise.html
http://www.ntsvcfg.de/linkblock.html
http://www.chip.de/forum/thread.html?bwthreadid=659560

sternentreiber 02.01.2005 16:46

Na super dann habe ich ja endlich wieder einen Rechner zum Formatieren (Ironie!!) Vielen dank -- vielleicht den nächsten Beitrag vom neu gestalteten ALDI Rechner ;)


Alle Zeitangaben in WEZ +1. Es ist jetzt 22:01 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131