Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   DR/180solutions (https://www.trojaner-board.de/12041-dr-180solutions.html)

Deep 13.01.2005 00:01

DR/180solutions
 
antivir meldet immer wieder den dropper dr/180solutions. auch das empfohlene ausschalten des windows-seitigen kopieren von konfigurationsdateien und virenscan im abgesicherten modus bringt nichts, er kommt immer wieder. im systemtray befindet sich jetzt ein nicht ausschaltbares icon mit namen 180search options von new.net. sieht jemand in diesem hijack this logfile, was ich fixen kann oder kennt diesen dropper sogar persönlich?

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D784B7D6BE0B3} - E:\Programme\Acrobat Reader\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: QuickSearch SearchBar - {82315A18-6CFB-44a7-BDFD
90E36537C252} - C:\Programme\QuickSearch\QuickSearchBar3_28.dll
O3 - Toolbar: QuickSearch SearchBar - {82315A18-6CFB-44a7-BDFD-
90E36537C252} - C:\Programme\QuickSearch\QuickSearchBar3_28.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:
\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [DadApp] C:\Programme\Dell\AccessDirect\dadapp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.
2_06\bin\jusched.exe
O4 - HKLM\..\Run: [saap] e:\programme\gluz\saap.exe
O4 - HKLM\..\Run: [AVGCtrl] E:\Programme\AntiVir\AVGNT.EXE /min
O4 - HKLM\..\Run: [ydotot] C:\WINDOWS\ydotot.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /
background
O4 - Startup: OpenOffice.org 1.1.4.lnk = E:
\Programme\OpenOffice\program\quickstart.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-
00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-
AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683}
- C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-
BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {90A29DA5-D020-4B18-8660-6689520C7CD7} (DmiReader Class)
- http://support.euro.dell.com/global/...r/PROFILER.CAB
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF}
(MsnMessengerSetupDownloadControl Class) - http://messenger.msn.
com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) -
http://zone.msn.com/binFramework/v10...o.cab32846.cab
O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} - http://fdl.msn.
com/zone/datafiles/heartbeat.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{45B748A6-4BE8-4D47-95AB-
03274F5A9C49}: Domain = lan.fli4l
O17 - HKLM\System\CCS\Services\Tcpip\..\{45B748A6-4BE8-4D47-95AB-
03274F5A9C49}: NameServer = 192.168.1.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{45B748A6-4BE8-4D47-95AB-
03274F5A9C49}: Domain = lan.fli4l
O17 - HKLM\System\CS1\Services\Tcpip\..\{45B748A6-4BE8-4D47-95AB-
03274F5A9C49}: NameServer = 192.168.1.1

Ich danke im voraus für jegliche hilfe.

Shadowdance 13.01.2005 00:59

@ Deep

poste bitte ein komplettes Hijack This Logfile: http://www.trojaner-board.de/51130-a...ijackthis.html. Denk bitte daran, dass das Programm Hijack This in einem neuen Ordner unter C: laufen sollte, siehe dazu auch HijackThis.

Deep 13.01.2005 01:07

also, hier noch das komplette logfile, hijack diesmal unter c:\hijackthis\ ausgeführt:

Logfile of HijackThis v1.98.2
Scan saved at 01:04:36, on 13.01.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Dell\AccessDirect\dadapp.exe
C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
E:\programme\gluz\saap.exe
E:\Programme\AntiVir\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
E:\Programme\OpenOffice\program\soffice.exe
E:\Programme\AntiVir\AVGUARD.EXE
E:\Programme\AntiVir\AVWUPSRV.EXE
E:\Programme\Azureus\Azureus.exe
C:\Programme\Java\j2re1.4.2_06\bin\javaw.exe
C:\Hijack This\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Acrobat Reader\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: QuickSearch SearchBar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Programme\QuickSearch\QuickSearchBar3_28.dll
O3 - Toolbar: QuickSearch SearchBar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Programme\QuickSearch\QuickSearchBar3_28.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [DadApp] C:\Programme\Dell\AccessDirect\dadapp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [saap] e:\programme\gluz\saap.exe
O4 - HKLM\..\Run: [AVGCtrl] E:\Programme\AntiVir\AVGNT.EXE /min
O4 - HKLM\..\Run: [ydotot] C:\WINDOWS\ydotot.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: OpenOffice.org 1.1.4.lnk = E:\Programme\OpenOffice\program\quickstart.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {90A29DA5-D020-4B18-8660-6689520C7CD7} (DmiReader Class) - http://support.euro.dell.com/global/...r/PROFILER.CAB
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/Ms...Downloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://zone.msn.com/binFramework/v10...o.cab32846.cab
O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} - http://fdl.msn.com/zone/datafiles/heartbeat.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{45B748A6-4BE8-4D47-95AB-03274F5A9C49}: Domain = lan.fli4l
O17 - HKLM\System\CCS\Services\Tcpip\..\{45B748A6-4BE8-4D47-95AB-03274F5A9C49}: NameServer = 192.168.1.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{45B748A6-4BE8-4D47-95AB-03274F5A9C49}: Domain = lan.fli4l
O17 - HKLM\System\CS1\Services\Tcpip\..\{45B748A6-4BE8-4D47-95AB-03274F5A9C49}: NameServer = 192.168.1.1

Shadowdance 13.01.2005 01:42

@ Deep

Du dürftest einige Malware auf dem System haben. Es ist daher besser, erst zu erfahren, was Du genau auf dem Rechner hast.

Erstelle dazu einen neuen Ordner "bases" auf der Festplatte C: (c:\bases). Lade den eScan runter und entpacke ihn in diesen neuen Ordner. Lies die Anleitung in diesem Link sehr genau. Update den eScan online und führe ihn offline im abgesicherten Modus aus. Der eScan dauert ca 1 Stunde und löscht keine Malware. Das wird manuell gemacht.

Teile uns das Ergebnis des eScan mit: öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre)

=>Total Number of Files Scanned:
=>Total Number of Virus(es) Found:
***** Scanning complete. *****


Das Hijack This Logfile sollte in der Version: v1.99.0 erstellt werden.

Deep 13.01.2005 23:33

Zitat:

File C:\Programme\QuickSearch\QuickSearchBar3_28.dll infected by "not-a-virus:AdWare.ToolBar.Quick.b" Virus. Action Taken: No Action Taken.

Thu Jan 13 22:49:50 2005 => File C:\WINDOWS\ydotot.exe infected by "not-a-virus:AdWare.180Solutions" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\NDNuninstall5_64.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.

File C:\Programme\QuickSearch\Uninstall_QuickSearchBar.exe infected by "not-a-virus:AdWare.ToolBar.Quick.b" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\NDNuninstall5_64.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.

File E:\Programme\Gluz\saaphook.dll infected by "not-a-virus:AdWare.180Solutions" Virus. Action Taken: No Action Taken.
das sind die entries von eScan

Deep 14.01.2005 00:52

Zitat:

Logfile of HijackThis v1.99.0
Scan saved at 00:50:33, on 14.01.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Dell\AccessDirect\dadapp.exe
C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
E:\programme\gluz\saap.exe
E:\Programme\AntiVir\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
E:\Programme\OpenOffice\program\soffice.exe
E:\Programme\AntiVir\AVGUARD.EXE
E:\Programme\AntiVir\AVWUPSRV.EXE
E:\Programme\Opera\opera.exe
C:\DOKUME~1\MICHEL~1\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Acrobat Reader\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: QuickSearch SearchBar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Programme\QuickSearch\QuickSearchBar3_28.dll
O3 - Toolbar: QuickSearch SearchBar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Programme\QuickSearch\QuickSearchBar3_28.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [DadApp] C:\Programme\Dell\AccessDirect\dadapp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [saap] e:\programme\gluz\saap.exe
O4 - HKLM\..\Run: [ydotot] C:\WINDOWS\ydotot.exe
O4 - HKLM\..\Run: [AVGCtrl] E:\Programme\AntiVir\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: OpenOffice.org 1.1.4.lnk = E:\Programme\OpenOffice\program\quickstart.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {90A29DA5-D020-4B18-8660-6689520C7CD7} (DmiReader Class) - http://support.euro.dell.com/global/...r/PROFILER.CAB
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/Ms...Downloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://zone.msn.com/binFramework/v10...o.cab32846.cab
O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} - http://fdl.msn.com/zone/datafiles/heartbeat.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{45B748A6-4BE8-4D47-95AB-03274F5A9C49}: Domain = lan.fli4l
O17 - HKLM\System\CCS\Services\Tcpip\..\{45B748A6-4BE8-4D47-95AB-03274F5A9C49}: NameServer = 192.168.1.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{45B748A6-4BE8-4D47-95AB-03274F5A9C49}: Domain = lan.fli4l
O17 - HKLM\System\CS1\Services\Tcpip\..\{45B748A6-4BE8-4D47-95AB-03274F5A9C49}: NameServer = 192.168.1.1
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - E:\Programme\AntiVir\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - E:\Programme\AntiVir\AVWUPSRV.EXE
O23 - Service: PsShutdown - Systems Internals - C:\WINDOWS\System32\PSSDNSVC.EXE
... und hier noch das neue hijack this log

Shadowdance 14.01.2005 04:51

@ Deep

downloade LSP-Fix. Es kann sein, dass Du Probleme bekommst, ins Netz zu kommen: die Internetverbindung trennen und LSP-Fix ausführen. Den Rechner neu booten.

Lade das Clear Prog runter, mach ein Häkchen' bei "Clear all" und klicke auf "Clear".

1.) --> "Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren" (Cidre)

diese Malware-Einträge bitte von Hand löschen:

2.) --> Boote dann in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, Datei markieren/kopieren, in die Windows Suche übertragen -> löschen:

C:\WINDOWS\ydotot.exe
C:\Programme\QuickSearch\Uninstall_QuickSearchBar. exe
E:\programme\gluz\saap.exe

3.) --> Cidre und Chaosman zum löschen von DLL's zitiert:
"[i]entweder probierst du dies http://www.windows-tweaks.info/html/dllsuchexp.html oder du machst es so: Lade Dir Winfile.exe (einen älteren NT-Dateimanager) herunter und starte ihn. Navigiere im rechten Fenster zu der betreffenden dll, markiere sie und wähle im Menue Security die Option Permissions. Ändere im unteren Auswahlfenster die Zugriffsart auf Vollzugriff. Bestätige mit [OK]. Dann wähle im selben Menue die Option Owner und klicke auf [Besitz übernehmen]. Bestätige mit OK. Jetzt die Datei umbenennen in z.B. Malware.txt und die Nachfragen jeweils mit [OK] bzw. [Ja] bestätigen. Anschließend sollten die Dateien sich löschen lassen:

C:\Programme\QuickSearch\QuickSearchBar3_28.dll
E:\Programme\Gluz\saaphook.dll

4.) --> mit LSP-Fix einlesen und einfach von links nach recht schieben:

C:\WINDOWS\NDNuninstall5_64.exe

Nach dem löschen in den normalen Modus booten und die Systemwiederherstellung wieder aktivieren. Neu booten.

------------

überprüfe mit dem online-scan von Kaspersky:

C:\WINDOWS\System32\PSSDNSVC.EXE

teile uns das Ergebnis der Überprüfung mit.

Deep 15.01.2005 00:29

erst mal danke für deine kompetente hilfe, shadow. noch ein, zwei fragen zum vorgehen:

- LSP ausführen und ClearProg kommen also noch bevor ich einige dateien von hand lösche?

- meinst du mit
Zitat:

diese Malware-Einträge bitte von Hand löschen
diese hier?
Zitat:

C:\WINDOWS\ydotot.exe
C:\Programme\QuickSearch\Uninstall_QuickSearchBar. exe
E:\programme\gluz\saap.exe


Alle Zeitangaben in WEZ +1. Es ist jetzt 10:19 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131