Trojaner-Board - logfile

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - logfile (https://www.trojaner-board.de/12048-logfile.html)

guten morgen,

ich hatte auf einem system 2 viren mit e-scan entdeckt und deleted.

leider bleibt der ie immer noch hijacked.

hier das logfile:

Logfile of HijackThis v1.98.2
Scan saved at 03:24:30, on 13.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\htpatch.exe
C:\Programme\RedLine\Taskbar.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\Programme\redline\gameutil.exe
C:\Programme\Mouseware\MouseWare\system\em_exec.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Dokumente und Einstellungen\Tomy\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: DOMP Class - {4C1B116F-2860-46db-8E6C-B4BFC4DFD683} - C:\WINDOWS\ietlbass.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SetCacheMode] Rundll32.exe ptipbmf.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [RedLine Taskbar] C:\Programme\RedLine\Taskbar.exe
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBAudigy\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [CTStartup] C:\Programme\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - Startup: Adobe Gamma Loader.lnk = C:\Programme\Calibration\Adobe Gamma Loader.exe
O4 - Startup: gameutil.exe.lnk = ?
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O13 - WWW. Prefix: http://ehttp.cc/?
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1100267738562
O17 - HKLM\System\CCS\Services\Tcpip\..\{EAE715F8-F9F2-4E76-BBBB-C0A724BA989D}: NameServer = 10.212.67.1

vermutlich muss ich wohl

O2 - BHO: DOMP Class - {4C1B116F-2860-46db-8E6C-B4BFC4DFD683} - C:\WINDOWS\ietlbass.dll
O13 - WWW. Prefix: http://ehttp.cc/?
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home

fixx0rn. hab ich was vergessen ??

kg

@karel gott
fixx0rn. hab ich was vergessen ??
Ja, poste doch mal wo die viren gefunden würden und wie ihre name
gebe HJT bitte einen eigenen ordner
wechsle in den abgesicherten modus und fixe mit HJT
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home
O2 - BHO: DOMP Class - {4C1B116F-2860-46db-8E6C-B4BFC4DFD683} - C:\WINDOWS\ietlbass.dll
O4 - Startup: gameutil.exe.lnk = ?
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - O4 - Startup: gameutil.exe.lnk = ?
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O13 - WWW. Prefix: http://ehttp.cc/?
O13 - WWW. Prefix: http://ehttp.cc/?
lösche danach manuell
C:\WINDOWS\web\related.htm
C:\WINDOWS\ietlbass.dll
neu booten, ein neues HJT logfile hier posten
system mal wieder updaten
chaosman

thx 4 reply.

hier neues logfile:

Logfile of HijackThis v1.98.2
Scan saved at 11:32:39, on 13.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\htpatch.exe
C:\Programme\RedLine\Taskbar.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\Programme\Mouseware\MouseWare\system\em_exec.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\hijackThis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SetCacheMode] Rundll32.exe ptipbmf.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [RedLine Taskbar] C:\Programme\RedLine\Taskbar.exe
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBAudigy\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [CTStartup] C:\Programme\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - Startup: Adobe Gamma Loader.lnk = C:\Programme\Calibration\Adobe Gamma Loader.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1100267738562
O17 - HKLM\System\CCS\Services\Tcpip\..\{EAE715F8-F9F2-4E76-BBBB-C0A724BA989D}: NameServer = 10.212.67.1

C:\WINDOWS\ietlbass.dll --> konnte ich nicht finden, vermutlich schon gelöscht.
Dafür habe ich das file c:\windows\toolband.dll drauf, das kommt mir irgendwie suspekt vor. sagt euch das was ?

Von e-scan wurde gelöscht:

Thu Jan 13 03:01:56 2005 => File C:\RECYCLER\S-1-5-21-1801674531-1500820517-725345543-1003\Dc2.dat infected by "Trojan-Dropper.Win32.Small.pb" Virus. Action Taken: File Deleted.

Thu Jan 13 02:59:21 2005 => File C:\WINDOWS\TLBAssUI.exe infected by "Trojan.Win32.StartPage.ig" Virus. Action Taken: File Deleted.