Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Tr/startpage (https://www.trojaner-board.de/13039-tr-startpage.html)

Mondy 30.01.2005 22:34
Tr/startpage
 
Sorry bin n bischen ungeduldig und lese deswegen nicht alles.
Hab das trojanische gaul auf dem rechner TR/startpage.lj .nu hab ich ich den eScan runtergeladen und den HiJack. mein problem ist nun mein rechner startet nicht im abgesicherten modus das hat er aber vor dem virus aber immer gemacht und wenn ich win normal starte sagt win das ich meine festplatte scannen muss weil nicht ordnungsgemäss runtergefahren wurde??? Dann schlägt er bei den escan an und hängt.
So nun mein Hijacker Log:

Logfile of HijackThis v1.99.0
Scan saved at 19:42:20, on 30.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Dokumente und Einstellungen\Michael\Lokale Einstellungen\Temp\SFX1.tmp\mmtask.exe
C:\Programme\PHILIPS\HDDDMM\DMM\bin\AutoLaunchHDD70.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\PROGRA~1\GEMEIN~1\PHILIP~1\USBCON~1.EXE
C:\WINDOWS\System32\CTFMONSS.EXE
C:\WINDOWS\System32\CSRSSW.EXE
C:\Programme\Samsung\Digimax Viewer 2.0\STImgBrowser.exe
C:\Programme\PC-TV\WinManager\WinManager.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\SYSTEM32\GEARSEC.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\Programme\Internet Explorer\iexplore.exe
F:\Hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: VDOMP Class - {A0ED918D-B8E6-4c3d-BD15-1DB1AE9A5DD3} - C:\WINDOWS\wtlbass32.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [mmtask] C:\Dokumente und Einstellungen\Michael\Lokale Einstellungen\Temp\SFX1.tmp\mmtask.exe
O4 - HKLM\..\Run: [/AutoLaunchHDD70] C:\Programme\PHILIPS\HDDDMM\DMM\bin\AutoLaunchHDD70.exe
O4 - HKLM\..\Run: [Name of App] C:\Programme\Samsung\FW LiveUpdate\Liveupdate.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ASDPLUGIN] C:\WINDOWS\System32\adult1.exe -N
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [CTFMONSS] C:\WINDOWS\System32\CTFMONSS.EXE
O4 - HKCU\..\Run: [CSRSSW] C:\WINDOWS\System32\CSRSSW.EXE
O4 - Global Startup: Digimax Viewer 2.0.lnk = ?
O4 - Global Startup: WinManager.lnk = C:\Programme\PC-TV\WinManager\WinManager.exe
O4 - Global Startup: Mountit.lnk = C:\Programme\Roxio\WinOnCD 6 DVD\MountIt.exe
O4 - Global Startup: Denk dran!.lnk = C:\Programme\DATA BECKER\Denk dran!\BdR.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {EA65FB0F-182B-4F7C-8D4F-50A652FC7BDE} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {EA65FB0F-182B-4F7C-8D4F-50A652FC7BDE} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1093200338921
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4853055C-F767-4FF0-9CC8-91958D52F8AD}: NameServer = 217.237.150.97 217.237.149.161
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\SYSTEM32\GEARSEC.EXE
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZONELABS\vsmon.exe

Mondy 30.01.2005 22:35
Und das hat escan gesagt:


[msvLclnt.dll] [0x00000da4] 30/01/2005 22:05:14:812 :ModuleName = C:\Bases\mwavscan.com
[msvLclnt.dll] [0x00000da4] 30/01/2005 22:05:14:812 :Registry Key Deleted Properly!!!
[msvLclnt.dll] [0x00000da4] 30/01/2005 22:05:15:765 :Options Set by External applications mwavscan.com are 9896960 (0x970400):
[msvLclnt.dll] [0x00000da4] 30/01/2005 22:05:15:765 :Mode :PACKED,ARCHIVED,CA,WARNINGS,MAILPLAIN
[msvLclnt.dll] [0x00000da4] 30/01/2005 22:05:15:765 :TimeOut : ffffffff
[msvLclnt.dll] [0x00000da4] 30/01/2005 22:05:15:765 :Priority : NORMAL
[msvLclnt.dll] [0x00000da4] 30/01/2005 22:05:16:234 :VirusCount = 117012 Latest Date = 2005/01/28
[msvLclnt.dll] [0x00000ed4] 30/01/2005 22:05:45:828 :VirusCount = 117012 Latest Date = 2005/01/28
[msvLclnt.dll] [0x00000da4] 30/01/2005 22:05:48:812 :VirusCount = 117012 Latest Date = 2005/01/28
[msvLclnt.dll] [0x00000af0] 30/01/2005 22:09:50:296 :ModuleName = C:\Bases\mwavscan.com
[msvLclnt.dll] [0x00000af0] 30/01/2005 22:09:50:296 :Registry Key Deleted Properly!!!
[msvLclnt.dll] [0x00000af0] 30/01/2005 22:09:51:234 :Options Set by External applications mwavscan.com are 9896960 (0x970400):
[msvLclnt.dll] [0x00000af0] 30/01/2005 22:09:51:234 :Mode :PACKED,ARCHIVED,CA,WARNINGS,MAILPLAIN
[msvLclnt.dll] [0x00000af0] 30/01/2005 22:09:51:234 :TimeOut : ffffffff
[msvLclnt.dll] [0x00000af0] 30/01/2005 22:09:51:234 :Priority : NORMAL
[msvLclnt.dll] [0x00000af0] 30/01/2005 22:09:51:718 :VirusCount = 117012 Latest Date = 2005/01/28
[msvLclnt.dll] [0x00000b58] 30/01/2005 22:10:22:140 :[00000001] File C:\WINDOWS\System32\CTFMONSS.EXE infected by Trojan-Dropper.Win32.Small.qv
[msvLclnt.dll] [0x00000b58] 30/01/2005 22:10:29:093 :[00000001] File C:\WINDOWS\System32\CSRSSW.EXE infected by Trojan-Dropper.Win32.Small.qv
[msvLclnt.dll] [0x00000b58] 30/01/2005 22:10:32:640 :[00000001] File C:\WINDOWS\wtlbass32.dll infected by not-a-virus:AdWare.BHO.SearchAssistant.c
[msvLclnt.dll] [0x00000b58] 30/01/2005 22:10:37:812 :[00000001] File C:\WINDOWS\DOWNLO~1\adult1.exe infected by Trojan.Win32.Dialer.go
[msvLclnt.dll] [0x00000b58] 30/01/2005 22:10:38:125 :[00000001] File C:\WINDOWS\System32\CTFMONSS.EXE infected by Trojan-Dropper.Win32.Small.qv
[msvLclnt.dll] [0x00000b58] 30/01/2005 22:10:38:187 :[00000001] File C:\WINDOWS\System32\CSRSSW.EXE infected by Trojan-Dropper.Win32.Small.qv
[msvLclnt.dll] [0x00000b58] 30/01/2005 22:10:49:687 :[00000001] File C:\WINDOWS\WTLBUI.exe infected by Trojan.Win32.StartPage.ig
[msvLclnt.dll] [0x00000b58] 30/01/2005 22:10:49:796 :[00000001] File C:\WINDOWS\stoolbd.dll infected by not-a-virus:AdWare.ToolBar.FastLook.a
[msvLclnt.dll] [0x00000b58] 30/01/2005 22:14:58:531 :VirusCount = 117012 Latest Date = 2005/01/28
[msvLclnt.dll] [0x00000af0] 30/01/2005 22:15:22:187 :VirusCount = 117012 Latest Date = 2005/01/28

Sorry noch mal wenn ich irgendwelche regeln gebrochen habe und DANKE für eure hilfe

Tom59 31.01.2005 01:01
@Mondy...

dann schaue dir dein log doch bitte hier

www.hijackthis.de

an...

oder ist es etwas unbequem???

lg

Tom59

Mondy 31.01.2005 18:11
Vielen Dank für all eure MÜHEN und nochmals Sorry bin ein sehr bequemer Mensch aber ICH habs tatsächlich doch hingekriegt mit dem eScan und dem abgesicherten Modus Vielen Dank nochmal :
Wtl bass32.dll
wtl wud.exe
stoolbd.dll
ctfmonss.exe
csrssw.exe
hab ich dann gelöscht

und nochmal SORRY wenn ich was falsch gemacht hab


Alle Zeitangaben in WEZ +1. Es ist jetzt 23:26 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131