Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   erbitte hilfe! ...logfile anbei... (https://www.trojaner-board.de/13223-erbitte-hilfe-logfile-anbei.html)

wiebke 03.02.2005 15:10
erbitte hilfe! ...logfile anbei...
 
hi ihr!

lese mich jetzt schon ewig durch euer forum und habe mich heute getraut, mich zu registrieren.

habe ein problem mit searchmiracle und das dumme gefühl, dies ist nicht mein einziges. vor ein paar wochen fing mit einigen eingefangenen würmern und trojanern der ärger an. bis auf searchmiracle und die dazu passende search bar habe ich (so hoffe ich) alles wieder hinbekommen.

in eurem forum habe ich gelesen, was man gegen dies problem tun kann, verstehe aber nicht alles. habe die systemwiederherstellung deaktiviert und mir die version 1.99 von hijack this heruntergeladen. weiter traue ich mich nicht, ich weiß nicht, ob das problem immer gleich zu lösen ist.

bitte schaut doch mal in mein logfile. für tipps, die auch für einen newbie lösbar sind, bin ich sehr dankbar! :)

Logfile of HijackThis v1.99.0
Scan saved at 14:17:50, on 03.02.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\PROGRA~1\Borland\INTERB~1\Bin\IBGuard.EXE
C:\Programme\Norton Internet Security\ISSVC.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\PROGRA~1\Borland\INTERB~1\Bin\ibserver.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Launch Manager\LaunchAp.exe
C:\Programme\Launch Manager\HotkeyApp.exe
C:\Programme\Launch Manager\OSD.exe
C:\Programme\Launch Manager\Wbutton.exe
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Browser MOUSE\mouse32a.exe
C:\WINDOWS\system32\PRISMSTA.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
C:\Programme\T-Eumex KommunikationsCenter\strtfx.exe
C:\Programme\T-Eumex KommunikationsCenter\sndml.exe
C:\Program Files\DeskAd Service\DeskAdServ.exe
C:\WINDOWS\System32\SahAgent.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Program Files\DeskAd Service\DeskAdKeep.exe
C:\WINDOWS\msexploren.exe
C:\WINDOWS\nvsvca32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\Telekom\T-Eumex 220PC\Capictrl.exe
C:\Programme\Reality Fusion\Reality Fusion GameCam SE\Program\RFTRay.exe
C:\Programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
C:\Programme\Vodafone\VodafoneMobileConnectCard\VodafoneMobileConnectCard.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\DOKUME~1\Privat\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis_199.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://searchmiracle.com/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchmiracle.com/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchmiracle.com/sp.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - C:\WINDOWS\EliteToolBar\EliteToolBar version 59.dll
O2 - BHO: &EliteSideBar - {ED103D9F-3070-4580-AB1E-E5C179C1AE41} - C:\WINDOWS\EliteSideBar\EliteSideBar 08.dll
O3 - Toolbar: &EliteBar - {825CF5BD-8862-4430-B771-0C15C5CA8DEF} - C:\WINDOWS\EliteToolBar\EliteToolBar version 59.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [LaunchAp] C:\Programme\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Programme\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [OSD] C:\Programme\Launch Manager\OSD.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [CtrlVol] C:\Programme\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [CXMon] "C:\Programme\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_Monitor.exe"
O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Programme\Browser MOUSE\mouse32a.exe
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [mmtask] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
O4 - HKLM\..\Run: [routcnf] C:\Programme\Telekom\T-Eumex 220PC\routcnf.exe /capiactive
O4 - HKLM\..\Run: [strtfx] "C:\Programme\T-Eumex KommunikationsCenter\strtfx.exe"
O4 - HKLM\..\Run: [sndml] "C:\Programme\T-Eumex KommunikationsCenter\sndml.exe"
O4 - HKLM\..\Run: [tI`UZLXjybsyybyb] C:\WINDOWS\System32\knjzwvtfjc.exe
O4 - HKLM\..\Run: [DeskAd Service] C:\Program Files\DeskAd Service\DeskAdServ.exe
O4 - HKLM\..\Run: [kalvsys] C:\windows\system32\kalvuev32.exe
O4 - HKLM\..\Run: [salm] c:\temp\salm.exe
O4 - HKLM\..\Run: [SAHAgent] C:\WINDOWS\System32\SahAgent.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [WinAmpAgent] C:\WINDOWS\msexploren.exe /i
O4 - HKLM\..\Run: [nvsvca32] C:\WINDOWS\nvsvca32.exe
O4 - HKLM\..\RunServices: [tI`UZLXjybsyybyb] C:\WINDOWS\System32\knjzwvtfjc.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: Vodafone Mobile Connect Card.lnk = C:\Programme\Vodafone\VodafoneMobileConnectCard\VodafoneMobileConnectCard.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = O:\Office\OSA9.EXE
O4 - Global Startup: Reality Fusion GameCam SE.lnk = ?
O4 - Global Startup: Ulead Kalendar Checker 4.0 SE.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://W:\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - W:\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{7041737E-C784-4B45-9D97-589E60114273}: NameServer = 192.168.117.2
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: InterBaseGuardian - Inprise Corporation - C:\PROGRA~1\Borland\INTERB~1\Bin\IBGuard.EXE
O23 - Service: InterBaseServer - Inprise Corporation - C:\PROGRA~1\Borland\INTERB~1\Bin\ibserver.exe
O23 - Service: ISSvc - Symantec Corporation - C:\Programme\Norton Internet Security\ISSVC.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

PS:

wenn ich den registrierungs-editor öffne, sehe ich ausschließlich verzeichnisse, die mit HKEY anfangen. HKLM ist dort nicht zu finden. (was auch immer das alles bedeutet, aber von HKLM habe ich in einigen Beiträgen gelesen, und hier sollte etwas gelöscht werden...)

ich bin schon sehr stolz auf mich, dass ich so weit gekommen bin. hoffentlich lerne ich hier ein wenig dazu, damit ich nicht mehr ganz so dumm dastehe!

dankeschön! wiebke

dartus 03.02.2005 15:47
Hallo Wiebke,

leider sieht es nicht gut aus.
Da ist noch jede Menge drauf, was da nicht hingehört.
Dies hier: "msexploren.exe" ist ein Backdoor http://startup.iamnotageek.com/srch-msexploren.exe.html
Die entsprechenden Empfehlung sollten Dir durch das Stöbern hier bekannt sein.

lg
dartus

wiebke 03.02.2005 16:00
hallo dartus,

habe bis jetzt ausschließlich nach searchmiracle gesucht. versuche gerade etwas über "backdoor" herauszubekommen, sagt mir leider gar nichts...

gibt es eine chance für mich und mein notebook außer neuinstallation?

danke dir, lerne jetzt über backdoor...

wiebke

wiebke 03.02.2005 16:12
hi dartus,

habe nur schlechtes gelesen, bedeutet: neuinstallation. da ich zur zeit aber nicht über meine installations-cds verfüge: kann ich noch eine weile so weiter arbeiten oder ist das risiko zu groß?

danke noch einmal!

Wiebke

dartus 03.02.2005 16:32
Hi Wiebke,

der ist mir nur beim schnellen Durchschauen aufgefallen.
Wenn Du noch einen "escan" machen würdest, wäre Deine Frage noch damit online zu gehen erledigt.
Denn bei jedem Online-Gang wird Dein System nachgefüttert.
Besorg Dir schnellst möglich die CD und geh nicht mehr online.

lg
dartus

wiebke 03.02.2005 16:36
danke, dann sage ich hier mal tschüss ;-)

sh..

liebe grüße von wiebke


Alle Zeitangaben in WEZ +1. Es ist jetzt 08:25 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27