Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   großes problem! ist wer da? (https://www.trojaner-board.de/13499-grosses-problem.html)

freshsurfer 08.02.2005 21:33
großes problem! ist wer da?
 
hallo
plag mich schon seit 2 tagen mit dem rum... das übliche , beim ie startseite blank und suchseite, hab schon alles mögliche probiert alle möglichen programme aber kommt immer wieder kriegs einfach nicht mehr weg..
wär schön wenn mir jemand nen tipp geben könnte... riesen dank im voraus

Logfile of HijackThis v1.99.0
Scan saved at 21:28:28, on 08.02.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Dassault Systemes\B10\intel_a\code\bin\CATSysDemon.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\sysyt.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\WINDOWS\system32\javapv32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Dokumente und Einstellungen\Walter.HOME\Desktop\Programme\spyware schutz\hijackthis_199\HijackThis.exe
C:\Programme\Outlook Express\msimn.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\npfkf.dll/sp.html#12345
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\npfkf.dll/sp.html#12345
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\npfkf.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\npfkf.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\npfkf.dll/sp.html#12345
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\npfkf.dll/sp.html#12345
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\npfkf.dll/sp.html#12345
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: (no name) - {B7A98462-DCAE-3EAB-3DD8-2CFD03210DA0} - C:\WINDOWS\system32\ipam.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn0\ycomp5_5_5_0.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [javapv32.exe] C:\WINDOWS\system32\javapv32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Programme\Yahoo!\Messenger\yhexbmes0521.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Programme\Yahoo!\Messenger\yhexbmes0521.dll
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yaho...st20040510.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab
O16 - DPF: {B9191F79-5613-4C76-AA2A-398534BB8999} (YAddBook Class) - http://us.dl1.yimg.com/download.yaho...tocomplete.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{81E093B2-B775-4543-94A3-673D31C2A734}: NameServer = 213.33.99.70,80.120.17.70
O23 - Service: Backbone Service - Dassault Systemes - C:\Programme\Dassault Systemes\B10\intel_a\code\bin\CATSysDemon.exe
O23 - Service: Macromedia Licensing Service - Unknown - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Network Security Service (NSS) - Unknown - C:\WINDOWS\system32\sysyt.exe

freshsurfer 08.02.2005 21:36
egal wie oft ich fixe sie kommen immer wieder? hab sie auch schon händisch im abgesicherten modus gelöscht aber keine chance?!?

chaosman 08.02.2005 21:39
@freshsurfer
lasse diese dateien
C:\WINDOWS\system32\sysyt.exe
C:\WINDOWS\system32\javapv32.exe
hier überprüfen
http://virusscan.jotti.org/de
und poste das ergebnis
chaosman

freshsurfer 08.02.2005 21:41
werd ich gleich nochmal machen danke
vor allem das zweite hätt ich eh schon mal gelöscht

freshsurfer 08.02.2005 21:44
Service load:
0% 100%
File: sysyt.exe
Status:
INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
Packers detected:
PE-CRYPT.SQR, UPX

AntiVir
TR/StartPage.TJ (1.07 seconds taken)
Avast
No viruses found (4.62 seconds taken)
AVG Antivirus
No viruses found (2.29 seconds taken)
BitDefender
No viruses found (1.02 seconds taken)
ClamAV
No viruses found (1.03 seconds taken)
Dr.Web
BackDoor.Inpru (1.54 seconds taken)
F-Prot Antivirus
No viruses found (0.07 seconds taken)
Fortinet
No viruses found (1.39 seconds taken)
Kaspersky Anti-Virus
Backdoor.Win32.Small.dc (2.04 seconds taken)
mks_vir
No viruses found (1.07 seconds taken)
NOD32
No viruses found (2.16 seconds taken)
Norman Virus Control
No viruses found (3.83 seconds taken)

freshsurfer 08.02.2005 21:45
Service load:
0% 100%
File: javapv32.exe
Status:
INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
Packers detected:
None

AntiVir
No viruses found (1.08 seconds taken)
Avast
No viruses found (3.31 seconds taken)
AVG Antivirus
No viruses found (3.63 seconds taken)
BitDefender
No viruses found (1.33 seconds taken)
ClamAV
No viruses found (1.70 seconds taken)
Dr.Web
No viruses found (1.23 seconds taken)
F-Prot Antivirus
No viruses found (0.17 seconds taken)
Fortinet
No viruses found (1.62 seconds taken)
Kaspersky Anti-Virus
Trojan-Downloader.Win32.Small.ajr (2.76 seconds taken)
mks_vir
Trojan.Downloader.Small.Ajr (0.94 seconds taken)
NOD32
No viruses found (1.60 seconds taken)
Norman Virus Control
No viruses found (4.42 seconds taken)

freshsurfer 08.02.2005 21:46
so da sind die beiden ergebnisse .. gehören alle beide weg, ist wohl gescheiter ich lösch die 2 auch im abgesicherten modus oder?

Chris14 08.02.2005 21:47
du hast einen backdoor auf deinem system. dein system ist kompromittiert; es ist nicht mehr vertrauenswürdig. installiere windows neu und beachte diese Anleitung

~edit~ hab mich vom namen backdoor verleiten lassen, ist also falsch ~edit~

chaosman 08.02.2005 21:48
@freshsurfer
und der andere datei?
chaosman

freshsurfer 08.02.2005 21:48
gibt´s eigentlich ein programm dass diese dateien auch findet?
danke chaosman

freshsurfer 08.02.2005 21:50
@chris ... werd ich sowieso machen aber hätt gehofft es ist keiner und ich brauch´s nicht neu aufsetzen

chaosman 08.02.2005 21:50
@freshsurfer
wo bleibt der jotti auswertung vom
C:\WINDOWS\system32\javapv32.exe

chaosman

freshsurfer 08.02.2005 21:51
hab ich beide gepostet direkt übereinander

chaosman 08.02.2005 21:53
@freshsurfer
ich sehe nur eine in der auswertung
der 2e fehlt
poste es bitte
chaosman

freshsurfer 08.02.2005 21:53
@chris.. doch kein backdoor?

freshsurfer 08.02.2005 21:55
kein problem hier ist die 2. .. die ander ist glaub ich schon auf seite 2 aber egal

Service load:
0% 100%
File: javapv32.exe
Status:
INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
Packers detected:
None

AntiVir
No viruses found (1.08 seconds taken)
Avast
No viruses found (3.31 seconds taken)
AVG Antivirus
No viruses found (3.63 seconds taken)
BitDefender
No viruses found (1.33 seconds taken)
ClamAV
No viruses found (1.70 seconds taken)
Dr.Web
No viruses found (1.23 seconds taken)
F-Prot Antivirus
No viruses found (0.17 seconds taken)
Fortinet
No viruses found (1.62 seconds taken)
Kaspersky Anti-Virus
Trojan-Downloader.Win32.Small.ajr (2.76 seconds taken)
mks_vir
Trojan.Downloader.Small.Ajr (0.94 seconds taken)
NOD32
No viruses found (1.60 seconds taken)
Norman Virus Control
No viruses found (4.42 seconds taken)

soll ich die mit hijackthis fixen oder manuell löschen

chaosman 08.02.2005 21:55
@freshsurfer
http://www.sophos.de/virusinfo/analy...ojiefeatu.html
wo bleibts?


chaosman

freshsurfer 08.02.2005 21:57
bin da... soll ich´s nach der anleitung machen, also bzgl trojaner?

Lutz 08.02.2005 22:00
@chaosman,
schau mal in Post Nr. 6 ;)

freshsurfer 08.02.2005 22:02
Zitat:
Zitat von Lutz
@chaosman,
schau mal in Post Nr. 6 ;)

ist da noch was besonderes? so gut kenn ich mich auch nicht aus... weiß dass ich es löschen muss hab´s auch grad nochmal mit hijackthis gefixt aber sonst?

freshsurfer 08.02.2005 22:03
ok ich hab mal wieder alles gefixt... werd jetzt schnell mal neustarten?
muss ich sonst noch was machen?
schon mal besten danke an alle in dem thread!!!

chaosman 08.02.2005 22:05
@freshsurfer
die O15 einträge bekommst du hiermit weg
http://www.trojaner-board.de/showthr...9&page=4&pp=10
(das posting vom Lutz durchführen)

wechsle danach in den abgesicherten modus und fixe mit HJT

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\npfkf.dll/sp.html#12345
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\npfkf.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\npfkf.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\npfkf.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\npfkf.dll/sp.html#12345
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\npfkf.dll/sp.html#12345
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\npfkf.dll/sp.html#12345
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {B7A98462-DCAE-3EAB-3DD8-2CFD03210DA0} - C:\WINDOWS\system32\ipam.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yah...nst20040510.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab
O16 - DPF: {B9191F79-5613-4C76-AA2A-398534BB8999} (YAddBook Class) - http://us.dl1.yimg.com/download.yah...utocomplete.cab
O23 - Service: Network Security Service (NSS) - Unknown - C:\WINDOWS\system32\sysyt.exe
lösche danach manuell
C:\WINDOWS\system32\sysyt.exe
C:\WINDOWS\web\related.htm
C:\WINDOWS\system32\ipam.dll
C:\WINDOWS\system32\sysyt.exe
C:\WINDOWS\system32\javapv32.exe
neu booten, neues HJT logfile posten
chaosman

Lutz 08.02.2005 22:06
ich meinte chaosman, weil er 'verzweifelt' nach dem Ergebnis der 2. Datei suchte.... ;)

Zu Deinem Problem:
Du kannst Dein System mal mit eScan scannen. Die neueren Versionen löschen allerdings nicht mehr, sondern finden Malware nur noch...
Download-Trojaner sind 'heikel', weil Du nicht wissen kannst, was evtl. schon heruntergeladen wurde.
Sicherer ist eine Neuinstallation allemal.

chaosman 08.02.2005 22:09
@Lutz

N'SP
hatte ich doch glatt übersehen :o

THX

chaosman:lach:

freshsurfer 08.02.2005 22:12
so bin wieder da.. hab 2mal neustarten müssen... das blöde wenn ich die 2 programme fixe ist dass es mir jedesmal die einstellungen für die dns server löscht?? und dann komm ich überhaupt nicht mehr ins internet außer halt neu konfigurieren

freshsurfer 08.02.2005 22:14
escan hab ich auch schon ein paar mal durchlaufen lassen und dann händisch gelöscht.. werd mal das machen was chaosman krixelt danke

chaosman 08.02.2005 22:17
EOD

chaosman

freshsurfer 08.02.2005 22:17
so die 015 sind mal weg thanX@ chaosman und lutz ... werd mal das andere nochmal alles machen danke :party:

freshsurfer 08.02.2005 22:18
Zitat:
Zitat von chaosman
EOD

chaosman
was meinst du mit EOD?

Chris14 08.02.2005 22:19
EOD = End of discussion (ende der diskussion)

freshsurfer 08.02.2005 22:30
so bin wieder da... das sysyt.exe hat sich nicht löschen lassen ? probier schnell mal den ie

freshsurfer 08.02.2005 22:32
vielen dank nochmal!!! :party:
werd mich morgen nochmal mit dem sysyt.exe rumspielen.. ne schöne nacht nocht!

freshsurfer 08.02.2005 22:52
funkt schon wieder nicht der blöde ie ... keine ahnung was da los ist, kommt immer wieder rauf?

freshsurfer 09.02.2005 12:19
hallöchen
hab gestern das gemacht was so gepostet wurde... hab zuerst grad nen scan mit eScan gemacht, und siehe da, auf einmal waren 20 neue viren bzw infizierte dateien am system??


Alle Zeitangaben in WEZ +1. Es ist jetzt 09:02 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19