Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Warning you are in danger! (https://www.trojaner-board.de/14194-warning-you-are-danger.html)

Hijackfan 20.02.2005 18:25
Warning you are in danger!
 
Hallo!
Also ich habe das einen schwarzen hintergrund mit der der aufschrift warning! you are in danger anstelle des Desktop-Hintergrunbildes!
Ich habe schon ausgiebig gegoogelt und hier im forum gesucht aber trotz allen befolgten Anleitungen zum entfernen dieses Ungetüms hat bis jetzt nichts geholfen!

Ich benutze Spybot, CWShredder ,adaware,spysubtract und natürlich hijackthis !

Hab schon einiges mit der automatischen auswertung von hijackthis gelöscht aber trotz allem bleibt dieser Hintergrung!
Mein Hijackthis-Log ist diese:

Logfile of HijackThis v1.99.1
Scan saved at 18:25:28, on 20.02.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

O2 - BHO: DLMaxObj Class - {00000000-59D4-4008-9058-080011001200} - C:\WINDOWS\dlmax.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: CCHelper - {0CF0B8EE-6596-11D5-A98E-0003470BB48E} - C:\Programme\Pop-Up Stopper Pro\CCHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: encddcbp - {6CD34756-1480-0AD1-C7A1-DDA2CC4B5903} - C:\WINDOWS\System32\encddcbp.dll
O2 - BHO: (no name) - {988013BE-7AB7-48f4-992E-44C309D65A48} - C:\WINDOWS\System32\nlsman.dll
O2 - BHO: Cls - {CF021F40-3E14-23A5-CBA2-717765721316} - C:\WINDOWS\System32\wer1316.dll
O3 - Toolbar: Pa&nicware Pop-Up Stopper Pro - {B1E741E7-1E77-40D4-9FD8-51949B9CCBD0} - C:\Programme\Pop-Up Stopper Pro\popuppro.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\Smtray.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [kdx] C:\WINDOWS\kdx\KHost.exe
O4 - HKLM\..\Run: [wznhxzjegpk] C:\WINDOWS\System32\lysqpyr.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [PopupAgent] C:\Programme\Spytech Software\Spytech PopupAgent\PopupAgent.exe
O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\runsrv32.exe
O4 - HKLM\..\RunOnce: [Svr32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O4 - HKLM\..\RunOnce: [OLEDb Service] C:\WINDOWS\System32\runoledb32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Udoe] C:\Dokumente und Einstellungen\Lorenzo\Anwendungsdaten\crdm.exe
O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\runsrv32.exe
O4 - HKCU\..\RunOnce: [Svr32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O4 - HKCU\..\RunOnce: [OLEDb Service] C:\WINDOWS\System32\runoledb32.exe
O4 - Global Startup: ATI CATALYST System Tray.lnk = ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: SpySubtract.lnk = C:\Program Files\interMute\SpySubtract\SpySub.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary...o.cab32846.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary...n.cab31267.cab
O18 - Filter: text/html - {EE7A946E-61FA-4979-87B8-A6C462E6FA62} - C:\WINDOWS\httpfilter.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
O23 - Service: RadClock - Unknown owner - C:\WINDOWS\system32\RadClock.exe
O23 - Service: Security Agent (scagent) - Unknown owner - C:\WINDOWS\system32\scagent.exe" start (file missing)
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

Ich hoffe euch fällt was ein wie ich das Ding entfernen kann!
Vielen Dank im vorraus!
MFG Hijackthisfan

Cidre 20.02.2005 19:42
Hallo,

hier findest du einige Lösungsvorschläge zu deinem Problem -> http://www.trojaner-board.de/search.php?searchid=206371.

Solltest du dennoch Probleme haben, dann poste nochmal.

Hijackfan 21.02.2005 10:26
der Link funktioniert leider nicht bei mir :confused:

chaosman 21.02.2005 10:37
@Hijackfan
versuche mal dieses

Schwarze Desktop und blinkt
(Zitat von Silverdrug)

1 - Taskleiste Rechtsklick - Eigenschaften.
2 - Taskleiste automatisch ausblenden Aktivieren.
3 - Man kann nun einen kleinen Teil des alten Desktop hintergrundes sehen, da wo die Taskleiste früher war.
4 - Rechtsklick - Eigenschaften auf den kleinen alten Desktop ausschnitt.
5 - Dektop - Desktop anpassen
6 - Web-Karteikarte auswählen
7 - Eintrag "Security" Löschen


chaosman

raman 21.02.2005 12:38
Das mit der Taskleiste ist nicht unbedingt noetig. Das funktioniert auch, wenn man mit der Maus nach ganz oben zum Bildschirmrand faehrt und dort die recht Maustaste drueckt.

Wenn man diese Art von "Hintergrundbild" von einem Downloader aufgezungen bekommt, ist meissten noch eine Menge mehr installiert worden. Interessanter Weise ist einiges dieser unerwuenschten Software via Systemsteuerung/Software zu entfernen. Meistens sind es die Eintraege ohne Datums und Groessenanzeige.

Danach sollte man Adaware und Spybot, wenn sie aktualisiert wurden, das System pruefen und reinigen lassen. Zuletzt noch einen Test mit eScan und dann ein neues Hijackthis log posten, welches schon viel besser aussehen duerfte.

Kleiner Nachtrag: Man kann alles also Spybot, Adaware und Escan sehr schooen auf einem anderen Rechner installieren, updaten und dann die entsprechenden Verzeichnisse, also das Bases Verzeichniss fuer esCan(oder eine aktuelle Version von der Homepage, die taeglich aktualisiert wird), das Verzeichniss %Laufwerk%\programme\Spybot - Search & Destroy fuer Spybot und zuletzt das Verzeichniss %Laufwerk%\programme\Ad-Aware SE Personal fuer Adaware auf CD brennen, oder auf einen USB Stick kopieren und damit dann den infizierten Rechner im abgesicherten Modus pruefen lassen.

Hijackfan 21.02.2005 13:57
Ok ich habe den "security-Eintrag" gelöscht, und zwar über Systemsteuerung-Anzeige. Dann habe ich noch das häckchen bei "Desktopelemente fixieren" aktiviert damit der security Eintrag nicht nochmal erscheint.
Folge: Mein normales Hintergrundbild erschien wieder :aplaus:

Aber: nach einem neustart war alles wieder so wie am Anfang. :heulen:
D.h der security-Eintrag war wieder da trotz fixierung.

Ich verstehe das nicht??Wie kann das wiederkommen?

Haui45 21.02.2005 14:08
Das Log schaut katastrophal aus. Führe deshalb dies aus:

Scanne dein System bitte mit eScan im abgesicherten Modus (Anleitung genau befolgen!) und poste was gefunden wird. Am einfachsten machst du das so:
Direkt nach dem Scan, den Inhalt des Fensters "Virus Log Information" kopieren (Strg+A alles markieren; Strg+C kopieren) und dann in einer Textdatei abspeichern (z.B. mit Wordpad o.ä.). Dazu den Inhalt mit Strg+V in das Textverarbeitungsprogramm einfügen und das Dokument dann abspeichern. Nach dem Neustart kannst du die Infos aus der Datei dann einfach ins Forum kopieren.

Poste außerdem folgendes aus der mwav.log (steht ganz am Ende):
Zitat:
Total Number of Files Scanned:
Total Number of Virus(es) Found:
Total Number of Disinfected Files:
Total Number of Files Renamed:
Total Number of Deleted Files:
Total Number of Errors:
Time Elapsed:

*edit* raman hat ja eScan schon vorgeschlagen, hab ich übersehen.... :headbang:

Hijackfan 21.02.2005 18:01
Habe gerade fertig gescannt!Habe alles im abgesicherten modus und exakt nach anleitung durchgeführt.
Da sage und schreibe 42 Viren gefunden wurden denke ich das es sehr viel arbeit wird diese zu entfernen.Leider habe ich meine Windows CD verloren was mir eine Formatierung unmöglich macht....also muss ich alle viren löschen, nur wie?
hier erstmal die zusammenfassung:

Mon Feb 21 17:36:01 2005 => Total Files Scanned: 2891
Mon Feb 21 17:36:01 2005 => Total Virus(es) Found: 42
Mon Feb 21 17:36:01 2005 => Total Disinfected Files: 0
Mon Feb 21 17:36:01 2005 => Total Files Renamed: 0
Mon Feb 21 17:36:01 2005 => Total Deleted Files: 0
Mon Feb 21 17:36:01 2005 => Total Errors: 2
Mon Feb 21 17:36:01 2005 => Time Elapsed: 00:03:34
Mon Feb 21 17:36:01 2005 => Virus Database Date: 2005/02/02
Mon Feb 21 17:36:01 2005 => Virus Database Count: 116807

und hier die Virus-Log:

File C:\WINDOWS\System32\encddcbp.dll infected by "Backdoor.Win32.Afcore.bv" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\dlmax.dll infected by "not-a-virus:AdWare.BiSpy.t" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\encddcbp.dll infected by "Backdoor.Win32.Afcore.bv" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\nlsman.dll infected by "Trojan-Dropper.Win32.Small.mk" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\wer1316.dll infected by "Backdoor.Win32.Agent.en" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\lysqpyr.exe infected by "Trojan.Win32.Agent.ay" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\runsrv32.exe infected by "Trojan-Dropper.Win32.Xaw.b" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\spoolsrv32.exe infected by "Trojan.Win32.Small.cr" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Lorenzo\ANWEND~1\crdm.exe infected by "not-a-virus:AdWare.PurityScan.v" Virus. Action Taken: No Action Taken.
File c:\windows\system32\vcsystem.exe infected by "Trojan-Downloader.Win32.Agent.fc" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\scagent.exe infected by "Trojan.Win32.Scagent.h" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\fierm.exe infected by "Trojan-Dropper.Win32.Tibsis.a" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\httpfilter.dll infected by "Trojan.Win32.Scagent.j" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\httpfilter2.dll infected by "Trojan.Win32.Scagent.j" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\httpfilter2.dll1 infected by "Trojan.Win32.Scagent.j" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\installer[p2p-10254,de].exe infected by "not-a-virus:PornWare.Dialer.Star" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\podnl1.exe infected by "Trojan-Downloader.Win32.Small.il" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\rocky2.exe infected by "Trojan-Spy.Win32.Briss.h" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\satmat.exe infected by "Trojan-Downloader.Win32.Stubby.d" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\scins.exe infected by "Trojan.Win32.Scagent.f" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\sr.dll infected by "Trojan-Downloader.Win32.Agent.ai" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\toolbar.exe infected by "Trojan.Win32.LowZones.f" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\UnstSA2.exe infected by "Trojan-Dropper.Win32.Delf.z" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\winln.exe infected by "Trojan-Downloader.Win32.Agent.dr" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\_h.html infected by "not-a-virus:AdWare.Bekser.a" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\_s.html infected by "not-a-virus:AdWare.Bekser.a" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\appsys.exe infected by "Trojan-Clicker.Win32.Delf.am" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\dktibs.exe infected by "Trojan-Downloader.Win32.Delf.dg" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\ehitzrw.dll infected by "not-a-virus:AdWare.PurityScan.ak" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\f98er24s8u.dll infected by "Trojan-Clicker.Win32.Agent.au" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\fierm.exe infected by "Trojan-Dropper.Win32.Tibsis.a" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\myin.hta infected by "Trojan.VBS.Seeker.d" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\nls2004xp.exe infected by "Trojan-Dropper.Win32.Small.mk" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\ploint.exe infected by "Trojan-Downloader.Win32.Small.il" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\runsrv32.dll infected by "Trojan-Clicker.Win32.Spyre.b" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\spm1316.dll infected by "Backdoor.Win32.Agent.en" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\StopziIlaBHO.dll infected by "Trojan.Win32.StartPage.np" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\szrec.dll infected by "Trojan.Win32.StartPage.np" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\szrec32.dll infected by "Trojan-Clicker.Win32.Agent.au" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\tnsdrv32.exe infected by "Trojan.Win32.Small.cr" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\windrv.dll infected by "Trojan.Win32.Scagent.h" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\windrv.dll1 infected by "Trojan.Win32.Scagent.h" Virus. Action Taken: No Action Taken.

nun,wie soll ich den ganzen mist loswerden???? :confused:

chaosman 21.02.2005 18:06
@Hijackfan
bei dieser sammlung hilft nur noch neuaufsetzen (FormatC)
hier eine anleitung
http://www.trojaner-board.de/showpos...28&postcount=2


sry
chaosman

Hijackfan 21.02.2005 18:19
Gibt es keine Hoffnung?Ich könnte doch alles manuell löschen?

Das problem ist halt das ich keine windows CD mehr habe.... :(
Was würde denn Win XP zurzeit kosten?

chaosman 21.02.2005 18:25
@Hijackfan
das problem sind die 2 backdoors,
lese mal nach was backdoors können
http://www.mathematik.uni-marburg.de...ompromise.html


guckst du hier
http://www.google.com/search?q=Win+X...utf-8&oe=utf-8

chaosman

Haui45 21.02.2005 18:41
Zitat:
Mon Feb 21 17:36:01 2005 => Total Files Scanned: 2891
Zudem hast du dich nicht an die Anleitung gehalten, also dürfte sich noch viel mehr Malware auf deinem System befinden.

Hijackfan 21.02.2005 18:41
Ok sie sind gefährlich,aber was ist wenn ich diese backdoors im abgesichertem modus entferne?

Haui45 21.02.2005 18:44
Über die Entfernung von Schädlingen.


Alle Zeitangaben in WEZ +1. Es ist jetzt 22:08 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19