Trojaner-Board - Auswertung + Wie bekomm ich das dann weg

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Auswertung + Wie bekomm ich das dann weg (https://www.trojaner-board.de/14680-auswertung-bekomm-dann-weg.html)

Auswertung + Wie bekomm ich das dann weg

Könnt ihr mir bitte helfen bei der auswertung von meinem log :+

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\Shorty\LOKALE~1\Temp\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\Shorty\LOKALE~1\Temp\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {41998B8C-B676-4C5F-8BD2-E43EEFFE31D5} - C:\WINDOWS\System32\cidm.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [PowerStrip] c:\programme\powerstrip\pstrip.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [sp] rundll32 C:\DOKUME~1\Shorty\LOKALE~1\Temp\se.dll,DllInstall
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [Steam] C:\Programme\Steam\Steam.exe -silent
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Ulead Kalendar Checker 4.0 SE.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/Ag...ridge-c420.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{BC49F3BD-F5B4-40D4-9B99-9211360833F1}: NameServer = 192.168.69.254
O18 - Filter: text/html - {B3710376-8228-4655-94DA-5C9D38119DB8} - C:\WINDOWS\System32\cidm.dll
O18 - Filter: text/plain - {B3710376-8228-4655-94DA-5C9D38119DB8} - C:\WINDOWS\System32\cidm.dll
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

und was muss ich dann machen wenn ich weiß was ich weg machen muss !?

mfg shorty

Hallo shorty,

Dein Log-File ist nicht komplett. Poste bitte alles.

dartus

Logfile of HijackThis v1.99.1
Scan saved at 08:41:09, on 01.03.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\ICQLite\ICQLite.exe
C:\programme\powerstrip\pstrip.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Steam\Steam.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Ventrilo\Ventrilo.exe
C:\Dokumente und Einstellungen\Shorty\Desktop\Gamers.IRC\mirc.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Shorty\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\Shorty\LOKALE~1\Temp\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\Shorty\LOKALE~1\Temp\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {41998B8C-B676-4C5F-8BD2-E43EEFFE31D5} - C:\WINDOWS\System32\cidm.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [PowerStrip] c:\programme\powerstrip\pstrip.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [sp] rundll32 C:\DOKUME~1\Shorty\LOKALE~1\Temp\se.dll,DllInstall
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [Steam] C:\Programme\Steam\Steam.exe -silent
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Ulead Kalendar Checker 4.0 SE.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/Ag...ridge-c420.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{BC49F3BD-F5B4-40D4-9B99-9211360833F1}: NameServer = 192.168.69.254
O18 - Filter: text/html - {B3710376-8228-4655-94DA-5C9D38119DB8} - C:\WINDOWS\System32\cidm.dll
O18 - Filter: text/plain - {B3710376-8228-4655-94DA-5C9D38119DB8} - C:\WINDOWS\System32\cidm.dll
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Hallo Shorty,

Zitat:

Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Bei einem upgedateten System wäre es nun einfach.

Führe bitte dies mal aus:
1. Downloade Dir escan und befolge genau diese Anleitung (dauert etwa eine Stunde),
2. starte nach dem Scan wieder in den normalen Modus,
3. öffne die Datei "mwav.log", klicke auf "bearbeiten" danach auf "suchen"
4. gebe dann "infected" ein,
5. suche weiter bei Treffern, markiere diese und kopiere sie ins Forum,
6. neben den Treffern auch das Gesamtergebnis (befindet sich ganz unter im Logfile) posten.

Beispiel:
Wed Feb 02 19:48:56 2005 => Total Files Scanned:
Wed Feb 02 19:48:56 2005 => Total Virus(es) Found:
.
.
.
.

dartus

Tue Mar 01 15:06:06 2005 => File C:\WINDOWS\Downloaded Program Files\AdToolsX.dll infected by "not-a-virus:AdWare.WinAD.x" Virus. Action Taken: No Action Taken.

Tue Mar 01 15:21:29 2005 => File D:\Mp3\Raggea, dance hall, hip hop\kmd171_de.exe infected by "not-a-virus:AdWare.Cydoor" Virus. Action Taken: No Action Taken.

Tue Mar 01 14:36:33 2005 => File C:\Dokumente und Einstellungen\Shorty\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OX23SH6R\bridge-c420[1].cab infected by "not-a-virus:AdWare.WinAD.x" Virus. Action Taken: No Action Taken.

Tue Mar 01 14:16:45 2005 => File C:\Dokumente und Einstellungen\Shorty\Lokale Einstellungen\Temporary Internet Files\Content.IE5\2VAVQDMV\a675ae7b[1].js infected by "Trojan-Downloader.JS.Small.af" Virus. Action Taken: No Action Taken.

Tue Mar 01 13:52:32 2005 => File C:\DOKUME~1\Shorty\LOKALE~1\TEMPOR~1\Content.IE5\OX23SH6R\bridge-c420[1].cab infected by "not-a-virus:AdWare.WinAD.x" Virus. Action Taken: No Action Taken.

Tue Mar 01 13:34:07 2005 => File C:\DOKUME~1\Shorty\LOKALE~1\TEMPOR~1\Content.IE5\2VAVQDMV\a675ae7b[1].js infected by "Trojan-Downloader.JS.Small.af" Virus. Action Taken: No Action Taken.

Tue Mar 01 13:27:30 2005 => File C:\WINDOWS\System32\cidm.dll infected by "Trojan.Win32.StartPage.qr" Virus. Action Taken: No Action Taken.

Tue Mar 01 13:27:24 2005 => File C:\WINDOWS\System32\cidm.dll infected by "Trojan.Win32.StartPage.qr" Virus. Action Taken: No Action Taken.

Tue Mar 01 13:26:56 2005 => File C:\WINDOWS\System32\cidm.dll infected by "Trojan.Win32.StartPage.qr" Virus. Action Taken: No Action Taken.

Tue Mar 01 16:00:36 2005 => Total Files Scanned: 122157
Tue Mar 01 16:00:36 2005 => Total Virus(es) Found: 29
Tue Mar 01 16:00:36 2005 => Total Disinfected Files: 0
Tue Mar 01 16:00:36 2005 => Total Files Renamed: 0
Tue Mar 01 16:00:36 2005 => Total Deleted Files: 0
Tue Mar 01 16:00:36 2005 => Total Errors: 33
Tue Mar 01 16:00:36 2005 => Time Elapsed: 02:32:47
Tue Mar 01 16:00:36 2005 => Virus Database Date: 2005/03/01
Tue Mar 01 16:00:36 2005 => Virus Database Count: 119806

Hi,

lade Dir clearprog 1.4.1 final.

wechsel in den abgesicherten Modus bei deaktivierter Systemwiederherstellung (http://www.systemwiederherstellung-d...indows-xp.html )

Starte das Programm "clearprog" Häckchen bei "Alles Löschen" und auf "Löschen" klicken.
(Inhalt der temporären Ordner werden u.a. mitgeleert)
Weiter damit:

http://www.trojaner-board.de/showthr...ghlight=se.dll

die ebenfalls fixen:
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/A...bridge-c420.cab

Lösche gem. der Anleitung die entspr. Dateien
darüberhinaus diesen Ordner:

C:\WINDOWS\web

und alle als "infected" identifizierten Dateien, die nicht in "temp"-Ordner sind.

Wenn Du unter "C:\WINDOWS\Downloaded Program Files" die Datei nicht löschen kannst oder findest, so geht es:

Lade den Total Commander und nimm folgende Einstellung vor:
Total Commander öffnen -> Konfigurieren -> Einstellungen -> Ansicht -> Haken setzen bei "Versteckte und Systemdateien anzeigen (nur für Experten)" -> Ok

Navigiere im linken Fenster zum entsprechenden Ordner (markieren -> F8 -> JA) die beanstandete Datei

Öffne den Explorer-->Extras-->Ordneroptionen-->Ansicht-->Systendateien ausblenden "häckchen weg und "Alle Dateien und Ordner Anzeigen" anklicken

Neustart-->Systemwiederherstellung aktivieren und

WINDOWSUPDATE besuchen oder hier SP2 CD bestellen:

http://www.microsoft.com/windowsxp/d...e/default.mspx

Nochmal ein Logfile aber mit SP2 ;) posten.
Sonst hat die Mühe keinen Sinn.

dartus