Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   HJT-Log-Kann mir bitte wer helfen? (https://www.trojaner-board.de/14934-hjt-log-mir-bitte-helfen.html)

jupp01 05.03.2005 16:30
HJT-Log-Kann mir bitte wer helfen?
 
Logfile of HijackThis v1.99.1
Scan saved at 15:56:11, on 05.03.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\WinTools\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINNT\system32\rundll32.exe
C:\WINNT\system32\internat.exe
C:\Programme\WinTools\DeTeWe\Capictrl.exe
C:\WINNT\system32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Anton Meise\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\ANTONM~1\LOKALE~1\Temp\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\ANTONM~1\LOKALE~1\Temp\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {C6038FF8-705B-44DE-BF29-769256E7F4E4} - C:\WINNT\system32\lldf.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: GMX Toolbar - {2D1DDD38-CE4D-459b-A01C-F11BC92D5B69} - C:\Programme\WinInternet\GMX Toolbar\toolbar.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [routcnf] C:\Programme\WinTools\DeTeWe\routcnf.exe /capiactive
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [sp] rundll32 C:\DOKUME~1\ANTONM~1\LOKALE~1\Temp\se.dll,DllInstall
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: CAPIControl.lnk = C:\Programme\WinTools\DeTeWe\Capictrl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\WINAPP~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\WINAPP~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_fi...b893a4661cdf29
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/14174197...dxIE601_de.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2A0B24D9-D4FD-485A-8CA2-BC03DC820CA3}: NameServer = 195.50.140.252 195.50.140.250
O17 - HKLM\System\CS1\Services\Tcpip\..\{2A0B24D9-D4FD-485A-8CA2-BC03DC820CA3}: NameServer = 195.50.140.252 195.50.140.250
O18 - Filter: text/html - {FEF93E6F-56D9-42A8-97F8-C843C37F267D} - C:\WINNT\system32\lldf.dll
O18 - Filter: text/plain - {FEF93E6F-56D9-42A8-97F8-C843C37F267D} - C:\WINNT\system32\lldf.dll
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\WinTools\AVPersonal\AVWUPSRV.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINNT\system32\ZoneLabs\vsmon.exe

chaosman 05.03.2005 16:36
@jupp01

wechsle in den abgesicherten modus und fixe mit HJT

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\ANTONM~1\LOKALE~1\Temp\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\ANTONM~1\LOKALE~1\Temp\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {C6038FF8-705B-44DE-BF29-769256E7F4E4} - C:\WINNT\system32\lldf.dll
O4 - HKLM\..\Run: [sp] rundll32 C:\DOKUME~1\ANTONM~1\LOKALE~1\Temp\se.dll,DllInsta ll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_f...7b893a4661cdf29
O18 - Filter: text/html - {FEF93E6F-56D9-42A8-97F8-C843C37F267D} - C:\WINNT\system32\lldf.dll
O18 - Filter: text/plain - {FEF93E6F-56D9-42A8-97F8-C843C37F267D} - C:\WINNT\system32\lldf.dll

lösche danach manuell
C:\WINNT\system32\lldf.dll
C:\WINNT\web\related.htm
C:\DOKUME~1\ANTONM~1\LOKALE~1\Temp\se.dll
neu booten, neues HJT logfile posten

Ups, habe noch was vergessen,
http://www.trojaner-board.de/showthread.php?t=14366

Lutz war schneller ;)
chaosman

Lutz 05.03.2005 16:36
Moin jupp01

schau bitte mal hier nach -> http://www.trojaner-board.de/showthread.php?t=14366

jupp01 05.03.2005 19:12
Vielen Dank, Euch beiden! Habe soweit ein gutes Gefühl. Allerdings weiß ich grad nicht, was ich mit so nem backup-Ordner machen soll, der auf meinem desktop erschienen ist!?
Unten die angeforderte Logfile nach dem fix.



Logfile of HijackThis v1.99.1
Scan saved at 19:11:39, on 05.03.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\WinTools\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINNT\system32\internat.exe
C:\Programme\WinTools\DeTeWe\Capictrl.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINNT\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Anton Meise\Desktop\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: GMX Toolbar - {2D1DDD38-CE4D-459b-A01C-F11BC92D5B69} - C:\Programme\WinInternet\GMX Toolbar\toolbar.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [routcnf] C:\Programme\WinTools\DeTeWe\routcnf.exe /capiactive
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [sp] rundll32 C:\DOKUME~1\ANTONM~1\LOKALE~1\Temp\se.dll,DllInstall
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: CAPIControl.lnk = C:\Programme\WinTools\DeTeWe\Capictrl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\WINAPP~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\WINAPP~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/14174197...dxIE601_de.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2A0B24D9-D4FD-485A-8CA2-BC03DC820CA3}: NameServer = 195.50.140.252 195.50.140.250
O17 - HKLM\System\CS1\Services\Tcpip\..\{2A0B24D9-D4FD-485A-8CA2-BC03DC820CA3}: NameServer = 195.50.140.252 195.50.140.250
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\WinTools\AVPersonal\AVWUPSRV.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINNT\system32\ZoneLabs\vsmon.exe

Lutz 05.03.2005 19:57
Moin,

diesen Eintrag noch unbedingt fixen:
Zitat:
O4 - HKLM\..\Run: [sp] rundll32 C:\DOKUME~1\ANTONM~1\LOKALE~1\Temp\se.dll,DllInsta ll
Hast Du die von Chaosman genannten Dateien gelöscht?


Zitat:
Allerdings weiß ich grad nicht, was ich mit so nem backup-Ordner machen soll, der auf meinem desktop erschienen ist!?
Zitat:
C:\Dokumente und Einstellungen\Anwender\Desktop\HijackThis.exe
HijackThis legt immer in dem Verzeichnis, in dem es installiert ist ein Backup-Ordner an. Deswegen sollte man HijackThis besser in einem eigenen Ordner installieren, z.B. C:\HijackThis
Wenn alles noch läuft, kannst Du den Backup-Ordner löschen. Am Besten zunächst leeren mit HijackThis über Config -> Backups -> Delete oder Delete all


Alle Zeitangaben in WEZ +1. Es ist jetzt 20:59 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55