Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   SpSeHjFix Beta 5 auf Windows ME (https://www.trojaner-board.de/15083-spsehjfix-beta-5-windows-me.html)

Brando 08.03.2005 16:48
SpSeHjFix Beta 5 auf Windows ME
 
Habe die neue Version von SpSeHjFix Beta 5 auf meinem Windows ME-System getestet. Das Tool scheint auch irgendetwas gefixt zu haben, denn seitdem kann ich Anstoss 3 wieder starten (vorher: Anstoss.exe ...blablabla... ungültige Seite). Dennoch sehen sowohl das Startdreck- als auch das HJT-Logfile genauso aus wie vorher und die se.dll wurde auch nicht gelöscht. Ist das normal?

Logfile of HijackThis v1.99.1
Scan saved at 16:43:32, on 08.03.2005
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 (5.50.4134.0100)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\EXPLORER.EXE
C:\PROGRAMME\FREEPDF\FREEPDFA.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\WF2K.EXE
C:\TREIBER\TASTATUR\LOGITECH\ITOUCH\ITOUCH.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\PROGRAMME\TELEDAT 150\IWATCH.EXE
C:\PROGRAMME\PALM DESKTOP\HOTSYNC.EXE
C:\TREIBER\MAUS\MOUSEWARE\SYSTEM\EM_EXEC.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\WBEM\WINMGMT.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
G:\ENTPACKT\HIJACKTHIS 1.99.1\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.freenet.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.freenet.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.freenet.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - E:\FLASHGET 1.40\JCCATCH.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\ADOBE ACROBAT READER 5.05\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: (no name) - {B662A0CE-66F9-491D-94B4-4C82178F6EFD} - C:\WINDOWS\SYSTEM\PMJLDA.DLL (file missing)
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - E:\FLASHGET 1.40\FGIEBAR.DLL
O4 - HKLM\..\Run: [FreePDFAssistent] C:\PROGRA~1\FreePDF\FreePDFA.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [WinFast_2K] C:\WINDOWS\SYSTEM\WF2K.EXE
O4 - HKLM\..\Run: [WinFast2KLoadDefault] rundll32.exe wf2kcpl.dll,DllLoadDefaultSettings
O4 - HKLM\..\Run: [zBrowser Launcher] C:\TREIBER\TASTATUR\LOGITECH\ITOUCH\iTouch.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [sp] rundll32 C:\WINDOWS\TEMP\SE.DLL,DllInstall
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - Startup: ISDNWatch.lnk = C:\Programme\Teledat 150\IWatch.exe
O4 - Startup: HotSync Manager.lnk = C:\Programme\Palm Desktop\HOTSYNC.EXE
O8 - Extra context menu item: Mit FlashGet laden - E:\FLASHGET 1.40\jc_link.htm
O8 - Extra context menu item: Alles mit FlashGet laden - E:\FLASHGET 1.40\jc_all.htm
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - E:\FLASHGET 1.40\FLASHGET.EXE
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - E:\FLASHGET 1.40\FLASHGET.EXE
O15 - Trusted IP range: 67.19.185.246 (HKLM)
O18 - Filter: text/html - {99698621-CF3F-4B17-A0FD-ABB8B42D7E6E} - C:\WINDOWS\SYSTEM\PMJLDA.DLL
O18 - Filter: text/plain - {99698621-CF3F-4B17-A0FD-ABB8B42D7E6E} - C:\WINDOWS\SYSTEM\PMJLDA.DLL

StartDreck (build 2.1.7 public stable) - 2005-03-08 @ 16:45:58 (GMT +01:00)
Platform: Windows ME (Win 4.90.3000 )
Internet Explorer: 5.50.4134.0100
Logged in as at BRANDO

»Registry
»Run Keys
»Current User
»Run
»RunOnce
»Default User
»Run
»RunOnce
»Local Machine
»Run
*FreePDFAssistent=C:\PROGRA~1\FreePDF\FreePDFA.exe
*LoadPowerProfile=Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
*NvCplDaemon=RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
*nwiz=nwiz.exe /install
*PCHealth=C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
*ScanRegistry=C:\WINDOWS\scanregw.exe /autorun
*SystemTray=SysTray.Exe
*TaskMonitor=C:\WINDOWS\taskmon.exe
*WinFast_2K=C:\WINDOWS\SYSTEM\WF2K.EXE
*WinFast2KLoadDefault=rundll32.exe wf2kcpl.dll,DllLoadDefaultSettings
*zBrowser Launcher=C:\TREIBER\TASTATUR\LOGITECH\ITOUCH\iTouch.exe
*QuickTime Task="C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
*Logitech Utility=Logi_MwX.Exe
*sp=rundll32 C:\WINDOWS\TEMP\SE.DLL,DllInstall
+OptionalComponents
+IMAIL
*Installed=1
+MAPI
*NoChange=1
*Installed=1
+MAPI
*NoChange=1
*Installed=1
»RunOnce
»RunServices
**StateMgr=C:\WINDOWS\System\Restore\StateMgr.exe
*SchedulingAgent=mstask.exe
*StillImageMonitor=C:\WINDOWS\SYSTEM\STIMON.EXE
»RunServicesOnce
»RunOnceEx
»RunServicesOnceEx
»File Associations (CR)
+.bat
*batfile="%1" %*
+.com
*comfile="%1" %*
+.exe
*exefile="%1" %*
+.hta
*htafile=C:\WINDOWS\SYSTEM\MSHTA.EXE "%1" %*
+.htm
*htmlfile="C:\PROGRA~1\INTERN~1\iexplore.exe" -nohome
+.html
*htmlfile="C:\PROGRA~1\INTERN~1\iexplore.exe" -nohome
+.js
*JSFile=C:\WINDOWS\WScript.exe "%1" %*
+.jse
*JSEFile=C:\WINDOWS\WScript.exe "%1" %*
+.pif
*piffile="%1" %*
+.reg
*regfile=regedit.exe "%1"
+.scr
*scrfile="%1" /S
+.txt
*txtfile=C:\WINDOWS\NOTEPAD.EXE %1
+.vbs
*VBSFile=C:\WINDOWS\WScript.exe "%1" %*
+.vbe
*VBEFile=C:\WINDOWS\WScript.exe "%1" %*
+.wsh
*WSHFile=C:\WINDOWS\WScript.exe "%1" %*
+.wsf
*WSFFile=C:\WINDOWS\WScript.exe "%1" %*
+.lnk
`lnkfile= [key or value does not exist]
»Browser Helper Objects (LM)
*Jccatch.IeCatch2.1/{A5366673-E8CA-11D3-9CD9-0090271D075B}
`InprocServer32=E:\FLASHGET 1.40\JCCATCH.DLL
*AcroIEHelper.AcroIEHlprObj.1/{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
`InprocServer32=E:\ADOBE ACROBAT READER 5.05\READER\ACTIVEX\ACROIEHELPER.OCX
*{B662A0CE-66F9-491D-94B4-4C82178F6EFD}
`InprocServer32=C:\WINDOWS\SYSTEM\PMJLDA.DLL
»Files
»Autostart Folders
»Current User
*C:\WINDOWS\Startmenü\Programme\Autostart\ISDNWatch.lnk
*C:\WINDOWS\Startmenü\Programme\Autostart\HotSync Manager.lnk
»Default User
*C:\WINDOWS\Startmenü\Programme\Autostart\ISDNWatch.lnk
*C:\WINDOWS\Startmenü\Programme\Autostart\HotSync Manager.lnk
»Local Machine
»INI-Files
»WIN.INI\[windows]
*LOAD=
*RUN=
»SYSTEM.INI\[boot]
*SHELL=Explorer.exe
»Text Files
*C:\msdos.sys
*C:\config.sys
*C:\autoexec.bat
*C:\WINDOWS\wininit.ini
*C:\WINDOWS\wininit.bak
*C:\WINDOWS\winstart.bat
*C:\WINDOWS\command\cmdinit.bat
*C:\WINDOWS\hosts
»System/Drivers
»Running Processes
+FF8F0F29=C:\WINDOWS\SYSTEM\KERNEL32.DLL
+FFFFBD15=C:\WINDOWS\SYSTEM\MSGSRV32.EXE
+FFFFDD55=C:\WINDOWS\SYSTEM\mmtask.tsk
+FFFFD789=C:\WINDOWS\SYSTEM\MPREXE.EXE
+FFFE2485=C:\WINDOWS\SYSTEM\MSTASK.EXE
+FFFE1B29=C:\WINDOWS\SYSTEM\STIMON.EXE
+FFFE82F1=C:\WINDOWS\EXPLORER.EXE
+FFFD59DD=C:\PROGRAMME\FREEPDF\FREEPDFA.EXE
+FFFDD2A9=C:\WINDOWS\SYSTEM\SYSTRAY.EXE
+FFFDF721=C:\WINDOWS\TASKMON.EXE
+FFFC1C09=C:\WINDOWS\SYSTEM\WF2K.EXE
+FFFC87C9=C:\TREIBER\TASTATUR\LOGITECH\ITOUCH\ITOUCH.EXE
+FFFCDC09=C:\WINDOWS\SYSTEM\DDHELP.EXE
+FFFB2FA9=C:\WINDOWS\RUNDLL32.EXE
+FFFB2059=C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
+FFFCC895=C:\PROGRAMME\TELEDAT 150\IWATCH.EXE
+FFFB5D3D=C:\PROGRAMME\PALM DESKTOP\HOTSYNC.EXE
+FFFB8999=C:\TREIBER\MAUS\MOUSEWARE\SYSTEM\EM_EXEC.EXE
+FFFD9639=C:\WINDOWS\SYSTEM\WMIEXE.EXE
+FFF9DFD5=C:\WINDOWS\SYSTEM\WBEM\WINMGMT.EXE
+FFF90621=C:\WINDOWS\SYSTEM\SPOOL32.EXE
+FFF6F771=C:\WINDOWS\SYSTEM\RNAAPP.EXE
+FFF9ECED=C:\WINDOWS\SYSTEM\TAPISRV.EXE
+FFF6BF91=C:\WINDOWS\SYSTEM\PSTORES.EXE
+FFFB34D9=C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
+FFF63005=G:\ENTPACKT\STARTDRECK\STARTDRECK.EXE
»NT Services
»Application specific

Lutz 08.03.2005 17:04
Hi Brando,
(ich kann mich nur ganz kurz zwischendurch einmal melden - bin gleich wieder weg...)

Der wirklich 'böse' Part im Startdreck-Log ist nicht mehr da.

1.) Bitte poste einmal den Inhalt von dem Log, welches das Tool erstellt hat. 2.)Starte es dann noch einmal. Bekommst Du dann denn Hinweis #Nicht Infiziert# ?
3.) Wenn Du die bekannten Einträge mit HijackThis noch einmal fixt, kommen die dann auch wieder nach einem Neustart?

Brando 10.03.2005 20:48
Hallo Lutz,

konnte Dir leider aus terminlichen Gründen erst jetzt antworten.

1. SpSehjFix.log v. 08.03.2005:

07.03.2005 21:03:31 SPSeHjFix 2nd Step
07.03.2005 21:03:31 RunServicesOnce-Key: (edited)
07.03.2005 21:03:37 Cleaned
08.03.2005 16:32:48 SPSeHjFix started v1.01
08.03.2005 16:32:48 OS: 4
08.03.2005 16:32:48 Bad-Dll(IEP): (not found)
08.03.2005 16:32:48 BHO-DLL: (not found)
08.03.2005 16:32:48 UBF: 6
08.03.2005 16:32:48 UBB: 2
08.03.2005 16:32:48 UBR: 17
08.03.2005 16:32:48 Bad IE-pages found:
08.03.2005 16:32:48 Stealth-String not found:
08.03.2005 16:32:48 Not infected->END
08.03.2005 16:33:11 SPSeHjFix started v1.01
08.03.2005 16:33:11 OS: 4
08.03.2005 16:33:11 Bad-Dll(IEP): (not found)
08.03.2005 16:33:11 BHO-DLL: (not found)
08.03.2005 16:33:11 UBF: 6
08.03.2005 16:33:11 UBB: 2
08.03.2005 16:33:11 UBR: 17
08.03.2005 16:33:11 Bad IE-pages found:
08.03.2005 16:33:11 Stealth-String not found:
08.03.2005 16:33:11 Not infected->END

2. Ja, ich erhalte die Medlung "nicht infiziert".

3. Nein, bisher sind die Einträge nicht wieder aufgetaucht.

Meine Vorgehensweise:

1. Desinfektion mit SpSeHjFix Beta 5
2. Löschen der se.dll unter DOS und
---cut---
deltree /y C:\WINDOWS\ALLGTM.TXT
---cut---
3. Fixen der bösen Einträge mit HJT
4. Entfernen aller Einträge von allgtm.txt, se.dll und pmjlda.dll aus der Registry

Bis hierhin erstmal vielen Dank (man weiss ja nie?!) für die Unterstützung!


Alle Zeitangaben in WEZ +1. Es ist jetzt 04:08 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131