Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Komm nicht weiter (Logfile Analyse bitte) (https://www.trojaner-board.de/15233-komm-logfile-analyse-bitte.html)

Bhone 11.03.2005 14:41
Komm nicht weiter (Logfile Analyse bitte)
 
Hallo,

ich bin ja eigentlich einer, der erst die Suchfunktion benutzt und das Problem somit selbst löst... aber in dem Fall komm ich echt nicht weiter....
Hier mal das Log:

Logfile of HijackThis v1.99.1
Scan saved at 14:20:41, on 11.03.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\ATI2EVXX.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\SYSTEM\APIWA32.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE <-- Scanner, kann's wohl nich sein...
C:\PROGRAMME\MICROSOFT HARDWARE\MOUSE\POINT32.EXE <-- Maustreiber, war auch schon vorher da
C:\WINDOWS\SYSTEM\IRMON.EXE <-- Infrarot Adapter
C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE <-- Firewall
C:\PROGRAMME\RSM\RSM\RSM.EXE <-- Kleiner Helfer, hab ich schon seit Jahren, der is also auch unschuldig
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\JAVAPW.EXE <-- bößer HiJacker... so viel hab ich auch schon rausgefunden...
C:\WINDOWS\DESKTOP\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system\lhqhi.dll/sp.html#44768
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system\lhqhi.dll/sp.html#44768
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system\lhqhi.dll/sp.html#44768
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system\lhqhi.dll/sp.html#44768
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system\lhqhi.dll/sp.html#44768
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system\lhqhi.dll/sp.html#44768
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system\lhqhi.dll/sp.html#44768
R3 - Default URLSearchHook is missing
(Alle R1, R0 und R3 hab ich jedesmal gefixt, hat aber trotzdem nicht geklappt)
F1 - win.ini: run=hpfsched
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: Class - {1BFA8286-5407-CA22-83F1-B5897B8E64B1} - C:\WINDOWS\APIQH32.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe <-- Webcam, sollte in Ordnung sein
O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Programme\Logitech\Video\ISStart.exe <-- Webcam, sollte in Ordnung sein
O4 - HKLM\..\Run: [POINTER] point32.exe <-- Maustreiber, war auch schon vorher da
O4 - HKLM\..\Run: [CriticalUpdate] C:\WINDOWS\SYSTEM\wucrtupd.exe -startup <-- Windows Update: Hat auch nie Probleme gemacht
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime <--Apple Quicktime...
O4 - HKLM\..\Run: [IrMon] IrMon.exe <-- Infrarot-Adapter
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" <-- Firewall
O4 - HKLM\..\Run: [JAVAPW.EXE] C:\WINDOWS\JAVAPW.EXE <-- bößer Hijacker...
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [ATIPOLL] ati2evxx.exe
O4 - HKLM\..\RunServices: [ATISmart] C:\WINDOWS\SYSTEM\ati2s9ag.exe
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKLM\..\RunServices: [Mass Storage Check Registry] rundll32.exe C:\WINDOWS\SYSTEM\ShellExt\MSDServ.dll,CheckRegistry
O4 - HKLM\..\RunServices: [APIWA32.EXE] C:\WINDOWS\SYSTEM\APIWA32.EXE <-- nochmal bößer Hijacker...
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: Verknüpfung mit BILDWECHSLER.EXE.lnk = D:\Jonas Bilder\Desktop Hintergrund\BILDWECHSLER.EXE <-- In Ordnung
O4 - Startup: Verknüpfung mit check.exe.lnk = D:\Jonas Bilder\Desktop Hintergrund\sounds\check.exe <-- Auch in Ordnung
O4 - Startup: BOINC.lnk = C:\Programme\BOINC\boinc_gui.exe <-- siehe www.boinc.de, auf jeden Fall sicher
O4 - Startup: RSM.LNK = C:\Programme\RSM\RSM\Rsm.exe <-- kleiner Helfer, der is unschuldig
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm <-- Keine Ahnung ob's mein Download Accelerator ist? Bezweifel es aber
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm <-- Keine Ahnung ob's mein Download Accelerator ist? Bezweifel es aber
O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\PROGRA~1\DAP\DAP.EXE <-- Keine Ahnung ob's mein Download Accelerator ist? Bezweifel es aber
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe <-- Titel sagt alles
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe <-- jaa... daran liegt's nicht
O9 - Extra button: Free Surfer - {AFC3FA82-AD07-45cd-8B57-983435B9899E} - C:\Programme\Free Surfer\FS20.exe <-- Popup Blocker
O9 - Extra 'Tools' menuitem: Free Surfer - {AFC3FA82-AD07-45cd-8B57-983435B9899E} - C:\Programme\Free Surfer\FS20.exe <-- Popup Blocker
O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll


Ich wüsste nicht was ich falsch mache...
Ich geh in den abgesicherten Modus, fixe die ganzen R0/1/2 + APIWA32.EXE + JAVAPW.EXE, lösche sämtliche lhqhi.dll, se.dll, APIWA32.EXE, JAVAPW.EXE und sp.html die ich auf der Platte finde, lasse Ad-Aware einen Durchlauf machen und starte neu...

Wer kann helfen? (Das sp.html/se.dll Enfern-Tool in der Beta 6 hab ich auch schon probiert...)

Gruß,
Jonas

hugHefner 11.03.2005 15:02
Das lass ich Gigamail machen (ich streber darf nichts tun der böse mann hat mich belehrt ;))

Bhone 14.03.2005 16:03
Kann mir den niemand helfen?

Gigamail 14.03.2005 16:20
ist das immer noch dein aktuelles Logfile? Wenn ja es gibt ein neues Tool
lade es Dir hier führe es aus und poste dann ein aktuelles HJT Logfile

Bhone 14.03.2005 17:16
Ich kapier's einfach nicht... es sieht immer für nen Moment so aus als wäre er weg... doch dann: Sobald ich den Internet Explorer wieder starte (offline) sind plötzlich 2 neue .exe- und eine neue .dll-Dateien irgendwo im Windows-Verzeichnis und es ist wie als hätte sich nicht geändert (bis auf die Dateinamen)

Hier das aktuelle Log...

Logfile of HijackThis v1.99.1
Scan saved at 17:13:25, on 14.03.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\ATI2EVXX.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\MICROSOFT HARDWARE\MOUSE\POINT32.EXE
C:\WINDOWS\SYSTEM\IRMON.EXE
C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\PROGRAMME\RSM\RSM\RSM.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\WINAA.EXE
C:\WINDOWS\APIKW32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\DESKTOP\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system\qiugp.dll/sp.html#44768
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system\qiugp.dll/sp.html#44768
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system\qiugp.dll/sp.html#44768
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system\qiugp.dll/sp.html#44768
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system\qiugp.dll/sp.html#44768
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system\qiugp.dll/sp.html#44768
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system\qiugp.dll/sp.html#44768
R3 - Default URLSearchHook is missing
F1 - win.ini: run=hpfsched
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: Class - {1BFA8286-5407-CA22-83F1-B5897B8E64B1} - C:\WINDOWS\APIQH32.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [CriticalUpdate] C:\WINDOWS\SYSTEM\wucrtupd.exe -startup
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [IrMon] IrMon.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [APIKW32.EXE] C:\WINDOWS\APIKW32.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [ATIPOLL] ati2evxx.exe
O4 - HKLM\..\RunServices: [ATISmart] C:\WINDOWS\SYSTEM\ati2s9ag.exe
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKLM\..\RunServices: [Mass Storage Check Registry] rundll32.exe C:\WINDOWS\SYSTEM\ShellExt\MSDServ.dll,CheckRegistry
O4 - HKLM\..\RunServices: [APIWA32.EXE] C:\WINDOWS\SYSTEM\APIWA32.EXE
O4 - HKLM\..\RunServices: [WINAA.EXE] C:\WINDOWS\WINAA.EXE
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: Verknüpfung mit BILDWECHSLER.EXE.lnk = D:\Jonas Bilder\Desktop Hintergrund\BILDWECHSLER.EXE
O4 - Startup: Verknüpfung mit check.exe.lnk = D:\Jonas Bilder\Desktop Hintergrund\sounds\check.exe
O4 - Startup: BOINC.lnk = C:\Programme\BOINC\boinc_gui.exe
O4 - Startup: RSM.LNK = C:\Programme\RSM\RSM\Rsm.exe
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\PROGRA~1\DAP\DAP.EXE
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Free Surfer - {AFC3FA82-AD07-45cd-8B57-983435B9899E} - C:\Programme\Free Surfer\FS20.exe
O9 - Extra 'Tools' menuitem: Free Surfer - {AFC3FA82-AD07-45cd-8B57-983435B9899E} - C:\Programme\Free Surfer\FS20.exe
O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll

Bhone 14.03.2005 17:48
Und mit der Beta7 vom SpHjfix klappt's auch nicht... ich drück auf "Desinfektion starten" und nichts passiert... beim nächsten Programmstart kommt "Ihr Rechner wurde desinfiziert!"... doch wie gesagt, beim nächsten Start von IE is er wieder da (auch offline, d.h. er muss doch noch irgendwo auf der Festplatte sein, oder?)

Gruß,
Jonas

Gigamail 14.03.2005 18:20
boote in den abgesicherten Modus und fixe folgende Einträge:

alle R0 und R1 Einträge
R3 - Default URLSearchHook is missing
O2 - BHO: Class - {1BFA8286-5407-CA22-83F1-B5897B8E64B1} - C:\WINDOWS\APIQH32.DLL
O4 - HKLM\..\Run: [APIKW32.EXE] C:\WINDOWS\APIKW32.EXE
O4 - HKLM\..\RunServices: [APIWA32.EXE] C:\WINDOWS\SYSTEM\APIWA32.EXE
O4 - HKLM\..\RunServices: [WINAA.EXE] C:\WINDOWS\WINAA.EXE
O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\PROGRA~1\DAP\DAP.EXE

lösche von Hand folgende Dateien:

C:\WINDOWS\system\qiugp.dll/sp.html#44768
C:\WINDOWS\APIQH32.DLL
C:\WINDOWS\APIKW32.EXE
C:\WINDOWS\SYSTEM\APIWA32.EXE
C:\WINDOWS\WINAA.EXE
C:\PROGRA~1\DAP\DAP.EXE

neu booten neue Startseite vergeben neues HJT posten


BTW lese mal in dem Thread wichtig sind die Postings von Lutz; Seeker; Raman
http://www.trojaner-board.de/showthread.php?t=14366

Bhone 14.03.2005 18:28
Bin mittlerweile von selbst draufgekommen, lag daran:
O2 - BHO: Class - {1BFA8286-5407-CA22-83F1-B5897B8E64B1} - C:\WINDOWS\APIQH32.DLL

Trotzdem danke!

Und die DAP.exe ist mein Download Accelerator, der wird nicht unschuldig gelöscht! ;-)

Also wie gesagt nochmal danke, und macht weiter so!
Gruß,
Jonas


Alle Zeitangaben in WEZ +1. Es ist jetzt 04:27 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19