Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   System hat komplett verrückt gespielt (https://www.trojaner-board.de/15993-system-hat-komplett-verrueckt-gespielt.html)

fx-cafe 28.03.2005 23:19
System hat komplett verrückt gespielt
 
:headbang: Das System von einem Kollegen hat komplett verrückt gespielt, ich habe mit AntiVir, Ad-Aware und Spybot schon einiges gelöscht, jetzt schein es wieder einigermassen stabil zu sein, habe trotzem nochmal ein hijack this log gemacht:

Logfile of HijackThis v1.99.0
Scan saved at 00:07:50, on 29.03.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Programme\AVPersonal\AVGUARD.EXE
D:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\WINDOWS\iplp.exe
D:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\SetPoint\KEM.exe
C:\Programme\SetPoint\KHALMNPR.EXE
C:\WINDOWS\system32\drwtsn32.exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\WINDOWS\explorer.exe
C:\Dokumente und Einstellungen\Oliver\Desktop\Tools\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\vvbtj.dll/sp.html#75034
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\vvbtj.dll/sp.html#75034
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\vvbtj.dll/sp.html#75034
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\vvbtj.dll/sp.html#75034
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\vvbtj.dll/sp.html#75034
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\vvbtj.dll/sp.html#75034
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {20837236-91FF-C434-92B4-D8788BA72E38} - C:\WINDOWS\ieup.dll
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "F:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [iplp.exe] C:\WINDOWS\iplp.exe
O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\AVPersonal\AVGNT.EXE /min
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\SetPoint\KEM.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - F:\Programme\IrfanView\Ebay\Ebay.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Network Security Service (NSS) - Unknown - C:\WINDOWS\system32\appbt.exe (file missing)
O23 - Service: Adobe LM Service - Unknown - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - D:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - D:\Programme\AVPersonal\AVWUPSRV.EXE

Was ist faul, kann mir jemand helfen? Danke !!!! :daumenhoc

dartus 28.03.2005 23:25
Hallo fix-cafe,

führe bitte dies mal auf den System Deines Kollegen aus:
1. Downloade Dir escan und genau befolge diese Anleitung (Scan IM ABGESIICHERTEN MODUS dauert etwa eine Stunde),
2. starte nach dem Scan wieder in den normalen Modus dauert,
3. öffne die Datei "mwav.log", klicke auf "bearbeiten" danach auf "suchen"
4. gebe dann "infected" ein,
5. suche weiter bei Treffern, markiere diese und kopiere sie ins Forum,
6. neben den Treffern auch das Gesamtergebnis (befindet sich ganz unter im Logfile) posten.

Beispiel:
Wed Feb 02 19:48:56 2005 => Total Files Scanned:
Wed Feb 02 19:48:56 2005 => Total Virus(es) Found:
.
.
.
.


dartus

fx-cafe 31.03.2005 22:42
Hallo, habe jetzt mal alles gescannt, und hier ist das log-file. Habe bisher vorsichtshalber nichts gelöscht, wollte doch erst mal hören, was hier Leute sagen, die sich damit auskenne. Danke nochmal für die Mühe :party:


Thu Mar 31 19:20:00 2005 => System found infected with 180Solutions Spyware/Adware ({30d02401-6a81-11d0-8274-00c04fd5ae38})! Action taken: No Action Taken.

Thu Mar 31 19:20:00 2005 => File System Found infected by "180Solutions Spyware/Adware" Virus. Action Taken: No Action Taken.

Thu Mar 31 19:20:00 2005 => System found infected with VX2 Spyware/Adware ({0E5CBF21-D15F-11D0-8301-00AA005B4383})! Action taken: No Action Taken.

Thu Mar 31 19:20:00 2005 => File System Found infected by "VX2 Spyware/Adware" Virus. Action Taken: No Action Taken.

Thu Mar 31 19:20:16 2005 => File C:\WINDOWS\vvbtj.dll infected by "not-a-virus:AdWare.SearchPage" Virus. Action Taken: No Action Taken.

Thu Mar 31 19:23:08 2005 => File C:\DOKUME~1\Oliver\LOKALE~1\TEMPOR~1\Content.IE5\0LQ5WR8R\activ-x[1].htm infected by "Exploit.HTML.CodeBaseExec" Virus. Action Taken: No Action Taken.

Thu Mar 31 19:23:13 2005 => File C:\DOKUME~1\Oliver\LOKALE~1\TEMPOR~1\Content.IE5\0LQ5WR8R\ifect[1].anr infected by "Trojan-Downloader.Win32.Ani.c" Virus. Action Taken: No Action Taken.

Thu Mar 31 19:23:35 2005 => File C:\DOKUME~1\Oliver\LOKALE~1\TEMPOR~1\Content.IE5\21UNUF83\counter[1].htm infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken.

Thu Mar 31 19:24:27 2005 => File C:\c.vbs infected by "Trojan-Downloader.VBS.Small.f" Virus. Action Taken: No Action Taken.

Thu Mar 31 19:28:49 2005 => File C:\Dokumente und Einstellungen\Oliver\Anwendungsdaten\Thunderbird\Profiles\3ee9cvki.default\Mail\Local Folders\Inbox infected by "Trojan-Spy.HTML.Paylap.bg" Virus. Action Taken: No Action Taken.

Thu Mar 31 19:30:12 2005 => File C:\Dokumente und Einstellungen\Oliver\Anwendungsdaten\Thunderbird\Profiles\3ee9cvki.default\Mail\Local Folders\JUNK infected by "Trojan-Spy.HTML.Paylap.bg" Virus. Action Taken: No Action Taken.

Thu Mar 31 19:32:35 2005 => File C:\Dokumente und Einstellungen\Oliver\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0LQ5WR8R\activ-x[1].htm infected by "Exploit.HTML.CodeBaseExec" Virus. Action Taken: No Action Taken.

Thu Mar 31 19:32:44 2005 => File C:\Dokumente und Einstellungen\Oliver\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0LQ5WR8R\ifect[1].anr infected by "Trojan-Downloader.Win32.Ani.c" Virus. Action Taken: No Action Taken.

Thu Mar 31 19:33:10 2005 => File C:\Dokumente und Einstellungen\Oliver\Lokale Einstellungen\Temporary Internet Files\Content.IE5\21UNUF83\counter[1].htm infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken.

Thu Mar 31 19:47:17 2005 => File C:\System Volume Information\_restore{8FACDD2E-4CCB-451C-B607-E2A384679CC0}\RP130\A0028239.dll infected by "Trojan-Downloader.Win32.Agent.bc" Virus. Action Taken: No Action Taken.

Thu Mar 31 19:47:17 2005 => File C:\System Volume Information\_restore{8FACDD2E-4CCB-451C-B607-E2A384679CC0}\RP130\A0028240.exe infected by "Trojan-Downloader.Win32.Agent.bq" Virus. Action Taken: No Action Taken.

Thu Mar 31 20:10:01 2005 => File C:\WINDOWS\vvbtj.dll infected by "not-a-virus:AdWare.SearchPage" Virus. Action Taken: No Action Taken.

Thu Mar 31 20:35:44 2005 => File D:\Programme\AVPersonal\INFECTED\A0014414.EXE.VIR infected by "P2P-Worm.Win32.Backterra.d" Virus. Action Taken: No Action Taken.

Thu Mar 31 20:35:44 2005 => File D:\Programme\AVPersonal\INFECTED\A0017794.EXE.VIR infected by "P2P-Worm.Win32.Backterra.d" Virus. Action Taken: No Action Taken.

Thu Mar 31 20:35:44 2005 => File D:\Programme\AVPersonal\INFECTED\apikc.VIR infected by "Trojan.Win32.Agent.bi" Virus. Action Taken: No Action Taken.

Thu Mar 31 20:35:44 2005 => File D:\Programme\AVPersonal\INFECTED\msnc32.VIR infected by "Trojan.Win32.Agent.bi" Virus. Action Taken: No Action Taken.

Thu Mar 31 20:45:33 2005 => File D:\System Volume Information\_restore{5B84078A-37CB-4EC9-9578-35500697B43F}\RP181\A0054416.exe infected by "Trojan-Dropper.Win32.Delf.fd" Virus. Action Taken: No Action Taken.


Thu Mar 31 23:02:39 2005 => Total Objects Scanned: 120572
Thu Mar 31 23:02:39 2005 => Total Virus(es) Found: 22
Thu Mar 31 23:02:39 2005 => Total Disinfected Files: 0
Thu Mar 31 23:02:39 2005 => Total Files Renamed: 0
Thu Mar 31 23:02:39 2005 => Total Deleted Objects: 0
Thu Mar 31 23:02:39 2005 => Total Errors: 104
Thu Mar 31 23:02:39 2005 => Time Elapsed: 03:49:51
Thu Mar 31 23:02:39 2005 => Virus Database Date: 2005/03/28
Thu Mar 31 23:02:40 2005 => Virus Database Count: 123733

Thu Mar 31 23:02:40 2005 => Scan Completed.

dartus 01.04.2005 00:11
Hallo fx-cafe,

downloade Dir clearprog 1.4.1 final.

Wechsel in den abgesicherten Modus bei deaktivierter Systemwiederherstellung
http://www.systemwiederherstellung-d...indows-xp.html
und fixe folgende Einträge (Scan mit Hijackthis, Häckchen vor den Einträgen und auf fix checked klicken):

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\vvbtj.dll/sp.html#75034
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\vvbtj.dll/sp.html#75034
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\vvbtj.dll/sp.html#75034
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\vvbtj.dll/sp.html#75034
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\vvbtj.dll/sp.html#75034
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\vvbtj.dll/sp.html#75034
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {20837236-91FF-C434-92B4-D8788BA72E38} - C:\WINDOWS\ieup.dll
O4 - HKLM\..\Run: [iplp.exe] C:\WINDOWS\iplp.exe
O23 - Service: Network Security Service (NSS) - Unknown - C:\WINDOWS\system32\appbt.exe (file missing)

Folgende Dateien manuell löschen:
(Falls noch nicht eingestellt: Öffne den Explorer-->Extras-->Ordneroptionen-->Ansicht-->Systendateien ausblenden "häckchen weg“ und "Alle Dateien und Ordner Anzeigen" anklicken)

C:\WINDOWS\appbt.exe (wenn noch vorhanden)
C:\WINDOWS\vvbtj.dll
C:\WINDOWS\iplp.exe <-- taucht nicht als infected auf, halte sie aber für Suspekt, falls möglich hier Online-Scannen: http://virusscan.jotti.org/de
C:\WINDOWS\ieup.dll <-- dito
C:\c.vbs

Clearprog starten --> Windows/Internet Explorer -- Temp-Dateien löschen

Papierkorb leeren (geht auch über clearprog)

Zitat:
Thu Mar 31 19:20:00 2005 => System found infected with 180Solutions Spyware/Adware ({30d02401-6a81-11d0-8274-00c04fd5ae38})! Action taken: No Action Taken.
Thu Mar 31 19:20:00 2005 => File System Found infected by "180Solutions Spyware/Adware" Virus. Action Taken: No Action Taken.
Thu Mar 31 19:20:00 2005 => System found infected with VX2 Spyware/Adware ({0E5CBF21-D15F-11D0-8301-00AA005B4383})! Action taken: No Action Taken.
Thu Mar 31 19:20:00 2005 => File System Found infected by "VX2 Spyware/Adware" Virus. Action Taken: No Action Taken.
Infos dazu:
http://www.trojaner-board.de/showpos...70&postcount=6
Zitat:
Thu Mar 31 19:28:49 2005 => File C:\Dokumente und Einstellungen\Oliver\Anwendungsdaten\Thunderbird\P rofiles\3ee9cvki.default\Mail\Local Folders\Inbox infected by "Trojan-Spy.HTML.Paylap.bg" Virus. Action Taken: No Action Taken.
Thu Mar 31 19:30:12 2005 => File C:\Dokumente und Einstellungen\Oliver\Anwendungsdaten\Thunderbird\P rofiles\3ee9cvki.default\Mail\Local Folders\JUNK infected by "Trojan-Spy.HTML.Paylap.bg" Virus. Action Taken: No Action Taken
Kenn ich mich leider nicht aus vielleicht hilft dies weiter:
http://www.trojaner-board.de/showthr...highlight=junk

System herunterfahren--> Neustart-->Systemwiederherstellung aktivieren

.. und ein neues Logfile.

dartus

fx-cafe 01.04.2005 15:39
Habe alles befolgt und nun ein Hijack This logfile gemacht. Oder sollte es ein e-scan logfile sein?

Logfile of HijackThis v1.99.0
Scan saved at 16:35:02, on 01.04.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Programme\AVPersonal\AVGUARD.EXE
D:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
D:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\SetPoint\KEM.exe
C:\Programme\SetPoint\KHALMNPR.EXE
C:\Dokumente und Einstellungen\Oliver\Desktop\Tools\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "F:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\AVPersonal\AVGNT.EXE /min
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\SetPoint\KEM.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - F:\Programme\IrfanView\Ebay\Ebay.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Adobe LM Service - Unknown - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - D:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - D:\Programme\AVPersonal\AVWUPSRV.EXE

dartus 01.04.2005 16:15
Hallo fx-cafe,

das Log sieht IMHO unauffällig aus.

Zum Surfen zukünftig einen sicheren Browser benutzen, den IExplorer nur noch zum Updaten.
Desweitere sind
hier lesenswerte Links, insbesondere die "12 Punkte“.

dartus

fx-cafe 01.04.2005 17:10
Dann ist ja alles gut. Danke nochmal für die schnelle Hilfe !!!! :party:


Alle Zeitangaben in WEZ +1. Es ist jetzt 01:30 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131