Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Brauche Hilfe!!! Bin wohl doch nicht sauber! (https://www.trojaner-board.de/16026-brauche-hilfe-wohl-sauber.html)

wo-lke 29.03.2005 21:32
Brauche Hilfe!!! Bin wohl doch nicht sauber!
 
Habe escan laufen lassen und das ist das Ergebnis:

File C:\Programme\AVPersonal\INFECTED\3.TMP.EXE.VIR infected by "Worm.Win32.Lemoor.a" Virus. Action Taken: No Action Taken.
File C:\Programme\AVPersonal\INFECTED\5.TMP.EXE.VIR
Tue Mar 29 19:57:53 2005 => File C:\Programme\AVPersonal\INFECTED\5.TMP.EXE.VIR infected by "Worm.Win32.Lemoor.a" Virus. Action Taken: No Action Taken.
Scanning File C:\Programme\AVPersonal\INFECTED\7.TMP.EXE.VIR
Tue Mar 29 19:57:53 2005 => File C:\Programme\AVPersonal\INFECTED\7.TMP.EXE.VIR infected by "Worm.Win32.Lemoor.a" Virus. Action Taken: No Action Taken.
Tue Mar 29 19:57:53 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\8.TMP.EXE.VIR
Tue Mar 29 19:57:53 2005 => File C:\Programme\AVPersonal\INFECTED\8.TMP.EXE.VIR infected by "Worm.Win32.Lemoor.a" Virus. Action Taken: No Action Taken.
Scanning File C:\Programme\AVPersonal\INFECTED\9.TMP.EXE.VIR
Tue Mar 29 19:57:53 2005 => File C:\Programme\AVPersonal\INFECTED\9.TMP.EXE.VIR infected by "Worm.Win32.Lemoor.a" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\Downloaded Program Files\InstallationsAssistent.ocx infected by "Trojan-Downloader.Win32.Stardler.a" Virus. Action Taken: No Action Taken.
Scanning File C:\WINDOWS\Temp\naufnauf.exe
Tue Mar 29 20:51:59 2005 => File C:\WINDOWS\Temp\naufnauf.exe infected by "Trojan-Downloader.Win32.Small.ya" Virus. Action Taken: No Action Taken.

Ich hoffe ihr seht da durch, habe das unter "suchen" nicht hinbekommen, sondern einfach so kopiert.

Hier das Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 21:03:24, on 29.03.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\0190 Warner\w0svc.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\SOINTGR.EXE
C:\WINDOWS\soundman.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Medion\PowerDVD\PowerDVD.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\PROGRA~1\0190WA~1\WARN0190.EXE
C:\Programme\SlySoft\CloneCD\CloneCDTray.exe
C:\WINDOWS\system32\wscntfy.exe
C:\DOKUME~1\Kerstin\LOKALE~1\Temp\mwavscan.com
C:\DOKUME~1\Kerstin\LOKALE~1\Temp\kavss.exe
C:\DOKUME~1\Kerstin\LOKALE~1\Temp\Temporäres Verzeichnis 2 für hijackthis_199.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freenet.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aol.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von AOL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINDOWS\SOINTGR.EXE
O4 - HKLM\..\Run: [soundmanager] soundman.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

Eigentlich hat "Stinger" Würmer gefunden und gelöscht. Hat escan jetzt neue gefunden? Wenn ja, wie bekomme ich die gelöscht? Was muss ich tun?
Vielen Dank im Vorraus!

dartus 30.03.2005 09:02
Hallo wo-ike,
Zitat:
C:\DOKUME~1\Kerstin\LOKALE~1\Temp\mwavscan.com
C:\DOKUME~1\Kerstin\LOKALE~1\Temp\kavss.exe
C:\DOKUME~1\Kerstin\LOKALE~1\Temp\Temporäres Verzeichnis 2 für hijackthis_199.zip\HijackThis.exe
Wenn Du "Hijackthis" und "Escan" weiterhin nutzen möchtest, für Hijackthis einen eigenen Ordner anlegen. Lt. Anleitung sollte die "mwav.exe" in einen neu zu erstellenden Ordner (c:\base) entpackt werden, das ist insofern wichtig, da sonst die Updates nicht klappen.

File C:\Programme\AVPersonal\INFECTED --> Leere den Antivir-Quarantäne-Ordner
C:\WINDOWS\Temp\naufnauf.exe -->maunell löschen
oder Klicke auf Start-->Ausführen-->cleanmgr eingeben-->OK--> min. bei Temporäre Dateien, Temporary Internet Files und temporäre Offlinedateien ein Häckchen setzen (somit sind Escan und Hijackthis gelöscht, also einen eigenen Ordner)
C:\WINDOWS\Downloaded Program Files\InstallationsAssistent.ocx --> manuell löschen, falls das nicht klappt, bitte folgendes:
Downloade Dir den Total Commander und nimm folgende Einstellung vor:
Total Commander öffnen -> Konfigurieren -> Einstellungen -> Ansicht -> Haken setzen bei "Versteckte und Systemdateien anzeigen (nur für Experten)" -> Ok
Gehe im linken Fenster zum entsprechenden Ordner (markieren -> F8 -> JA) die beanstandete Datei
Öffne den Explorer-->Extras-->Ordneroptionen-->Ansicht-->Systendateien ausblenden "Häckchen weg“ und "Alle Dateien und Ordner Anzeigen" anklicken

... und eine neues vollständiges Logfile

dartus

wo-lke 30.03.2005 16:46
Vielen Dank für die Anleitung!

Bin jedoch auf Probleme gestoßen. Oder stelle ich mich nur dumm an?
z.B.
C:\WINDOWS\Temp\naufnauf.exe -->maunell löschen
oder Klicke auf Start-->Ausführen-->cleanmgr eingeben-->OK--> min. bei Temporäre Dateien, Temporary Internet Files und temporäre Offlinedateien ein Häckchen setzen

Habe bei temporären Offlinedateien keinen Haken gemacht, da nicht gefunden.
z.B.
C:\WINDOWS\Downloaded Program Files\InstallationsAssistent.ocx

Habe ich nicht gefunden obwohl mehrere Varianten ausprobiert wurden.
Im Ordner \Downloaded Program Files gibt es ein Teil das StarInstall Controll (Typ: ActiveX-Steuerelement, Staus: beschädigt
Gibt es ähnliches wie "Total Commander" auch als Freeware?

Hier noch mal ein Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 17:09:51, on 30.03.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOINTGR.EXE
C:\WINDOWS\soundman.exe
C:\Programme\0190 Warner\w0svc.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Medion\PowerDVD\PowerDVD.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\PROGRA~1\0190WA~1\WARN0190.EXE
C:\Programme\SlySoft\CloneCD\CloneCDTray.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wscntfy.exe
C:\DOKUME~1\Kerstin\LOKALE~1\Temp\Temporäres Verzeichnis 3 für hijackthis_199.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freenet.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aol.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von AOL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINDOWS\SOINTGR.EXE
O4 - HKLM\..\Run: [soundmanager] soundman.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [PowerDVD] C:\Programme\Medion\PowerDVD\PowerDVD.exe /autostart
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - Startup: SmartSurfer.lnk = C:\Programme\WEBDE\SmartSurfer3.0\SmartSurfer.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: AOL 7.0 - {19454A3D-27E1-4803-A857-B76F21B1680B} - C:\Programme\AOL 7.0\aol.exe (file missing) (HKCU)
O9 - Extra button: MedionShop - {811DDDB7-933B-4717-8A6B-4F86A67E0F9F} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aol.de
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://install.stardialer.de/StarInstall.ocx
O23 - Service: 0190/0900 Warner Überwachungsdienst (0190_0900_Warner_MonitorService) - Mirko Böer - C:\Programme\0190 Warner\w0svc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Vielen Dank für die Hilfe! Ich wäre sonst ganz schön aufgeschmissen.
wo-lke

dartus 30.03.2005 22:14
hallo wo-Ike,
Zitat:
C:\WINDOWS\Downloaded Program Files\InstallationsAssistent.ocx
Habe ich nicht gefunden obwohl mehrere Varianten ausprobiert wurden.
Im Ordner \Downloaded Program Files gibt es ein Teil das StarInstall Controll (Typ: ActiveX-Steuerelement, Staus: beschädigt
Dann lösch diese Datei.

Lass nochmals Escan im abgesicherten Modus bei deaktivierter Systemwiederherstellung laufen. http://www.systemwiederherstellung-d...indows-xp.html

Lösche alle Funde. Bei Problemen melde Dich und poste nochmal ein HJT-Logfile.

Desweiteren solltest Du Dir einen sicheren Browser zum Surfen downloaden und den IExplorer nur noch zum Updaten nutzen.Weitere Sicherheitstipps findest Du hier,

dartus


Alle Zeitangaben in WEZ +1. Es ist jetzt 16:31 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131