Trojaner-Board - Logfile

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Logfile - JS/Small.AF (https://www.trojaner-board.de/16083-logfile-js-small-af.html)

Logfile - JS/Small.AF

Hallo,

hab auch ein kleines Prob: also bei mir gingen plötzlich ein paar Internetseiten nicht mehr (z.b. mein ebay, Bank-Konto-Login, easybuy.de) un dann hab ich natürlich gleich die neueste veersion von antivir runtergeladen (norton hat nix erkennt) und hab die signatur des viruses JS/Small.AF gefunden. hab auch gelesen, dass dieser virus malware auf den pc ladt...

..naja, hier jedenfalls ist mein hijackthis-logfile:

Zitat:

Logfile of HijackThis v1.99.1
Scan saved at 13:35:58, on 31.03.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\pctspk.exe
D:\Programme\Anti-Vir\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
D:\Programme\Anti-Vir\AVGUARD.EXE
D:\Programme\Anti-Vir\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
D:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
D:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
D:\Downloads\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://presearchforyou.com/hp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://presearchforyou.com/hp.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hi-tier.de/
O1 - Hosts file is located at: C:\WINDOWS\nsdb\hosts
O1 - Hosts: 82.179.166.164 lender-search.com
O1 - Hosts: 82.179.166.165 hot-searches.com
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [AVGCtrl] "D:\Programme\Anti-Vir\AVGNT.EXE" /min
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O8 - Extra context menu item: Download with GetRight - D:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - D:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {DF777AB7-25B6-43D8-AFE4-940A4BF8CA5C} - ms-its:mhtml:file://C:\foo.mht!http://freeporncometome.com/k1234.chm::/k1234.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{66ABE5BC-04C9-435F-A95A-C2E9BA3E14FE}: NameServer = 217.237.151.97 217.237.150.33
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\Programme\Anti-Vir\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Programme\Anti-Vir\AVWUPSRV.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - D:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - D:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe

hoffe, ihr könnt mir helfen ^_^

gruß
vyrox

edit:
hab vor einiger zeit mal die systemwiederherstellung ausgeschaltet, hoffe das macht nix...

edit:
hab vor einiger zeit mal die systemwiederherstellung ausgeschaltet, hoffe das macht nix...

Hallo vyorx,

führe bitte dies mal aus:
1. Downloade Dir escan und befolge genau diese Anleitung (einen neuen Ordner "C:\bases" erstellen, in diesen Ordner die "mwav.exe" entpacken, mittels "kavupd.exe" updaten und im abgesicherten Modus scannen),http://www.systemwiederherstellung-d...indows-xp.html
2. starte nach dem Scan wieder in den normalen Modus dauert,
3. öffne die Datei "mwav.log", klicke auf "bearbeiten" danach auf "suchen"
4. gebe dann "infected" ein,
5. suche weiter bei Treffern, markiere diese und kopiere sie ins Forum,
6. neben den Treffern auch das Gesamtergebnis (befindet sich ganz unter im Logfile) posten.

Beispiel:
Wed Feb 02 19:48:56 2005 => Total Files Scanned:
Wed Feb 02 19:48:56 2005 => Total Virus(es) Found:
.
.
.
.

dartus

So, hier mal die Infos, die im mittleren Fenster des eScan angezeigt werden. bis jetzt hab ich allerdings nur diese system32k1234.exe gelöscht, die ersten beiden hab ich nicht gefunden

Code:

File System Found infected by "Alexa Spyware/Adware" Virus. 

Action Taken: No Action Taken.

File System Found infected by "180Solutions Spyware/Adware" Virus. 

Action Taken: No Action Taken.

File System Found infected by "VX2 Spyware/Adware" Virus. 

Action Taken: No Action Taken.

File C:\WINDOWS\System32k1234.exe infected by "not-a-virus:AdWare.SearchPage" Virus. 

Action Taken: No Action Taken.

File C:\WINDOWS\System32k1234.exe infected by "not-a-virus:AdWare.SearchPage" Virus. 

Action Taken: No Action Taken.

File D:\Spiele\Half-Life\hltv.exe tagged as not-a-virus:RiskWare.Proxy.Hltv. 

No Action Taken.

hier sind die ergebnisse, die ich manuell (durch infected) gefunden habe, sind aber ziemlich die gleichen:

Code:

Fri Apr 01 10:58:24 2005 => System found infected with Alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken.

Fri Apr 01 10:58:24 2005 => File System Found infected by "Alexa Spyware/Adware" Virus. Action Taken: No Action Taken.
 

Fri Apr 01 10:58:24 2005 => System found infected with 180Solutions Spyware/Adware ({30d02401-6a81-11d0-8274-00c04fd5ae38})! Action taken: No Action Taken.

Fri Apr 01 10:58:24 2005 => File System Found infected by "180Solutions Spyware/Adware" Virus. Action Taken: No Action Taken.
 

Fri Apr 01 10:58:24 2005 => System found infected with VX2 Spyware/Adware ({0E5CBF21-D15F-11D0-8301-00AA005B4383})! Action taken: No Action Taken.

Fri Apr 01 10:58:24 2005 => File System Found infected by "VX2 Spyware/Adware" Virus. Action Taken: No Action Taken.
 

Fri Apr 01 10:58:27 2005 => File C:\WINDOWS\System32k1234.exe infected by "not-a-virus:AdWare.SearchPage" Virus. Action Taken: No Action Taken.
 

Fri Apr 01 11:11:06 2005 => File C:\WINDOWS\System32k1234.exe infected by "not-a-virus:AdWare.SearchPage" Virus. Action Taken: No Action Taken.

und dann noch der abschlussbericht:

Code:

Fri Apr 01 11:21:22 2005 => ***** Scanning complete. *****

 

Fri Apr 01 11:21:22 2005 => Total Objects Scanned: 40279

Fri Apr 01 11:21:22 2005 => Total Virus(es) Found: 6

Fri Apr 01 11:21:22 2005 => Total Disinfected Files: 0

Fri Apr 01 11:21:22 2005 => Total Files Renamed: 0

Fri Apr 01 11:21:22 2005 => Total Deleted Objects: 0

Fri Apr 01 11:21:22 2005 => Total Errors: 1

Fri Apr 01 11:21:22 2005 => Time Elapsed: 00:23:57

Fri Apr 01 11:21:22 2005 => Virus Database Date: 2005/03/30

Fri Apr 01 11:21:22 2005 => Virus Database Count: 124022

 

Fri Apr 01 11:21:22 2005 => Scan Completed.

ich hab auch mit hijackthis die gefundenen dateien gefixt und jetzt steht laut online-auswertung nix böses mehr drin, aber ich hab noch immer das gleiche prob wie am anfang.
manche seiten kann ich nämlich noch immer nicht aufbauen (wie mein ebay oder bank-login)

hier jedenfalls nochmal der neue hijack-bericht:

Code:

Logfile of HijackThis v1.99.1

Scan saved at 10:10:39, on 01.04.2005

Platform: Windows XP  (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe

C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\pctspk.exe

D:\Programme\Anti-Vir\AVGNT.EXE

C:\WINDOWS\System32\ctfmon.exe

D:\Programme\Anti-Vir\AVGUARD.EXE

D:\Programme\Anti-Vir\AVWUPSRV.EXE

C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe

D:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe

D:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe

C:\Programme\Internet Explorer\IEXPLORE.EXE

C:\Programme\HijackThis\HijackThis.exe
 

O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe

O4 - HKLM\..\Run: [AVGCtrl] "D:\Programme\Anti-Vir\AVGNT.EXE" /min

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O8 - Extra context menu item: Download with GetRight - D:\Programme\GetRight\GRdownload.htm

O8 - Extra context menu item: Open with GetRight Browser - D:\Programme\GetRight\GRbrowse.htm

O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{66ABE5BC-04C9-435F-A95A-C2E9BA3E14FE}: NameServer = 217.237.151.97 217.237.150.33

O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\Programme\Anti-Vir\AVGUARD.EXE

O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Programme\Anti-Vir\AVWUPSRV.EXE

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe

O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - D:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: SAVScan - Symantec Corporation - D:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe

hoffe, ihr könnt mir nochmal weiterhelfen :o

Lade, aktualisiere und scanne mit Ad-Aware und Spybot S&D dein System im abgesicherten Modus.

Anschliessend solltest du schnellstmöglich das SP2 installieren.

Zum Fehler:
- IE Einstellungen überprüfen
- MTU Wert überprüfen