Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Bitte um Überprüfung (https://www.trojaner-board.de/16108-bitte-um-uberpruefung.html)

JJHoschi 01.04.2005 00:08
Bitte um Überprüfung
 
Hallo mal wieder,
mein Logfile anbei, bitte mal nen Blick drauf werfen, scheint wohl alles in Ordnung, aber was ist mit


O10 - Unknown file in Winsock LSP: c:\windows\system32\icslsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\icslsp.dll

und vor allem bei Running processes

C:\WINDOWS\system32\NOTEPAD.EXE ???

VIELEN DANK FÜR EURE HILFE

JJHoschi

Logfile of HijackThis v1.99.0
Scan saved at 00:56:36, on 1.4.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\AntiVirenKit 2004\AVKService.exe
C:\Programme\AntiVirenKit 2004\AVKWCtl.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\SLEE503.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE
C:\WINDOWS\System32\DCxxMjpgControl.exe
C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\PROGRA~1\COOLSPOT\PERSON~1\PID.EXE
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\Palm\HOTSYNC.EXE
C:\Programme\HP\Digital Imaging\bin\hpqgalry.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Hijack this\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R3 - URLSearchHook: _URLHandler - {7FF23285-DBBC-49B6-818C-34AC459D5BB3} - C:\PROGRA~1\Coolspot\PERSON~1\pidd.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AVK Mail Checker] "C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [DCxxCTRL] C:\WINDOWS\System32\DCxxMjpgControl.exe Autostart
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [Acronis True Image Monitor] "C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe"
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ElbyCheckElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKCU\..\Run: [Personal ID] C:\PROGRA~1\COOLSPOT\PERSON~1\PID.EXE
O4 - Startup: HotSync Manager.lnk = C:\Programme\Palm\HOTSYNC.EXE
O4 - Startup: PowerReg SchedulerV2.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: HP Image Zone Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\icslsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\icslsp.dll
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{21E225F9-4DEC-408E-B3FA-BA0E0A550DFD}: NameServer = 62.155.254.208,194.25.2.129
O18 - Protocol: cetihpz - {CF184AD3-CDCB-4168-A3F7-8E447D129300} - C:\Programme\HP\hpcoretech\comp\hpuiprot.dll
O23 - Service: Acronis Scheduler2 Service - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: AVK Service - Unknown - C:\Programme\AntiVirenKit 2004\AVKService.exe
O23 - Service: AVK Wächter - Unknown - C:\Programme\AntiVirenKit 2004\AVKWCtl.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Steganos Live Encryption Engine (Version 503) [Service] - Unknown - C:\WINDOWS\System32\SLEE503.exe
********************************************************
SORRY, habe gerade genau den gleichen Eintrag "010" schon mal zur Diskussion
auf Eurem Board gesehen und ebenfalls mit LSP-Fix folgende Files in der
linken Spalte notiert:

mswsock.dll TCP/IP
winrnr.dll NTDS
icslsp.dll (Protocol handler)
rsrpsp.dll " "

Was ist nun zu tun ?

cacatoa 01.04.2005 08:35
Na, wieder mal da? *g*
Hier hast Du Dein "backdoor"-Notepad. Hat aber mit Deinem Logfile nicht viel zu tun *ggg*
Laß doch im abgesicherten Modus einfach LSPFix laufen und zieh die Einträge nach rechts auf "remove".
Das sollte es gewesen sein.
cacatoa

JJHoschi 01.04.2005 21:52
Nach LSP Fix kein Internetzugang
 
Hallo cacatoa,

ich habe mit LSP Fix wie beschrieben die vier dll-Dateien removed.
Ergebnis: Der Notepad-Backdoor ist weg, aber leider auch mein Internetzugang. (Dieser Eintrag erfolgt über einen anderen User)
Was soll ich nun machen ?
Über eine Antwort würde ich mich freuen.

Vielen Dank und viele Grüße,
JJHoschi

dartus 01.04.2005 22:06
Hallo JJHosch,

die 010-Einträge lagen wohl im Zusammenhang mit diesem Programm:
O4 - HKCU\..\Run: [Personal ID] C:\PROGRA~1\COOLSPOT\PERSON~1\PID.EXE

Versuch dieses Programm zu deinstatallieren oder neuzuinstallieren.

dartus

JJHoschi 01.04.2005 22:45
Leider kein Erfolg
 
Hallo dartus,

vielen Dank für Deine schnelle Antwort.
Ich habe das Programm deinstalliert und neu installiert, aber es brachte leider keinen Erfolg.
Was kann ich jetzt noch machen?

Vielen Dank und viele Grüße,
JJHoschi

Passat2002 01.04.2005 22:49
hi, irgendwie möchte ich ein aktuelles logfile sehen

Cidre 01.04.2005 23:02
Zitat:
ich habe mit LSP Fix wie beschrieben die vier dll-Dateien removed.
Warum hast du alle vier Dateien gelöscht?!
Die einzige die du löschen solltest, wäre die c:\windows\system32\icslsp.dll gewesen!
Zitat:
Ergebnis: Der Notepad-Backdoor ist weg, aber leider auch mein Internetzugang. (Dieser Eintrag erfolgt über einen anderen User)
Ist klar, siehe oben.

JJHoschi 01.04.2005 23:22
Hallo Cidre,

kann ich die zuviel gelöschten Dateien wieder herstellen, ohne das komplette System neu aufzusetzen ?

Vielen Dank und viele Grüße,
JJHoschi

dartus 02.04.2005 00:00
Hallo JJHoschi,

lade Dir hier --> http://www.dlldump.com/
diese Dateien :
mswsock.dll, winrnr.dll, und rsvpsp.dll
und stelle sie in den Ordner Windows\System32

dartus

schmellemann 02.04.2005 00:17
kurze zwischenfragefrage
 
servus allerseits.
gestern nacht gelang es mir erstaunlicherweise und auch nur durch fleißiges Lesen in euren wunderbaren Foren, ein bescheuertes troja-pferd zu entfernen - vielen, vielen Dank.
ne andere sache: kann ich. wenn ich "Microsoft Office System Professional DVD 2003 SP1 Integrated" , also anscheinend die 2003-version, herunterlade, diese auch mit Windows XP Professional benutzen?
freu mich über antwort...
Gruß

cacatoa 02.04.2005 07:14
@ JJHoschi:
Eigentlich dachte ich, Du könntest mit LSPFix umgehen; wir hatten doch schon damit zu tun.
cacatoa


Alle Zeitangaben in WEZ +1. Es ist jetzt 19:01 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131