Trojaner-Board
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   bitte um hilfe (https://www.trojaner-board.de/17774-bitte-um-hilfe.html)

test4me 14.05.2005 09:14
bitte um hilfe
 
so hier ist mein log, bitte um support thnx
lg natasha k.

----------------------------------------

Logfile of HijackThis v1.99.1
Scan saved at 10:09:33, on 14.05.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\atiptaxx.exe
C:\Programme\Apoint2K\Apoint.exe
C:\PROGRA~1\EzButton\CPATR10.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\USB MOUSE\mouse32a.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Apoint2K\Apntex.exe
C:\Programme\Java\jre1.5.0\bin\jusched.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\DameWare Development\DameWare Mini Remote Control\DWRCS.exe
C:\PROGRA~1\YAHOO!\MESSEN~1\ypager.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\system32\Config2500.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\PROGRA~1\DVDREG~1\DVDRegionFree.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\hijackthis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://global.acer.com/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://global.acer.com/
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn0\ycomp5_5_7_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn0\ycomp5_5_7_0.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [CPATR10] C:\PROGRA~1\EzButton\CPATR10.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Programme\USB MOUSE\mouse32a.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\YAHOO!\MESSEN~1\ypager.exe -quiet
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Config2500.lnk = C:\WINDOWS\system32\Config2500.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXE
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=h**p://global.acer.com/
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - h**p://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1107087860529
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - h**p://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4BD87BCB-A468-4D1D-965C-B1A8FFAB8970}: NameServer = 195.58.160.194,195.58.161.3
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: DameWare Mini Remote Control (DWMRCS) - DameWare Development - C:\Programme\DameWare Development\DameWare Mini Remote Control\DWRCS.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZONELABS\vsmon.exe

Rene-gad 14.05.2005 09:28
@test4me
Zitat:
so hier ist mein log, bitte um support thnx
Merkst du ein Problem?
BTW: Dein Nickname reicht völlig aus ;).
Die Datei bitte bei http://virusscan.jotti.org/ online überprüfen.
Zitat:
C:\WINDOWS\system32\Config2500.exe
Fixen/nicht fixen von dem Eintrag ist scanergebnisabhängig.
Zitat:
O4 - Global Startup: Config2500.lnk = C:\WINDOWS\system32\Config2500.exe
Die Beiten sind unnötig (Datei fehlt)
Zitat:
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

bambuswolle 14.05.2005 09:30
Alles kopieren und hier einfügen und auswerten. Dann deine bösen fixen!

test4me 14.05.2005 09:34
Zitat:
Zitat von Rene-gad
Merkst du ein Problem?
Wenn ich Adaware starte springt plötzlich mein avast antiviren programm auf und schreit achtung trojaner Win32:Istbar - L.

Hätt ich noch eventuell dazuschreiben sollen =)
lg natasha. k

Rene-gad 14.05.2005 09:40
@test4me
Zitat:
Wenn ich Adaware starte springt plötzlich mein avast antiviren programm auf und schreit achtung trojaner Win32:Istbar - L. ...Hätt ich noch eventuell dazuschreiben sollen =)
Nicht nur das, sondern auch Pfad wäre wichtig.
In deinem Log sind keine Spuren von IstBar sichtbar.
Dieses Bereinigungsprogramm hilft dir, den ganzen Müll aus den Temp-Ordner und Papierkorb zu entfernen. Mach alles sauber, dann AdAware updaten und Starten. Falls es noch etwas findet, bitte Name und Pfad notieren und hier posten.

Zum 2. mal: Dein Nickname reicht völlig aus
Zitat:
lg natasha. k
@bambuswolle
die automatische Auswertung schlägt öfters fehl, z.B. h**p - Einträge werden automatisch als Böse eingestufft ;).

test4me 14.05.2005 09:57
Zitat:
Zitat von Rene-gad
Nicht nur das, sondern auch Pfad wäre wichtig.
In deinem Log sind keine Spuren von IstBar sichtbar.
Falls es noch etwas findet, bitte Name und Pfad notieren und hier posten.
Habe deine Anweisungen befolgt und das war das Ergebnis

Pfad:
C:\DOKUME~1\test4me\LOKALE~1\Temp\AAWTMP\C3880349\242D3E\crack.exe
MalwareName: Win32:Istbar-L[Trj]

Rene-gad 14.05.2005 10:08
@test4me
Zitat:
Habe deine Anweisungen befolgt
Nee, hast du nicht, bzw. nicht ganz.
Zum 2. mal:

Die Datei bitte bei http://virusscan.jotti.org/ online überprüfen.
Zitat:
C:\WINDOWS\system32\Config2500.exe
Dieses Bereinigungsprogramm hilft dir, den ganzen Müll aus den Temp-Ordner und Papierkorb zu entfernen.

test4me 14.05.2005 12:42
zum 1. mal danke funktioniert wieder alles

zum 2. mal danke

test4me 14.05.2005 17:11
so ich bins wieder

leider ist das dieser virus doch noch da, was jetzt tun?
habe mit dem clearprog alles gelöscht aber das ding taucht immer wieder auf

Rene-gad 14.05.2005 17:11
@test4me
Ich möchte nicht zu aufdringlich sein, aber
Zitat:
C:\WINDOWS\system32\Config2500.exe
hast du die Datei gescannt?
Zitat:
habe mit dem clearprog alles gelöscht aber das ding taucht immer wieder auf
Noch mal die Frage: Pfad
EDIT: Inhalt des Ordners C:\Dokumente und Einstellungen\test4me\Lokale Einstellungen\Temp über Explorer einfach löschen.

test4me 14.05.2005 17:49
Zitat:
Zitat von Rene-gad
@test4me
Ich möchte nicht zu aufdringlich sein, aber

hast du die Datei gescannt?

Noch mal die Frage: Pfad
EDIT: Inhalt des Ordners C:\Dokumente und Einstellungen\test4me\Lokale Einstellungen\Temp über Explorer einfach löschen.
ja das file config2500 ist in ordnung!

und über den explorer hab ich die temp datei auch schon gelöscht nur dieser ordner AAWTMP
C:\DOKUME~1\test4me\LOKALE~1\Temp\AAWTMP\C3880349\ 242D3E\crack.exe
generiert sich immer wieder von selber wenn ich adaware starte und da drinnen befindet sich ja laut meinem virenprogram der trojaner

Rene-gad 14.05.2005 18:02
@test4me
Zitat:
C:\DOKUME~1\test4me\LOKALE~1\Temp\AAWTMP\C3880349\ 242D3E\crack.exe
generiert sich immer wieder von selber wenn ich adaware starte
EDIT: ...\AAWTMP\C3880349\ ist ein Ordner, der AdAware nach dem Start vom Scanvorgeng erstellt. In den Ordner werden die Funde von Adware verschoben. Quelle von Adware musst du im AdAware-Scanprotokoll nachschauen.
Versuche noch das: eScan genau nach Anleitung (bitte ausdrucken und aufmerksam lesen) im abgesicherten Modus laufen lassen. Log hier Posten.

Cidre 14.05.2005 18:12
@ test4me

So wie's aussieht, wird dieser temporäre Ordner von Ad-Aware angelegt, siehe auch http://forums.pcper.com/showthread.p...65&postcount=7.

btw:
Beim Scannen mit Ad-Aware sollte natürlich der aktive Guard von Avast vorrübergehend deaktiviert werden. ;)

EDIT:
Doppelt gemoppelt hält besser, Rene-gad. ;)

test4me 14.05.2005 18:48
ok!

Super das mit avast abdrehen lol das wusste ich nicht und prompt hat adaware das gemacht was es machen soll mailware ist weg, hoffentlich endgültig.
nachmals danke and rene-gad für deine geduld und cidre lg n.k.

cronos 14.05.2005 18:50
BTW-es heist malware (engl. malicious = boshaft und Software) und nicht mailware.Hat nix mit Post zu tun ;)


Alle Zeitangaben in WEZ +1. Es ist jetzt 07:02 Uhr.
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131