Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   CoolWebSearch, die nächste (https://www.trojaner-board.de/18706-coolwebsearch-naechste.html)

Hella 07.06.2005 15:16
CoolWebSearch, die nächste
 
CWS :snyper:

Sicher kann mir hier jemand helfen. Ich habe leider auch die coole Suchmaschine drauf.

Code:
Logfile of HijackThis v1.99.1
Scan saved at 15:59:02, on 07.06.2005
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Messenger Plus! 3\MsgPlus.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\javazc32.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\FreeMem Standard\freemem.exe
C:\Programme\Mouse\Mouse Control\Panel.exe
C:\Programme\NoPopUp 2003\nopopup.exe
C:\Programme\Netropa\Multimedia Keyboard\TrayMon.exe
C:\Programme\Netropa\Onscreen Display\OSD.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\WINDOWS\netfw.exe
C:\Programme\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\download\HijackThis.exe

R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Class - {42818257-D0FC-EEBA-AAE9-8A81C72D9FD3} - C:\WINDOWS\system32\ntwl32.dll
O2 - BHO: Class - {955B5394-D169-C5F4-89C3-EE8C8FAA53BF} - C:\WINDOWS\system32\ntwl32.dll
O2 - BHO: Class - {C6A53716-4EDC-CC43-99E1-9DBC615B7F1D} - C:\WINDOWS\system32\ntwl32.dll
O2 - BHO: Class - {DF6EE72D-6DA9-D49D-AEDC-B86B1D310C21} - C:\WINDOWS\system32\ntwl32.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [IEXPLORE.EXE] C:\Programme\Internet Explorer\IEXPLORE.EXE
O4 - HKLM\..\Run: [javazc32.exe] C:\WINDOWS\javazc32.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [MemoPlatformFilmFour] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Firstoptionmemoplatform\FunkBits.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKCU\..\Run: [FreeMem Pro] "C:\Programme\FreeMem Standard\freemem.exe" Startup
O4 - HKCU\..\Run: [jumpcast] C:\DOKUME~1\Hella\ANWEND~1\MPEGEQ~1\activeclock.exe
O4 - Startup: Reboot.exe
O4 - Global Startup: Mouse Control Center.lnk = C:\Programme\Mouse\Mouse Control\Panel.exe
O4 - Global Startup: NoPopUp 2003 (minimiert).lnk = C:\Programme\NoPopUp 2003\nopopup.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra button: Preispiraten - {94A15285-AAE6-44E8-B2D7-4A2C6CDA9185} - C:\Programme\Preispiraten\preispiraten.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O16 - DPF: {40BF816B-D862-41B9-9445-ECA36D5F67F9} (Flatcast Viewer 4.12) - http://www.1mal1.com/flatcast/NpFv412.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1099579266057
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.mr-virus.cc/scan/Msie/bitdefender.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game15.zylomgames.com/activex/zylomgamesplayer.cab
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IP-Uploader Control) - http://asp05.photoprintit.de/microsite/defaults/activex/ImageUploader3.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://www.shockwave.com/content/zuma/popcaploader_v5.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9452854D-0494-4F12-8AA3-49C54F9BFB49}: NameServer = 217.237.148.1 217.237.148.17
O23 - Service: Workstation NetLogon Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\netfw.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe (file missing)
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
Was muss ich mit den Einträgen in der Registry machen? Kann ich die einfach rauslöschen?

Code:
CoolWebSearch Objekt erkannt!
    Typ                : Regkey
    Daten              :
    Kategorie          : Malware
    Kommentar          :
    ROOTKEY            : HKEY_LOCAL_MACHINE
    Objekt            : software\microsoft\internet explorer\urlsearchhooks

 CoolWebSearch Objekt erkannt!
    Typ                : RegValue
    Daten              :
    Kategorie          : Malware
    Kommentar          :
    ROOTKEY            : HKEY_LOCAL_MACHINE
    Objekt            : software\microsoft\internet explorer\urlsearchhooks
    Wert              : {C6A53716-4EDC-CC43-99E1-9DBC615B7F1D}

 CoolWebSearch Objekt erkannt!
    Typ                : RegValue
    Daten              :
    Kategorie          : Malware
    Kommentar          :
    ROOTKEY            : HKEY_LOCAL_MACHINE
    Objekt            : software\microsoft\internet explorer\main
    Wert              : Use Search Asst

 CoolWebSearch Objekt erkannt!
    Typ                : RegData
    Daten              : no
    Kategorie          : Malware
    Kommentar          :
    ROOTKEY            : HKEY_CURRENT_USER
    Objekt            : software\microsoft\internet explorer\main
    Wert              : Use Search Asst
    Daten              : no

 CoolWebSearch Objekt erkannt!
    Typ                : RegData
    Daten              : no
    Kategorie          : Malware
    Kommentar          :
    ROOTKEY            : HKEY_LOCAL_MACHINE
    Objekt            : software\microsoft\internet explorer\main
    Wert              : Use Search Asst
    Daten              : no

 CoolWebSearch Objekt erkannt!
    Typ                : Datei
    Daten              : wbemess.log
    Kategorie          : Malware
    Kommentar          :
    Objekt            : C:\WINDOWS\System32\wbem\logs\
Ich bedanke mich schon jetzt für die Hilfe, die mir hier zuteil werden wird.


Schönen Abend! :juul: Hella

cronos 07.06.2005 15:22
Lass zunächst folgende Dateien:

C:\WINDOWS\javazc32.exe
C:\WINDOWS\netfw.exe
C:\WINDOWS\system32\ntwl32.dll

hier prüfen:


http://virusscan.jotti.org/de/

Teile uns die Ergebnisse mit.
Evtl. musst du entsprechende Prozesse vor dem Upload im Taskmanager beenden.

Hella 07.06.2005 16:54
Vielen Dank cronos!

Code:
Datei:  javazc32.exe 
Status:  INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.) 
Entdeckte Packprogramme:  UPX
 
AntiVir  Keine Viren gefunden
Avast  Keine Viren gefunden
AVG Antivirus  Keine Viren gefunden
BitDefender  Keine Viren gefunden
ClamAV  Keine Viren gefunden
Dr.Web  Trojan.Fakealert gefunden 
F-Prot Antivirus  W32/Agent.NG gefunden 
Fortinet  W32/Agent.BQ-tr gefunden 
Kaspersky Anti-Virus  Trojan-Downloader.Win32.Agent.bq gefunden 
mks_vir  Trojan.Downloader.Agent.Bq gefunden 
NOD32  Win32/TrojanDownloader.Agent gefunden 
Norman Virus Control  Keine Viren gefunden
VBA32  Trojan-Downloader.Win32.Agent.bq gefunden
Code:
Datei:  ntwl32.dll 
Status:  INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.) 
Entdeckte Packprogramme:  UPX
 
AntiVir  Keine Viren gefunden
Avast  Keine Viren gefunden
AVG Antivirus  Keine Viren gefunden
BitDefender  Keine Viren gefunden
ClamAV  Trojan.Downloader.Agent.AC gefunden 
Dr.Web  Keine Viren gefunden
F-Prot Antivirus  Keine Viren gefunden
Fortinet  Keine Viren gefunden
Kaspersky Anti-Virus  Trojan-Downloader.Win32.Agent.pe gefunden 
mks_vir  Keine Viren gefunden
NOD32  Keine Viren gefunden
Norman Virus Control  Keine Viren gefunden
VBA32  Embedded.TrojanDownloader.Win32.Agent.bc gefunden (mögliche Variante)

netfw lässt sich trotz Prozess beenden nicht hochladen. Da steht:

The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file

Ich versuchs aber weiter :)

was ich da so lese.... ich dacht: eine Suchmaschine, die bekomm ich schon wieder weg.... und nun, doch problematisch....

Danke Hella

Hella 07.06.2005 17:02
Code:
Datei:  netfw.exe 
Status:  INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.) 
Entdeckte Packprogramme:  UPX
 
AntiVir  Keine Viren gefunden
Avast  Keine Viren gefunden
AVG Antivirus  Keine Viren gefunden
BitDefender  Keine Viren gefunden
ClamAV  Keine Viren gefunden
Dr.Web  Trojan.MulDrop.2295 gefunden 
F-Prot Antivirus  Keine Viren gefunden
Fortinet  W32/Agent.EM-tr gefunden 
Kaspersky Anti-Virus  Trojan.Win32.Agent.em gefunden 
mks_vir  Trojan.Agent.Em gefunden 
NOD32  Win32/Agent.EM gefunden 
Norman Virus Control  Keine Viren gefunden
VBA32  Trojan.Win32.Agent.em gefunden
geschafft!

Ich warte gespannt auf fachmännischen Rat :heilig:

Hella

cronos 07.06.2005 17:32
Zunächst möchte ich anmerken, dass eine Bereinigung nur Sinn macht, wenn du dir schnellstens Service Pack 2 installierst und danach www.windowsupdate.com besuchst und dir alle wichtigen Updates runterlädst.

Gehe jetzt wie folgt vor:

Lade dir das Programm CWShredder und installiere es.
Wechsle jetzt in den abgesicherten Modus bei deaktivierter Systemwiederherstellung:

http://www.bsi.bund.de/av/texte/wiederher_xp.htm

Fixe mittels Hijackthis folgende Einträge:

R3 - Default URLSearchHook is missing
O2 - BHO: Class - {42818257-D0FC-EEBA-AAE9-8A81C72D9FD3} - C:\WINDOWS\system32\ntwl32.dll
O2 - BHO: Class - {955B5394-D169-C5F4-89C3-EE8C8FAA53BF} - C:\WINDOWS\system32\ntwl32.dll
O2 - BHO: Class - {C6A53716-4EDC-CC43-99E1-9DBC615B7F1D} - C:\WINDOWS\system32\ntwl32.dll
O2 - BHO: Class - {DF6EE72D-6DA9-D49D-AEDC-B86B1D310C21} - C:\WINDOWS\system32\ntwl32.dll
O4 - HKLM\..\Run: [javazc32.exe] C:\WINDOWS\javazc32.exe
O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe (file missing)

Lösche mittels Killbox folgende Dateien:

C:\WINDOWS\javazc32.exe
C:\WINDOWS\netfw.exe
C:\WINDOWS\system32\ntwl32.dll


dazu:

Zitat:
Kopiere den Pfad der Malware Datei z.B. C:\WINDOWS\system32\fltmgr.dll -> füge diesen in KillBox ein -> wähle die Option 'Delete on reboot' -> rotes X anklicken -> die zwei folgenden Fragen mit 'JA' und 'NEIN' beantworten -> nächsten Pfad einfügen usw. -> wenn du bei der letzten Datei angekommen bist, dann beantworte beide Fragen mit 'JA' und ein Neustart deines Systems wird durchgeführt.
Nach dem Neustart wieder in den abgesicherten Modus wechseln und CWShredder laufen lassen.

Danach Neustart in den normalen Modus, Systemwiederherstellung anschalten und neuen HJT-Log posten.

Cidre 07.06.2005 17:36
@ cronos
Zitat:
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
Ich gehe mal von einen copy&paste Fehler aus, oder? ;)

cronos 07.06.2005 17:38
@ cidre

Wie recht du hast, na hoffentlich hats keiner gesehen.

:party:

Hella 08.06.2005 21:20
Hallo,
hab alles ausgeführt, SP2 ist das nächste. :headbang:

Hier mein aktuelles Logfile:
Code:
Logfile of HijackThis v1.99.1
Scan saved at 22:13:09, on 08.06.2005
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Messenger Plus! 3\MsgPlus.exe
C:\Programme\Netropa\Multimedia Keyboard\TrayMon.exe
C:\Programme\Netropa\Onscreen Display\OSD.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\FreeMem Standard\freemem.exe
C:\Programme\Mouse\Mouse Control\Panel.exe
C:\Programme\NoPopUp 2003\nopopup.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\download\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [IEXPLORE.EXE] C:\Programme\Internet Explorer\IEXPLORE.EXE
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [MemoPlatformFilmFour] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Firstoptionmemoplatform\FunkBits.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKCU\..\Run: [FreeMem Pro] "C:\Programme\FreeMem Standard\freemem.exe" Startup
O4 - HKCU\..\Run: [jumpcast] C:\DOKUME~1\Hella\ANWEND~1\MPEGEQ~1\activeclock.exe
O4 - Startup: Reboot.exe
O4 - Global Startup: Mouse Control Center.lnk = C:\Programme\Mouse\Mouse Control\Panel.exe
O4 - Global Startup: NoPopUp 2003 (minimiert).lnk = C:\Programme\NoPopUp 2003\nopopup.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra button: Preispiraten - {94A15285-AAE6-44E8-B2D7-4A2C6CDA9185} - C:\Programme\Preispiraten\preispiraten.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O16 - DPF: {40BF816B-D862-41B9-9445-ECA36D5F67F9} (Flatcast Viewer 4.12) - http://www.1mal1.com/flatcast/NpFv412.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1099579266057
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.mr-virus.cc/scan/Msie/bitdefender.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game15.zylomgames.com/activex/zylomgamesplayer.cab
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IP-Uploader Control) - http://asp05.photoprintit.de/microsite/defaults/activex/ImageUploader3.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://www.shockwave.com/content/zuma/popcaploader_v5.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9452854D-0494-4F12-8AA3-49C54F9BFB49}: NameServer = 217.237.148.1 217.237.148.17
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe (file missing)
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
Wie stehts? Wird mein Baby überleben?

Warte gespannt auf das Urteil ;)

Cidre 08.06.2005 21:29
Fixe diese Einträge noch, wenn du sie nicht zuordnen kannst:
O4 - HKLM\..\Run: [MemoPlatformFilmFour] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Firstoptionmemoplatform\FunkBits.exe
O4 - HKCU\..\Run: [jumpcast] C:\DOKUME~1\Hella\ANWEND~1\MPEGEQ~1\activeclock.exe
Alle O16

Ansonsten würde ich sagen, daß das Log-File sauber wäre.
Aktualisiere JRE und installiere abschließend das SP2. Weitere Absicherungsmaßnahmen kannst du aus meiner Signatur entnehmen.

Hella 08.06.2005 21:49
Vielen Dank!

Habe die beiden Einträge noch gefixt.

Schönen Abend!
:huepp: Hella

Hella 08.06.2005 22:05
Ach, ich hab noch ne Frage....

da is der Ordner !Submit ....

den lösch ich, ja?

Cidre 08.06.2005 22:14
Der Ordner '!Submit' ist das angelegte Backup von KillBox. Wenn dein System einwandfrei funktioniert, dann kannst du auch diesen Ordner löschen.

Hella 08.06.2005 22:25
Nun hat sich das auch erledigt, Antivir hat den Inhalt gelöscht ;)

Nochmal vielen Dank!

Wie wahr ist es doch.... der PC ist nur so schlau wie sein Benutzer :heilig:

Cidre 08.06.2005 22:40
Yepp und letzteres kann man sich anlesen/aneignen. ;)

Hella 10.06.2005 13:59
Hallo,
... nein, ich hab nich schon wieder ein CWS-Problem.

Ich hab eine Frage.

Ich habe ein Überbleibsel, der Internet-Explorer geht beim Systemstart auf.

Kann ich das wieder wegmachen?

Viele Grüße
Hella

Haui45 10.06.2005 14:02
Poste ein HijackThis-Logfile, aber setz es bitte nicht in Code-Tags.

Hella 10.06.2005 14:13
Hier das Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 15:06:34, on 10.06.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Messenger Plus! 3\MsgPlus.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\FreeMem Standard\freemem.exe
C:\Programme\Mouse\Mouse Control\Panel.exe
C:\Programme\NoPopUp 2003\nopopup.exe
C:\Programme\Netropa\Multimedia Keyboard\TrayMon.exe
C:\Programme\Netropa\Onscreen Display\OSD.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\Programme\Microsoft Office\Office10\OUTLOOK.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\download\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [IEXPLORE.EXE] C:\Programme\Internet Explorer\IEXPLORE.EXE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKCU\..\Run: [FreeMem Pro] "C:\Programme\FreeMem Standard\freemem.exe" Startup
O4 - Global Startup: Mouse Control Center.lnk = C:\Programme\Mouse\Mouse Control\Panel.exe
O4 - Global Startup: NoPopUp 2003 (minimiert).lnk = C:\Programme\NoPopUp 2003\nopopup.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra button: Preispiraten - {94A15285-AAE6-44E8-B2D7-4A2C6CDA9185} - C:\Programme\Preispiraten\preispiraten.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O16 - DPF: {40BF816B-D862-41B9-9445-ECA36D5F67F9} (Flatcast Viewer 4.12) - h**p://www.1mal1.com/flatcast/NpFv412.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1099579266057
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - h**p://www.mr-virus.cc/scan/Msie/bitdefender.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - h**p://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - h**p://game15.zylomgames.com/activex/zylomgamesplayer.cab
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IP-Uploader Control) - h**p://asp05.photoprintit.de/microsite/defaults/activex/ImageUploader3.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - h**p://www.shockwave.com/content/zuma/popcaploader_v5.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9452854D-0494-4F12-8AA3-49C54F9BFB49}: NameServer = 217.237.148.1 217.237.148.17
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe (file missing)
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe

und nicht im Code-Tag. Ich dachte, den nimmt man, um die url´s nicht klickbar zu machen. Hab sie nun mit Sternchen versehen.

Hella

Cidre 10.06.2005 18:25
Fixe diesen Eintrag und auch dieses Problem sollte behoben sein:
O4 - HKLM\..\Run: [IEXPLORE.EXE] C:\Programme\Internet Explorer\IEXPLORE.EXE

btw:
Immer noch keine Zeit für das Installieren von SP2 gefunden?!


Alle Zeitangaben in WEZ +1. Es ist jetzt 07:19 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131