Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Java bytever a1???? +logfile (https://www.trojaner-board.de/18880-java-bytever-a1-logfile.html)

p4uL 12.06.2005 17:10
Java bytever a1???? +logfile
 
Hi!
Ich kenne mich nicht sehr mit trojanern aus. Mein Virenprogramm hat 3 files in C:\Einstellungen & Anwendungen\etc... gefunden (Black Box, Dummy class, Verifier Bug). Alle infiziert. In letzter Zeit hat sich auch die datei spfirewallsvc.exe auf 126 MB und mehr speicher im taskmanager aufgebläht, wenn ich etwas im netz geladen hab.
Kann mir bitte jemand weiterhelfen?
Muss ich nochetwas löschen, ausser diesen 3 files?
Danke schonmal!
Hab mir Hijackthis runtergeladen und folgendes logfile erstellt:

Logfile of HijackThis v1.99.1
Scan saved at 17:50:12, on 12.06.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\Programme\Intel\Wireless\Bin\WLKeeper.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Intel\Wireless\Bin\OProtSvc.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\Programme\Schönherr Personal Firewall\driver\spfirewallsvc.exe
C:\Programme\Intel\Wireless\Bin\ZcfgSvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\ATK0100\HControl.exe
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\Programme\Intel\Wireless\Bin\EOUWiz.exe
C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\SpeedswitchXP\SpeedswitchXP.exe
C:\Programme\Bandwidth Monitor Pro\Bandwidth Monitor Pro.exe
C:\Programme\Asus\Asus ChkMail\ChkMail.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ntvdm.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\Mozilla Firefox\firefox.exe
c:\Programme\Trend Micro\PC-cillin 2002\Tmntsrv.exe
c:\Programme\Trend Micro\PC-cillin 2002\PCCCLIENT.EXE
c:\Programme\Trend Micro\PC-cillin 2002\PCCGUIDE.EXE
c:\Programme\Trend Micro\PC-cillin 2002\POP3TRAP.EXE
c:\Programme\Trend Micro\PC-cillin 2002\PCCMAIN.EXE
D:\Downloads\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.asus.com.tw
O4 - HKLM\..\Run: [Power_Gear] C:\Progra~1\ASUS\Power4 Gear\BatteryLife.exe 1
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [pccguide.exe] "c:\Programme\Trend Micro\PC-cillin 2002\pccguide.exe"
O4 - HKLM\..\Run: [PCCClient.exe] "c:\Programme\Trend Micro\PC-cillin 2002\PCCClient.exe"
O4 - HKLM\..\Run: [Pop3trap.exe] "c:\Programme\Trend Micro\PC-cillin 2002\Pop3trap.exe"
O4 - HKLM\..\Run: [Hcontrol] C:\WINDOWS\ATK0100\HControl.exe
O4 - HKLM\..\Run: [IntelWireless] C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [EOUApp] C:\Programme\Intel\Wireless\Bin\EOUWiz.exe
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpeedswitchXP] C:\Programme\SpeedswitchXP\SpeedswitchXP.exe
O4 - HKCU\..\Run: [Bandwidth Monitor Pro] "C:\Programme\Bandwidth Monitor Pro\Bandwidth Monitor Pro.exe" /minimized
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: ASUS ChkMail.lnk = C:\Programme\Asus\Asus ChkMail\ChkMail.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.asus.com.tw
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?link...67&clcid=0x409
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1112812007990
O17 - HKLM\System\CCS\Services\Tcpip\..\{0286E0E9-FA33-4575-9A68-6C62834C597B}: NameServer = 192.168.1.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{0286E0E9-FA33-4575-9A68-6C62834C597B}: NameServer = 192.168.1.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{0286E0E9-FA33-4575-9A68-6C62834C597B}: NameServer = 192.168.1.1
O20 - Winlogon Notify: IntelWireless - C:\Programme\Intel\Wireless\Bin\LgNotify.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: EvtEng - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: OwnershipProtocol - Intel Corporation - C:\Programme\Intel\Wireless\Bin\OProtSvc.exe
O23 - Service: PC-cillin PersonalFirewall (PCCPFW) - Trend Micro Inc. - c:\Programme\Trend Micro\PC-cillin 2002\PCCPFW.exe
O23 - Service: RadClock - Unknown owner - C:\WINDOWS\system32\RadClock.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Securepoint Personal Firewall (spfirewallsvc) - Securepoint Latinoamerica S.A. de C.V. - C:\Programme\Schönherr Personal Firewall\driver\spfirewallsvc.exe
O23 - Service: Trend NT Realtime Service (Tmntsrv) - Trend Micro Inc. - c:\Programme\Trend Micro\PC-cillin 2002\Tmntsrv.exe
O23 - Service: WLANKEEPER - Intel® Corporation - C:\Programme\Intel\Wireless\Bin\WLKeeper.exe

Rene-gad 12.06.2005 17:19
@p4uL

Als Allererstes mach bitte dein PC sauber:
1.Systemwiederherstellung abschalten
2. Dieses Bereinigungsprogramm hilft dir, den ganzen Müll aus den Temp-Ordner und Papierkorb zu entfernen.
3. Infected-Ordner des Antivirus-Programms, ggf. auch von Spybot Search & Destroy, Ad-Aware usw. leeren. Der Name des Ordners sowie Pfad sind Programm- und Benutzerabhängig. Bitte RTFM zum AV-Programm. Bei einigen Programmen (z. B. AVPE) ist diese Option nicht im Programm integriert. In dem Fall soll dies manuell erfolgen.

Danach bitte eScan genau nach Anleitung (bitte ausdrucken und aufmerksam lesen) im abgesicherten Modus laufen lassen. Log hier Posten

p4uL 12.06.2005 19:09
Hi! Danke für die schenlle Antowrt.
Hat n bischen gedauert, alles zu machen. Werde die Log dann gleich mal posten.

p4uL 12.06.2005 19:39
Hi!
Kann mit meinem Notbook irgendwie nicht in den abgesicherten Modus. Hab das Programm unter normalbetrieb durchlaufen lassen.
Hier die Log: Auch wenns vermutlich nichts bringt.
N Tip, wie ich wieder in den abgesicherten modus kann (notebook hängt sich mit blinkendem cursor oben links und festplatten LED an auf) habt ihr nicht oder?
Gruß

PS: Log Datei viel zu lang. Soll ich sie trotzdem posten??

Haui45 12.06.2005 19:44
Zitat:
Zitat von p4uL
PS: Log Datei viel zu lang. Soll ich sie trotzdem posten??
Hast du die Anleitung gelesen? Wenn ja, ist die Frage überflüssig, wenn nein, solltest du dies nachholen.

Zitat:
Kann mit meinem Notbook irgendwie nicht in den abgesicherten Modus.
Was für ein Notebook? Was steht im Handbuch?
Hier gibt es eine ausführliche Beschreibung -> http://service1.symantec.com/SUPPORT...dSection=4%2C2
Du solltest beim Weg über msconfig vorsichtig sein, da es in einigen wenigen Fällen passieren kann, dass sich der PC nicht mehr richtig starten lässt!

p4uL 13.06.2005 10:57
Hi!
Ich habe natürlich alles aufmerksam gelesen und versucht es so zu machen. Die Systemwiederherstellung ist bei mir standard aus, im AM war ich vorher noch nie. War nie nötig.
Allerdings fährt der abgesicherte Modus mit f8 nicht hoch :headbang: und das ganze mit der msconfig probieren will ich nicht. Was ist wenn er sich dann gar nicht mehr hochfahren lässt? Alles wäre weg. :crazy: :heulen:
Ich müsste vorher (mir fällt auf, dass es eh mal notwendig wäre :D ) ein komplettes Backup von allen Daten machen.
Ich habe ein Asus M6886NeWP mit 2,0 Centrino, ca. 3/4 jahr. Da sollte es schon möglich sein in diesen verdammt Abesicherten Modus zu wechseln. :balla:
Solltest Du noch irgendwelche Tips haben, her damit! Ansonsten poste ich dann, wenn ich ein Backup gemacht habe wieder. Kann allerdings dauern.
Vielen Dank bis hierher... :aplaus: :daumenhoc
PS: Im normalen Modus hat das Programm im übrigen keine Malware gefunden


Alle Zeitangaben in WEZ +1. Es ist jetzt 19:34 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55