Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Nach Reinigung immer noch einige Objekte im System (https://www.trojaner-board.de/18923-reinigung-immer-noch-einige-objekte-system.html)

brembak 13.06.2005 18:31

Nach Reinigung immer noch einige Objekte im System
 
Hallo zusammen,

habe meinen Rechner überwiegend gereinigt. Allerdings gibt es noch so ein paar hartnäckige Objekte, die ich nicht wirklich wegbekomme. Kann mir jemand helfen, die restlichen Objekte vom meinem Rechner zu entfernen?`

Der Hijack Log sieht folgendermaßen aus:

Logfile of HijackThis v1.99.1
Scan saved at 16:39:43, on 13.06.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.web.de/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\System32\sistray.EXE
O4 - HKLM\..\Run: [CHotKey] mHotkey.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O15 - Trusted IP range: 81.222.131.59
O15 - Trusted IP range: 81.222.131.59 (HKLM)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1097416916398
O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - h**p://us.dl1.yimg.com/download.companion.yahoo.com/dl/toolbar/yiebio5_3_18_0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A8995B4D-82F5-40C7-8345-24C592BFD9B3}: NameServer = 192.168.1.13,192.168.1.254
O17 - HKLM\System\CCS\Services\Tcpip\..\{FF4FAFBA-198B-40F7-8499-B54E2088467C}: NameServer = 192.169.1.13,192.168.1.254
O18 - Filter: text/html - {33D4A320-F24D-48D9-B940-DAB1A49E27DA} - C:\Dokumente und Einstellungen\R~ B~\Lokale Einstellungen\Anwendungsdaten\microsoft\internet explorer\V0.28.dat
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe (file missing)


Nach dem eScan wurden folgende Objelte und Einträge gefunden:

Object "MyBar Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "AltNet Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "CoolWebSearch Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "updater Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "eZula Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "l.exe Spyware/Adware" found in File System! Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" refers to invalid object "C:\WINDOWS\Downloaded Program Files\loader2.ocx". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" refers to invalid object "C:\WINDOWS\Downloaded Program Files\MediaTicketsInstaller.ocx". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" refers to invalid object "C:\WINDOWS\Downloaded Program Files\ycomp5_0_2_7.dll". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\Downloaded Program Files\ycomp5_0_2_7.dll". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\Downloaded Program Files\MediaTicketsInstaller.ocx". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{0DED49D5-A8B7-4d5d-97A1-12B0C195874D}" refers to invalid object "BdaPlgin.ax". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{248DD896-BB45-11CF-9ABC-0080C7E7B78D}" refers to invalid object "C:\WINDOWS\System32\MSWINSCK.OCX". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{248DD897-BB45-11CF-9ABC-0080C7E7B78D}" refers to invalid object "C:\WINDOWS\System32\MSWINSCK.OCX". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{33D4A320-F24D-48D9-B940-DAB1A49E27DA}" refers to invalid object "C:\Dokumente und Einstellungen\R~ B~\Lokale Einstellungen\Anwendungsdaten\microsoft\internet explorer\V0.28.dat". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{3A6F7F8D-45E5-11D4-AC3E-ADBCE8B30410}" refers to invalid object "C:\WINDOWS\System32\VSRpt7.ocx". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{9EFBF860-5685-11D3-AA3D-00C04F4C5275}" refers to invalid object "cdooff.dll". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{A8561647-E93C-11d3-AC3B-CE6078F7B616}" refers to invalid object "C:\WINDOWS\System32\VSPRINT7.ocx". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{B0693766-5278-4ec6-B9E1-3CE40560EF5A}" refers to invalid object "CaPlgin.ax". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{B8185080-AEF8-11D3-9A1E-444553540000}" refers to invalid object "C:\WINDOWS\System32\VSRpt7.ocx". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{BC54B24C-5A97-4C19-9181-8B8A05B2E931}" refers to invalid object "C:\WINDOWS\System32\nsi2.dll". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{BD9584EF-C28C-4F6D-8D49-0CEE3C0E442F}" refers to invalid object "C:\WINDOWS\System32\nsi2.dll". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{C7888681-1A83-4C14-B9A5-95F91240B44F}" refers to invalid object "C:\WINDOWS\System32\nsi2.dll". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{FD0A5AF3-B41D-11d2-9C95-00C04F7971E0}" refers to invalid object "BdaPlgin.ax". Action Taken: No Action Taken.
Entry "HKCR\btnetw.ohb" refers to invalid object "{9ADE0443-2AB2-4B23-A3F8-AC520773DE12}". Action Taken: No Action Taken.
Entry "HKCR\btnetw.ohb.1" refers to invalid object "{9ADE0443-2AB2-4B23-A3F8-AC520773DE12}". Action Taken: No Action Taken.
Entry "HKCR\VBRun.VBRunDLL" refers to invalid object "{197B8CA4-E215-46DD-8F33-E0544A80E5C4}". Action Taken: No Action Taken.
Entry "HKCR\VBRun.VBRunDLL.1" refers to invalid object "{197B8CA4-E215-46DD-8F33-E0544A80E5C4}". Action Taken: No Action Taken.


O15 - Trusted IP range: 81.222.131.59
O15 - Trusted IP range: 81.222.131.59 (HKLM)

kann ich durch bloßes fixen nicht entfernen. Auch weiß ich nicht wie ich die Objekte im File System lösche und die Entries los werde. Hoffe, jemand kann mir dabei helfen.

Vielen dank.

chaosman 13.06.2005 19:25

@brembak
habe meinen Rechner überwiegend gereinigt.
Was war den alles drauf?

Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
system und IE total veraltet. warum updatest du nicht?

poste danach ein HJT logfile aus den normalen modus

unter systemsteuerung, software, Mybar deinstallieren.
spybot updaten
Adaware downloaden, updaten, beide programme in den abgesicherten modus scannen lassen.
chaosman

brembak 15.06.2005 11:03

@chaosman

hatte relativ viele trojaner und malware auf meinem rechner. hatte auch mein hijack this log und meinen escann hier vor kurzem angegeben und hilfreiche tipps bekommen wie ich sie entferne.

bezüglich update: ich kann mir leider das sp1 und sp2 nicht runterladen, da ich keine offizielle version von xp habe. den ie benutze ich nicht mehr. nur noch firefox.

so hier noch mal mein logfile aus dem normalen Modus nach allen von dir beschriebenen maßnahmen.

Vorweg: folgende Einträge sind nach allen bemühungen nicht zu entfernen:

O15 - Trusted IP range: 81.222.131.59 (HKLM) im Logfile und im escann siehe unten.

Logfile of HijackThis v1.99.1
Scan saved at 11:59:25, on 15.06.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\msdtc.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\sistray.EXE
C:\WINDOWS\mHotkey.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.web.de/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\System32\sistray.EXE
O4 - HKLM\..\Run: [CHotKey] mHotkey.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O15 - Trusted IP range: 81.222.131.59 (HKLM)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1097416916398
O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - h**p://us.dl1.yimg.com/download.companion.yahoo.com/dl/toolbar/yiebio5_3_18_0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A8995B4D-82F5-40C7-8345-24C592BFD9B3}: NameServer = 192.168.1.13,192.168.1.254
O17 - HKLM\System\CCS\Services\Tcpip\..\{FF4FAFBA-198B-40F7-8499-B54E2088467C}: NameServer = 192.169.1.13,192.168.1.254
O18 - Filter: text/html - {33D4A320-F24D-48D9-B940-DAB1A49E27DA} - C:\Dokumente und Einstellungen\R~ B~\Lokale Einstellungen\Anwendungsdaten\microsoft\internet explorer\V0.28.dat
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe (file missing)



Object "AltNet Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "CoolWebSearch Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "l.exe Spyware/Adware" found in File System! Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" refers to invalid object "C:\WINDOWS\Downloaded Program Files\loader2.ocx". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" refers to invalid object "C:\WINDOWS\Downloaded Program Files\MediaTicketsInstaller.ocx". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" refers to invalid object "C:\WINDOWS\Downloaded Program Files\ycomp5_0_2_7.dll". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\Downloaded Program Files\ycomp5_0_2_7.dll". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\Downloaded Program Files\MediaTicketsInstaller.ocx". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{0DED49D5-A8B7-4d5d-97A1-12B0C195874D}" refers to invalid object "BdaPlgin.ax". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{248DD896-BB45-11CF-9ABC-0080C7E7B78D}" refers to invalid object "C:\WINDOWS\System32\MSWINSCK.OCX". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{248DD897-BB45-11CF-9ABC-0080C7E7B78D}" refers to invalid object "C:\WINDOWS\System32\MSWINSCK.OCX". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{33D4A320-F24D-48D9-B940-DAB1A49E27DA}" refers to invalid object "C:\Dokumente und Einstellungen\R~ B~\Lokale Einstellungen\Anwendungsdaten\microsoft\internet explorer\V0.28.dat". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{3A6F7F8D-45E5-11D4-AC3E-ADBCE8B30410}" refers to invalid object "C:\WINDOWS\System32\VSRpt7.ocx". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{9EFBF860-5685-11D3-AA3D-00C04F4C5275}" refers to invalid object "cdooff.dll". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{A8561647-E93C-11d3-AC3B-CE6078F7B616}" refers to invalid object "C:\WINDOWS\System32\VSPRINT7.ocx". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{B0693766-5278-4ec6-B9E1-3CE40560EF5A}" refers to invalid object "CaPlgin.ax". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{B8185080-AEF8-11D3-9A1E-444553540000}" refers to invalid object "C:\WINDOWS\System32\VSRpt7.ocx". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{BC54B24C-5A97-4C19-9181-8B8A05B2E931}" refers to invalid object "C:\WINDOWS\System32\nsi2.dll". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{BD9584EF-C28C-4F6D-8D49-0CEE3C0E442F}" refers to invalid object "C:\WINDOWS\System32\nsi2.dll". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{C7888681-1A83-4C14-B9A5-95F91240B44F}" refers to invalid object "C:\WINDOWS\System32\nsi2.dll". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{FD0A5AF3-B41D-11d2-9C95-00C04F7971E0}" refers to invalid object "BdaPlgin.ax". Action Taken: No Action Taken.
Entry "HKCR\btnetw.ohb" refers to invalid object "{9ADE0443-2AB2-4B23-A3F8-AC520773DE12}". Action Taken: No Action Taken.
Entry "HKCR\btnetw.ohb.1" refers to invalid object "{9ADE0443-2AB2-4B23-A3F8-AC520773DE12}". Action Taken: No Action Taken.
Entry "HKCR\VBRun.VBRunDLL" refers to invalid object "{197B8CA4-E215-46DD-8F33-E0544A80E5C4}". Action Taken: No Action Taken.
Entry "HKCR\VBRun.VBRunDLL.1" refers to invalid object "{197B8CA4-E215-46DD-8F33-E0544A80E5C4}". Action Taken: No Action Taken.
File C:\!Submit\COMMCOS2.DLL tagged as "not-a-virus:AdWare.SafeSurfing.j". Action Taken: No Action Taken.


Dieses file kommt auch immer wieder:
File C:\!Submit\COMMCOS2.DLL tagged as "not-a-virus:AdWare.SafeSurfing.j". Action Taken: No Action Taken.
kann man da was machen?

und was ist mit den restlichen objekten und einträgen aus dem escann? wie werde ich die noch los?

danke euch.

Don Zerlego 15.06.2005 12:43

Dem Mann sollte nicht geholfen werden.
Thread kann´man in die Mülltonne werfen.
Kauf erst mal legal Wind. XP dann klappts auch mit
den Patchen. :pfui:

Rene-gad 15.06.2005 13:14

Zitat:

Zitat von Don Zerlego
Dem Mann sollte nicht geholfen werden.
Thread kann´man in die Mülltonne werfen.
Kauf erst mal legal Wind. XP dann klappts auch mit
den Patchen. :pfui:

Full Ack :daumenhoc.


Alle Zeitangaben in WEZ +1. Es ist jetzt 02:51 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131