|
puper und click.age infiziert Habe o.a. trojaner, die auch nach dem fixen bei jedem Neustart wieder im System sind. Kann nur im abgesicherten Modus booten. Wer kann mir helfen? Anbei die Logdatei: Logfile of HijackThis v1.99.1 Scan saved at 11:17:34, on 24.06.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\SYSTEM32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\shnlog.exe C:\WINDOWS\popuper.exe C:\WINDOWS\system32\intmonp.exe C:\WINDOWS\system32\intmon.exe p:\AVPersonal\AVGUARD.EXE p:\AVPersonal\AVWUPSRV.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe P:\NORTON~1\NORTON~1\NPROTECT.EXE P:\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE C:\WINDOWS\system32\wuauclt.exe C:\DOKUME~1\Gerd\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.oneclicksearches.com/search.php?qq=%1 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.oneclicksearches.com/bar.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.oneclicksearches.com/search.php?qq=%1 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.oneclicksearches.com/search.php?qq=%1 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.oneclicksearches.com/search.php?qq=%1 R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.oneclicksearches.com/search.php?qq=%1 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.oneclicksearches.com/ O2 - BHO: VMHomepage Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - C:\WINDOWS\system32\hp85AA.tmp O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - p:\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - p:\AVPersonal\AVWUPSRV.EXE O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: NetMeeting-Remotedesktop-Freigabe (mnmsrvc) - Unknown owner - I:\WINDOWS\system32\mnmsrvc.exe (file missing) O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - P:\NORTON~1\NORTON~1\NPROTECT.EXE O23 - Service: Sitzungs-Manager für Remotedesktophilfe (RDSessMgr) - Unknown owner - I:\WINDOWS\system32\sessmgr.exe (file missing) O23 - Service: Speed Disk service - Symantec Corporation - P:\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE Vielen Dank! JerryG _____________ Anm. Aktive Links editiert! Beachte zukünftig die Hinweise dieser Anleitung: HiJackThis. LG Cidre S-Mod TB |
fixe mal diese einträge: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.oneclicksearches.com/search.php?qq=%1 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.oneclicksearches.com/bar.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.oneclicksearches.com/search.php?qq=%1 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.oneclicksearches.com/search.php?qq=%1 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.oneclicksearches.com/search.php?qq=%1 R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.oneclicksearches.com/search.php?qq=%1 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.oneclicksearches.com/ O2 - BHO: VMHomepage Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - C:\WINDOWS\system32\hp85AA.tmp -lösche zudem: datei shnlog.exe,popuper.exe, intmonp.exe und intmon.exe im ordner c:\windows\system32 neues hjt logfile im normalen modus erstellen und posten _____________ Anm. Aktive Links editiert! Beachte zukünftig die Hinweise dieser Anleitung: HiJackThis. LG Cidre S-Mod TB |
Hallo Chris14 vielen Dank für die Tipps, ich glaube fast, es hat geklappt. Allerdings habe ich die Datei popuper.exe nicht im Verzeichnis windows\system32 finden können. Anbei noch einmal ein neues log-file - ich finde, es sieht gut aus! Logfile of HijackThis v1.99.1 Scan saved at 23:01:26, on 24.06.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\SYSTEM32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\popuper.exe C:\WINDOWS\system32\intmonp.exe p:\AVPersonal\AVGUARD.EXE p:\AVPersonal\AVWUPSRV.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe P:\NORTON~1\NORTON~1\NPROTECT.EXE P:\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE C:\WINDOWS\system32\wuauclt.exe C:\Dokumente und Einstellungen\Gerd\Desktop\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - p:\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - p:\AVPersonal\AVWUPSRV.EXE O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - P:\NORTON~1\NORTON~1\NPROTECT.EXE O23 - Service: Sitzungs-Manager für Remotedesktophilfe (RDSessMgr) - Unknown owner - I:\WINDOWS\system32\sessmgr.exe (file missing) O23 - Service: Speed Disk service - Symantec Corporation - P:\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE |
Hallo JerryG, Zitat:
C:\WINDOWS\popuper.exe C:\WINDOWS\system32\intmonp.exe Arbeite folgendes ab: http://www.trojaner-board.de/showthread.php?t=17863 dartus |
Danke Dartus, ich hatte auch schon gesehen, dass smitfraud noch im system war. Aber ohne deine Hilfe hätte ich ihn nicht so schnell eliminieren können. Ich hoffe, es hat geklappt. Vielleicht kann sich ja noch mal jemand mein log-file ansehen Logfile of HijackThis v1.99.1 Scan saved at 11:55:23, on 25.06.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\SYSTEM32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE p:\AVPersonal\AVGUARD.EXE p:\AVPersonal\AVWUPSRV.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe P:\NORTON~1\NORTON~1\NPROTECT.EXE P:\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE C:\WINDOWS\system32\wuauclt.exe C:\Dokumente und Einstellungen\Gerd\Desktop\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - p:\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - p:\AVPersonal\AVWUPSRV.EXE O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - P:\NORTON~1\NORTON~1\NPROTECT.EXE O23 - Service: Sitzungs-Manager für Remotedesktophilfe (RDSessMgr) - Unknown owner - I:\WINDOWS\system32\sessmgr.exe (file missing) O23 - Service: Speed Disk service - Symantec Corporation - P:\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE Ich weiß vor allem nicht, was ich von dem Eintrag O23-Service: Sitzungs-Manager für Remotedesktophilfe halten soll (unknown owner?) Vielen Dank an die Community JerryG |
Hallo JerryG, in Deinem Logfile ist nichts ungewöhnliches zu erkennen. http://www.processlibrary.com/directory/files/sessmgr/ Schau Dir hier die 12 Punkte zur Systemabsicherung an. dartus |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 04:38 Uhr. |
Copyright ©2000-2025, Trojaner-Board