Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Hilfe... *verzweifel* (https://www.trojaner-board.de/19367-hilfe-verzweifel.html)

inselmaik 28.06.2005 23:49
Hilfe... *verzweifel*
 
Hallo!

Ich hab hier ein Log-File von einem Rechner der infiziert ist wie kein anderer. Weder Antivir, Ad-Aware, Spybot, Trojan Hunter 4, Pest Patrol, CWS-Shredder konnten bisher helfen. Sie haben zwar was gefunden aber der rechner ist imme rnoch voll mit Müll, Trojanern und Viren. Wer mir helfen kann.... tut es einfach

Bin kein Computerneuling habe aber noch nie mit solch einem Logfile gearbeitet.

Thx

Logfile of HijackThis v1.99.1
Scan saved at 00:17:42, on 29.06.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\msole32.exe
C:\WINNT\system32\shnlog.exe
C:\WINNT\system32\schovst.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINNT\system32\hookdump.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\WINNT\system32\intmon.exe
C:\Programme\ArcorOnline\Arcor.exe
D:\Eigene Dateien\Experimente\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://www.oneclicksearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://www.oneclicksearches.com/bar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://www.oneclicksearches.com/search.php?qq=%1
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h**p://www.oneclicksearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = h**p://www.oneclicksearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h**p://www.oneclicksearches.com/search.php?qq=%1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = h**p://www.oneclicksearches.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
O1 - Hosts: 65.75.166.170 ibank.barclays.co.uk
O1 - Hosts: 65.75.166.170 online-business.lloydstsb.co.uk
O1 - Hosts: 65.75.166.170 online.lloydstsb.co.uk
O1 - Hosts: 65.75.166.170 w*w.halifax-online.co.uk
O1 - Hosts: 65.75.166.170 w*w.ukpersonal.hsbc.co.uk
O1 - Hosts: 65.75.166.170 w*w.nwolb.com
O1 - Hosts: 65.75.166.170 banesnet.banesto.es
O1 - Hosts: 65.75.166.170 extranet.banesto.es
O2 - BHO: VMHomepage Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - C:\WINNT\system32\hpF5C8.tmp
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - (no file)
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Microsoft IIS] C:\WINNT\system32\syshost.exe
O4 - HKLM\..\Run: [hostserv] ntsfxp.exe
O4 - HKLM\..\Run: [NTSF MICROSOFT SYSTEM] schovst.exe
O4 - HKLM\..\Run: [RegSvr32] C:\WINNT\system32\msmsgs.exe
O4 - HKLM\..\Run: [PSGuard] C:\Programme\PSGuard\PSGuard.exe
O4 - HKLM\..\Run: [AntivirusGold] C:\Programme\AntivirusGold\AntivirusGold.exe /h
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\RunServices: [hostserv] ntsfxp.exe
O4 - HKLM\..\RunServices: [NTSF MICROSOFT SYSTEM] schovst.exe
O4 - HKCU\..\Run: [hostserv] ntsfxp.exe
O4 - HKCU\..\Run: [NTSF MICROSOFT SYSTEM] schovst.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Intel system tool] C:\WINNT\system32\hookdump.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://C:tsk.mht!h**p://69.50.166.110/5/s1//q.chm::/file.exe
O16 - DPF: {B3E0F81F-73F8-470B-A56B-D895EFF19260} (ATLF3D Class) - h**p://www.famous3d.com/viewer/latest/axf3d.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{BAC8FE3B-C944-45FC-B087-E470ACCC06F8}: NameServer = 195.50.140.252 145.253.2.75
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Sound Sservice Driver (Sound Service) - Unknown owner - C:\WINNT\system32\cfmon.exe (file missing)
O23 - Service: FireDaemon Service: spoolsv (spoolsv) - Unknown owner - C:\WINNT\system32\drivers\svc\FireDaemon.EXE (file missing)
O23 - Service: FireDaemon Service: svchost (svchost) - Unknown owner - C:\WINNT\system32\drivers\svc\FireDaemon.EXE (file missing)

dartus 29.06.2005 00:04
Hallo inselmaik,

in Deinem Sytem ist alles was es auch nur gibt.
Adware, Dialer und auch Backdoor-Trojaner.

Eine saubere Bereinigung ist nicht möglich, zumal auch Backdoor-Trojaner aktiv sind.

Daher ist ein sauberer Schnitt in Form einer Neuinstallation das Beste, um wieder über ein vertrauenswürdiges System zu verfügen.

http://en.wikipedia.org/wiki/Botnet
http://de.wikipedia.org/wiki/Backdoor

Zwecklosigkeit der Entfernung:
http://www.mathematik.uni-marburg.de...c-removal.html
http://www.mathematik.uni-marburg.de...ompromise.html


Empfohlene Anleitung zur Neuinstallation
http://www.trojaner-board.de/showthread.php?t=12154

Thema Datensicherung:
http://www.trojaner-board.de/showpos...8&postcount=11

sry
dartus


Alle Zeitangaben in WEZ +1. Es ist jetzt 20:16 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131