Trojaner-Board - Bitte Helft Mir

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Bitte Helft Mir (https://www.trojaner-board.de/20449-bitte-helft-mir.html)

Hallo0
Also trotz aller bemühungen meinen pc zu schützen habe ich verdacht mit trojanern überseht zu sein :heulen: weil ich in letzter Zeit mich intensiver damit beschäftigt habe wie Sicher der PC denn nun ist kriege ich kriesen :snyper: :headbang: :pfui:
Logfile of HijackThis v1.99.1
Scan saved at 14:39:42, on 03.08.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Norton Internet Security\ISSVC.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BROWSER\BROWSER.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\EMAIL\MAIL.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\NMain.exe
C:\Dokumente und Einstellungen\***\Desktop\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://h-1.us/cream.html
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Vorlesen - D:\MeinFreund\plugins\InternetExplorer\MeinFreundIE.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Eigene Programme\java\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Eigene Programme\java\bin\npjpi150_02.dll
O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll
O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{35CF181A-2BC1-46D4-B4E7-48FE5BAB1B3D}: NameServer = +++++
O17 - HKLM\System\CS1\Services\Tcpip\..\{35CF181A-2BC1-46D4-B4E7-48FE5BAB1B3D}: NameServer = ++++
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Norton Internet Security\ISSVC.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

:pukeface: :heulen:

Hallo,

also ganz so übel sieht es bei dir doch gar nicht aus. Was zu bemängeln ist, dein nicht aktuelles Betriebssystem.
Du solltest unbedingt Dein System updaten
Windowsupdate oder CD-Bestellung SP2

diese drei Einträge kannst du fixen

O3 - Toolbar: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O17 - HKLM\System\CCS\Services\Tcpip\..\{35CF181A-2BC1-46D4-B4E7-48FE5BAB1B3D}: NameServer = +++++
O17 - HKLM\System\CS1\Services\Tcpip\..\{35CF181A-2BC1-46D4-B4E7-48FE5BAB1B3D}: NameServer = ++++

du kannst auch mal einen eScan machen wenn es dich beruhigt. Halte dich dabei aber bitte genau an die Anleitung (siehe meine Signatur)

noch was dazu :)

:dummguck: he yjetzt antworte ich mir chon selber :crazy:
also ich wollte mich schonmal bedanken falls das mal jemand löst und mir antwortet :aplaus:
noch ein paar Sachen dazu : Norton 2005 ist vorhanden aber zeigt nichts an ?? aber online habe ich eine datei in windows\sytem32 gescannt die mir schon länger verdächtig war ! und raus kam folgendes ergebnis : W32/Startpage.DU-dr mshta.exe
aber naja aber wenn mir erstmal jemand das logfile auswertet währe klasee :aplaus: danke im voraus

oh danke das beruhigt mich schon mal :huepp: ist denn der eintrag R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://h-1.us/cream.html
auch ein ungefährlicher ?? ich dachte den h-1 cream in irgendeinem zusammenhang mit einem Wurm gelesen zu haben ??
danke schön :)

also bei den Updates muss ich wirklich mal asche auf mein haupt schütten weil ich wirklich nicht gerne windows update : als ich es einst machte ging mein Pc danach gar niht mehr :( :snyper: seid da bin ich ein schisser weil ih nicht will das es wiedr passiert ;) :dummguck: aber du hast ja recht ....

Den R1 Eintrag kannst du auch fixen, solltest dann eine neue Startseite eingeben.
Du hast ja bei XP dei Systemwiederherstellung und wenn da beim updaten doch mal was nicht so läuft wie es soll, stellst du einfach den Punkt wieder zurück.
Du bist mit einem gepatchten system auf jeden fall mal etwas sicherer unterwegs, daran besteht kein Zweifel.
Wie schon gesagt führe mal einen eScan durch mal sehen was noch so auf dem System ist

e scan ergebnisse

Hallo also nach langem scannen :zzwhip: endlich ein ergebnis allerdings nicht so cool 29 dateien gefunden !
also diese habe ich mal dem log entnommen nach der mehode des suchen s :
Wed Aug 03 16:45:47 2005 => ***** Scanning Registry and File system for Adware/Spyware *****
Wed Aug 03 16:45:47 2005 => Loading Spyware Signatures from FIXED Database...
Wed Aug 03 16:45:54 2005 => System found infected with SideFind Spyware/Adware ({10e42047-deb9-4535-a118-b3f6ec39b807})! Action taken: No Action Taken.
Wed Aug 03 16:45:54 2005 => System found infected with XXXToolbar Spyware/Adware ({7C559105-9ECF-42B8-B3F7-832E75EDD959})! Action taken: No Action Taken.
Wed Aug 03 16:45:55 2005 => Offending value found in HKLM\Software\Microsoft\Windows\CurrentVersion\policies\ameopt !!!
Wed Aug 03 16:45:55 2005 => Object "ameopt Spyware/Adware" found in File System! Action Taken: No Action Taken.

Wed Aug 03 16:45:57 2005 => ***** Scanning Registry for errors created because of Adware/Spyware *****
Wed Aug 03 16:46:00 2005 => Entry "HKCR\CLSID\{88E729D6-BDC1-11D1-BD2A-00C04FB9603F}" refers to invalid object "fde.dll". Action Taken: No Action Taken.

Wed Aug 03 16:46:01 2005 => Entry "HKCR\CLSID\{92FA2C24-253C-11d2-90FB-006008A1F441}" refers to invalid object "a3dapi.dll". Action Taken: No Action Taken.

Wed Aug 03 16:46:01 2005 => Entry "HKCR\CLSID\{B0693766-5278-4ec6-B9E1-3CE40560EF5A}" refers to invalid object "CaPlgin.ax". Action Taken: No Action Taken.

Wed Aug 03 16:46:01 2005 => Entry "HKCR\CLSID\{B089FE88-FB52-11d3-BDF1-0050DA34150D}" refers to invalid object "C:\Programme\Eset\nodshex.dll". Action Taken: No Action Taken.

hmm das heißt ja denn wohl nichts gutes oder ???? wie soll ich weiter vorgehen um alle spione loszuwerden und ? wieso findet mein Norton anti virus 2005 sowas nicht ???? ist das programmm völlig nutzlos ????
bitte helft mir ich werde ausspioniert :koch:

oh ich glaube dieser eintrag ist der richtige sorry

Object "SideFind Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "XXXToolbar Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "ameopt Spyware/Adware" found in File System! Action Taken: No Action Taken.
Entry "HKCR\CLSID\{88E729D6-BDC1-11D1-BD2A-00C04FB9603F}" refers to invalid object "fde.dll". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{92FA2C24-253C-11d2-90FB-006008A1F441}" refers to invalid object "a3dapi.dll". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{B0693766-5278-4ec6-B9E1-3CE40560EF5A}" refers to invalid object "CaPlgin.ax". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{B089FE88-FB52-11d3-BDF1-0050DA34150D}" refers to invalid object "C:\Programme\Eset\nodshex.dll". Action Taken: No Action Taken.
Datei C:\System Volume Information\_restore{1F9D09B6-BB8B-4CDB-9BD3-85D02A75BF82}\RP140\A0019305.exe infiziert von "Trojan-Downloader.Win32.WarSpy.h" Virus. Aktion vorgenommen: No Action Taken.
Datei C:\System Volume Information\_restore{1F9D09B6-BB8B-4CDB-9BD3-85D02A75BF82}\RP140\A0019306.hta infiziert von "Trojan.JS.StartPage.a" Virus. Aktion vorgenommen: No Action Taken.
Datei C:\System Volume Information\_restore{1F9D09B6-BB8B-4CDB-9BD3-85D02A75BF82}\RP140\A0019307.hta infiziert von "Trojan.JS.StartPage.a" Virus. Aktion vorgenommen: No Action Taken.
Datei C:\System Volume Information\_restore{1F9D09B6-BB8B-4CDB-9BD3-85D02A75BF82}\RP140\A0019308.hta infiziert von "Trojan.JS.StartPage.a" Virus. Aktion vorgenommen: No Action Taken.
Datei C:\System Volume Information\_restore{1F9D09B6-BB8B-4CDB-9BD3-85D02A75BF82}\RP140\A0019309.hta infiziert von "Trojan.JS.StartPage.a" Virus. Aktion vorgenommen: No Action Taken.
Datei C:\System Volume Information\_restore{1F9D09B6-BB8B-4CDB-9BD3-85D02A75BF82}\RP140\A0019310.exe infiziert von "Trojan-Downloader.Win32.Small.axu" Virus. Aktion vorgenommen: No Action Taken.
Datei C:\System Volume Information\_restore{1F9D09B6-BB8B-4CDB-9BD3-85D02A75BF82}\RP184\A0032237.exe infiziert von "Trojan-Downloader.Win32.WarSpy.h" Virus. Aktion vorgenommen: No Action Taken.
Datei C:\System Volume Information\_restore{1F9D09B6-BB8B-4CDB-9BD3-85D02A75BF82}\RP184\A0032238.hta infiziert von "Trojan.JS.StartPage.a" Virus. Aktion vorgenommen: No Action Taken.
Datei C:\System Volume Information\_restore{1F9D09B6-BB8B-4CDB-9BD3-85D02A75BF82}\RP184\A0032239.hta infiziert von "Trojan.JS.StartPage.a" Virus. Aktion vorgenommen: No Action Taken.
Datei C:\System Volume Information\_restore{1F9D09B6-BB8B-4CDB-9BD3-85D02A75BF82}\RP184\A0032240.hta infiziert von "Trojan.JS.StartPage.a" Virus. Aktion vorgenommen: No Action Taken.
Datei C:\System Volume Information\_restore{1F9D09B6-BB8B-4CDB-9BD3-85D02A75BF82}\RP184\A0032241.hta infiziert von "Trojan.JS.StartPage.a" Virus. Aktion vorgenommen: No Action Taken.
Datei C:\System Volume Information\_restore{1F9D09B6-BB8B-4CDB-9BD3-85D02A75BF82}\RP184\A0032242.hta infiziert von "Trojan.JS.StartPage.a" Virus. Aktion vorgenommen: No Action Taken.
Datei C:\System Volume Information\_restore{1F9D09B6-BB8B-4CDB-9BD3-85D02A75BF82}\RP184\A0032243.exe infiziert von "Trojan-Downloader.Win32.Small.axu" Virus. Aktion vorgenommen: No Action Taken.
Datei C:\System Volume Information\_restore{1F9D09B6-BB8B-4CDB-9BD3-85D02A75BF82}\RP187\A0032967.exe infiziert von "Trojan-Downloader.Win32.WarSpy.h" Virus. Aktion vorgenommen: No Action Taken.
Datei C:\System Volume Information\_restore{1F9D09B6-BB8B-4CDB-9BD3-85D02A75BF82}\RP187\A0032968.hta infiziert von "Trojan.JS.StartPage.a" Virus. Aktion vorgenommen: No Action Taken.
Datei C:\System Volume Information\_restore{1F9D09B6-BB8B-4CDB-9BD3-85D02A75BF82}\RP187\A0032969.hta infiziert von "Trojan.JS.StartPage.a" Virus. Aktion vorgenommen: No Action Taken.
Datei C:\System Volume Information\_restore{1F9D09B6-BB8B-4CDB-9BD3-85D02A75BF82}\RP187\A0032970.hta infiziert von "Trojan.JS.StartPage.a" Virus. Aktion vorgenommen: No Action Taken.
Datei C:\System Volume Information\_restore{1F9D09B6-BB8B-4CDB-9BD3-85D02A75BF82}\RP187\A0032971.hta infiziert von "Trojan.JS.StartPage.a" Virus. Aktion vorgenommen: No Action Taken.
Datei C:\System Volume Information\_restore{1F9D09B6-BB8B-4CDB-9BD3-85D02A75BF82}\RP187\A0032972.exe infiziert von "Trojan-Downloader.Win32.Small.axu" Virus. Aktion vorgenommen: No Action Taken.
Datei C:\System Volume Information\_restore{1F9D09B6-BB8B-4CDB-9BD3-85D02A75BF82}\RP196\A0035931.exe infiziert von "Trojan-Downloader.Win32.WarSpy.h" Virus. Aktion vorgenommen: No Action Taken.
Datei C:\System Volume Information\_restore{1F9D09B6-BB8B-4CDB-9BD3-85D02A75BF82}\RP196\A0035932.hta infiziert von "Trojan.JS.StartPage.a" Virus. Aktion vorgenommen: No Action Taken.
Datei C:\System Volume Information\_restore{1F9D09B6-BB8B-4CDB-9BD3-85D02A75BF82}\RP196\A0035933.hta infiziert von "Trojan.JS.StartPage.a" Virus. Aktion vorgenommen: No Action Taken.
Datei C:\System Volume Information\_restore{1F9D09B6-BB8B-4CDB-9BD3-85D02A75BF82}\RP196\A0035934.hta infiziert von "Trojan.JS.StartPage.a" Virus. Aktion vorgenommen: No Action Taken.
Datei C:\System Volume Information\_restore{1F9D09B6-BB8B-4CDB-9BD3-85D02A75BF82}\RP196\A0035935.hta infiziert von "Trojan.JS.StartPage.a" Virus. Aktion vorgenommen: No Action Taken.
Datei C:\System Volume Information\_restore{1F9D09B6-BB8B-4CDB-9BD3-85D02A75BF82}\RP196\A0035936.hta infiziert von "Trojan.JS.StartPage.a" Virus. Aktion vorgenommen: No Action Taken.
Datei C:\System Volume Information\_restore{1F9D09B6-BB8B-4CDB-9BD3-85D02A75BF82}\RP196\A0035937.exe infiziert von "Trojan-Downloader.Win32.Small.axu" Virus. Aktion vorgenommen: No Action Taken.

:koch: :koch:

Lade ClearProg = =>Haken setzen bei alles löschen und auf ok.

Da sich die Sachen alle in dem Systemwiederherstellungsordner befinden wird dort IMHO dein Norton garnicht erst suchen
deaktiviere die
[URL=http://www.systemwiederherstellung-deaktivieren.de/windows-xp.html]Systemwiederherstellung[/UR]
neu booten Systemwiederherstellung wieder aktivieren, dann sind die weg.

:huepp: danke das ist sehr gut ) ich dachte schon ich werde aktiv ausspioniert ) ich werde mich denn jetzt mal daran machen sie zu entfernen und vielen dank nochmals :huepp: :aplaus: :D :D