Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Bitte um Prüfung, (https://www.trojaner-board.de/20961-bitte-um-pruefung.html)

falk1903 19.08.2005 08:21
Bitte um Prüfung,
 
Hallo,
ich habe den unbestimmten Eindruck, ich bin nicht allein mit meinem PC.
Könntet Ihr bitte mal nachschauen?

Logfile of HijackThis v1.99.1
Scan saved at 09:06:46, on 19.08.2005
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Unable to get Internet Explorer version!

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\AHEAD\INCD\INCD.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\BROWSER MOUSE\1.3\MOUSE32A.EXE
C:\PROGRAMME\MEDIONKEYBOARD\1.3\KBDAP32A.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\TEMP\!UPDATE.EXE
C:\PROGRAMME\MOZILLA FIREFOX\FIREFOX.EXE
C:\PROGRAMME\AUIS\WOMS.EXE
C:\PROGRAMME\MOZILLA FIREFOX\HIJACKTHIS\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRAMME\YAHOO!\COMPANION\INSTALLS\CPN\YCOMP5_5_7_0.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: (no name) - {CF655322-999A-C04B-B4CD-E34BC632589A} - C:\WINDOWS\SYSTEM\AOVYXGZ.DLL
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRAMME\YAHOO!\COMPANION\INSTALLS\CPN\YCOMP5_5_7_0.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [Atikey] Atitask.exe
O4 - HKLM\..\Run: [AtiCwd32] Aticwd32.exe
O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\PROGRAMME\WINAMP\WINAMPa.exe"
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [FLMMEDIONMOUSE] C:\Programme\Browser mouse\1.3\mouse32a.exe
O4 - HKLM\..\Run: [FLMK08KB] C:\Programme\Medionkeyboard\1.3\MMKEYBD.EXE
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [saap] c:\program files\180search assistant\saap.exe
O4 - HKLM\..\RunServices: [KB891711] C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKCU\..\Run: [Btpc] C:\WINDOWS\Anwendungsdaten\scrc.exe
O4 - HKCU\..\Run: [Pcct] C:\Programme\auis\woms.exe
O4 - Startup: WISO Bewerbung-Reminder.lnk = C:\Programme\WISO\Bewerbung 4.0\KCReminder.exe
O4 - Global Startup: NetShow PowerPoint Helper.lnk = C:\Programme\NetShow Services\Tools\nsppthlp.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {FF3F0F03-0F01-131A-A3F9-08F02B23E0CC} - http://66.117.37.13/gba1463.exe
O16 - DPF: {99410CDE-6F16-42ce-9D49-3807F78F0287} (ClientInstaller Class) - http://www.180searchassistant.com/180saax.cab

cacatoa 19.08.2005 08:58
HI,
hast du da irgendwas von Linux (mit dem ich mich nicht auskenne) auf dem Rechner?
Wenn nicht, oder wenn du es nicht weißt, dann folgendes bei Jotti online scannen lassen:
C:\PROGRAMME\AUIS\WOMS.EXE
Weiterhin auch die:
C:\WINDOWS\TEMP\!UPDATE.EXE
C:\WINDOWS\SYSTEM\AOVYXGZ.DLL
C:\WINDOWS\Anwendungsdaten\scrc.exe
Berichte über das Ergebnis.
Dann:
Mit HJT fixen:
O4 - HKLM\..\Run: [saap] c:\program files\180search assistant\saap.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {FF3F0F03-0F01-131A-A3F9-08F02B23E0CC} - http://66.117.37.13/gba1463.exe
O16 - DPF: {99410CDE-6F16-42ce-9D49-3807F78F0287} (ClientInstaller Class) - http://www.180searchassistant.com/180saax.cab
Im Anschluß folgende Dateien löschen:
c:\program files\180search assistant\saap.exe
C:\WINDOWS\web\related.htm

cacatoa

falk1903 19.08.2005 14:44
Da danke ich wie verückt!
Das ist ja allerhand Mist.
!Update.EXE, da hatte ich nach fast jedem Neustart eine Fehlermeldung wenn ich Sie gelöscht hatte und die Fehlermeldung ging nicht wegzuklicken. Nach wiederholtem Neustart war die Fehlermeldung zwar weg aber die exe wieder da.

Auch die anderen Dateien hatt Lotti als infiz. erkannt.

Ich habe nun im abges. Mod. alle gelöscht und gefixt.
Papierkorb gelehrt und Arbeitsspeicher freigeräumt.

Hoffe das wars vorerst.

Übrigens, mit Linux hab ich ansich nichts zu tun. Höchstens irgend welche Hilfsprogramme die ich mal geladen habe ? z.B. "Resonanzrohrberechnung"

Vielen Dank noch mal für die Mühe.

Gruß Falk

HerrKautz 19.08.2005 14:47
Würdest du uns bitte noch sagen wie die Maleware hies die Jotti erkannt hat?

falk1903 20.08.2005 17:59
na klar!
C:\PROGRAMME\AUIS\WOMS.EXE
C:\WINDOWS\SYSTEM\AOVYXGZ.DLL
C:\WINDOWS\Anwendungsdaten\scrc.exe

Wildone 20.08.2005 18:04
Hallo,
nein wir brauchen die Namen der Viren die entdeckt wurden. Übrigens hat hier nicht zufällig keiner was von löschen geschrieben.


Grüße Wildone

cacatoa 20.08.2005 18:13
@ Wildone:
Der Satz war gut... :D

@ falk1903:
Wildone meint Namen, Adressen, Telefonnnummern, also z.B.
W32/Agobot oder
Troj/Whistler-F oder so ähnlich..
cacatoa


Alle Zeitangaben in WEZ +1. Es ist jetzt 22:01 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131