Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Probleme mit Trojaner - Bitte Prüfen (https://www.trojaner-board.de/20984-probleme-trojaner-bitte-pruefen.html)

Nemesis2k3 19.08.2005 18:37
Probleme mit Trojaner - Bitte Prüfen
 
Hi leute ich hab seit ein paar tagen Probleme mit dem Trojaner der von AntiVir als TR/Dldr.69632.I identifiziert wird. Ich poste gleich mal die HiJack Log. Ich hoffe ihr könnt mir helfen das Prob loszuwerden.

Thx im Voraus ;)


Logfile of HijackThis v1.99.1
Scan saved at 19:54:45, on 19.08.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\Explorer.EXE
D:\Programme\AVPersonal\AVGUARD.EXE
D:\Programme\AVPersonal\AVWUPSRV.EXE
D:\WINDOWS\System32\nvsvc32.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\ZONELABS\vsmon.exe
D:\Programme\AVPersonal\AVGNT.EXE
D:\WINDOWS\System32\RunDll32.exe
D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
D:\Programme\ICQ\Icq.exe
G:\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - D:\WINDOWS\System32\ie2cltr.dll (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: ActiveX Control - {9DD914FC-CC7C-4093-8BCF-D7EF7AECA2D4} - D:\WINDOWS\System32\msnsb.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - D:\WINDOWS\System32\ie2cltr.dll (file missing)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [BootSkin Startup Jobs] "D:\BOOTSKIN\BootSkin.exe" /StartupJobs
O4 - HKLM\..\Run: [AVGCtrl] "D:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [dmaqk.exe] D:\WINDOWS\System32\dmaqk.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [dmign.exe] D:\WINDOWS\System32\dmign.exe
O4 - HKLM\..\Run: [Zone Labs Client] D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = D:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: ICQ Pro !!! - {6224f700-cba3-4071-b251-47cb894244cd} - D:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - D:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/ca...C_1_0_0_44.cab
O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697519} (NsvPlayX Control) - http://desync.com/nsvplayx_vp6_aac.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{78F39C79-5B9C-4E22-8B92-1C338A52761E}: NameServer = 69.50.184.86 85.255.112.9
O17 - HKLM\System\CCS\Services\Tcpip\..\{B4254F80-85C6-4CEF-B7F6-9ED02AD63031}: NameServer = 69.50.184.86,85.255.112.9
O17 - HKLM\System\CCS\Services\Tcpip\..\{DACD1CA3-EB26-43BE-BA97-719DA9EFEF47}: NameServer = 69.50.184.86,85.255.112.9
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - D:\Programme\Haufe\HaufeReader\HRInstmon.dll (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - D:\WINDOWS\system32\ZONELABS\vsmon.exe

felix1 19.08.2005 18:46
Lasse die Dateien
D:\WINDOWS\System32\dmaqk.exe
D:\WINDOWS\System32\dmign.exe
hier prüfen:
http://virusscan.jotti.org/de/
und teile uns das Ergebnis mit.

Sollten die Dateien sauber sein, mache einen escan genau nach Anleitung. Poste das mit der find.bat erzeugte Log.
http://www.trojaner-board.de/showthread.php?t=17492

Nemesis2k3 19.08.2005 19:05
Also die zwei dateien waren nicht mehr vorhanden.

Hier ist die Log des eScan Scanns ;)

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Fri Aug 19 16:56:37 2005 => System found infected with AdWare.ToolBar.SBSoft.h Spyware/Adware ({08BEC6AA-49FC-4379-3587-4B21E286C19E})! Action taken: No Action Taken.
Fri Aug 19 16:58:08 2005 => System found infected with EasySearch Spyware/Adware (index.html)! Action taken: No Action Taken.
Fri Aug 19 16:58:08 2005 => System found infected with ezula Spyware/Adware (instsrv.exe)! Action taken: No Action Taken.
Fri Aug 19 16:58:18 2005 => System found infected with RedV Spyware/Adware (insthelp.dll)! Action taken: No Action Taken.
Fri Aug 19 16:58:35 2005 => System found infected with WhenU.SaveNow Spyware/Adware (cmdlineext02.dll)! Action taken: No Action Taken.
Fri Aug 19 16:58:37 2005 => System found infected with WhenU.SaveNow Spyware/Adware (war3_install.exe)! Action taken: No Action Taken.
Fri Aug 19 16:58:38 2005 => System found infected with Elite toolbar Spyware/Adware (toolbar.exe)! Action taken: No Action Taken.
Fri Aug 19 17:01:00 2005 => D:\WINDOWS\System32\hdjfo.dll possibly infected and removed by background antivirus package!
Fri Aug 19 18:33:38 2005 => Scanne Verzeichniss: D:\Programme\AVPersonal\INFECTED\*.*
Fri Aug 19 18:33:38 2005 => Scanne Datei D:\Programme\AVPersonal\INFECTED\winupdate97690277[1].VIR
Fri Aug 19 18:33:38 2005 => Datei D:\Programme\AVPersonal\INFECTED\winupdate97690277[1].VIR infiziert von "Trojan-Downloader.Win32.Small.ait" Virus. Aktion vorgenommen: No Action Taken.
Fri Aug 19 19:22:40 2005 => Scanne Datei D:\Musik\Barthezz\BARTHEZZ - infected.mp3
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Fri Aug 19 17:29:50 2005 => File C:\backup platte 1\download\eDonkey61.exe tagged as "not-a-virus:AdWare.EZula.j". Action Taken: No Action Taken.
Fri Aug 19 17:29:54 2005 => File C:\backup platte 1\download\imesh.exe tagged as "not-a-virus:AdWare.Cydoor". Action Taken: No Action Taken.
Fri Aug 19 17:38:14 2005 => File C:\Dokumente und Einstellungen\All Users\Desktop\Progs\gozilla.exe tagged as "not-a-virus:AdWare.Gator.3013". Action Taken: No Action Taken.
Fri Aug 19 17:58:14 2005 => File C:\PROGRAM FILES\dialware\mission\Gamescape_-_Dialware_-_3.exe tagged as "not-a-virus:Porn-Dialer.Win32.Generic". Action Taken: No Action Taken.
Fri Aug 19 17:59:02 2005 => File C:\iMeshV3.exe tagged as "not-a-virus:AdWare.ToolBar.CommonName.a". Action Taken: No Action Taken.
Fri Aug 19 19:21:41 2005 => File D:\eigene Dateien\gozilla.vxd tagged as "not-a-virus:AdWare.Aureate.a". Action Taken: No Action Taken.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Fri Aug 19 16:58:08 2005 => Offending file found: D:\DOKUME~1\Felix\Desktop\index.html
Fri Aug 19 16:58:08 2005 => Offending file found: D:\WINDOWS\System32\instsrv.exe
Fri Aug 19 16:58:18 2005 => Offending file found: D:\DOKUME~1\Felix\LOKALE~1\Temp\insthelp.dll
Fri Aug 19 16:58:35 2005 => Offending file found: D:\DOKUME~1\Felix\LOKALE~1\Temp\cmdlineext02.dll
Fri Aug 19 16:58:37 2005 => Offending file found: D:\DOKUME~1\Felix\LOKALE~1\Temp\war3_install.exe
Fri Aug 19 16:58:38 2005 => Offending file found: D:\WINDOWS\toolbar.exe
Fri Aug 19 20:21:47 2005 => Virus Database Date: 2005/08/17
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~

felix1 19.08.2005 19:44
Lade und update Ad-aware und Spybot und lasse die Programme laufen.
http://www.comsafe.de/download.html
Installiere cleanup, rufe es auf und setze den Haken bei alles löschen und dann Löschen drücken.
http://www.clearprog.de/

Danach lösche die Datei mwav.log im Verzeichnis c:\bases_x und wiederhole den escan. Log-File posten. Gleichzeitig neues HJT, auch posten.
Viel Glück.


Alle Zeitangaben in WEZ +1. Es ist jetzt 02:44 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27