![]() |
hijacklog nach ps guard smitRem log file version 2.3 by noahdfear ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Pre-run Files Present ~~~ Program Files ~~~ ~~~ Shortcuts ~~~ ~~~ Favorites ~~~ ~~~ system folder ~~~ oleext.dll ~~~ Icons in system folder ~~~ ~~~ Windows directory ~~~ ~~~ Drive root ~~~ ~~~~ wininet.dll ~~~~ wininet.dll Present!! ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Post-run Files Present ~~~ Program Files ~~~ ~~~ Shortcuts ~~~ ~~~ Favorites ~~~ ~~~ system folder ~~~ oleext.dll ~~~ Icons in system folder ~~~ ~~~ Windows directory ~~~ ~~~ Drive root ~~~ ~~~~ wininet.dll ~~~~ wininet.dll INFECTED!! :( das ist der smitfiles log der andere is hier: Logfile of HijackThis v1.99.1 Scan saved at 20:37:36, on 09.09.2005 Platform: Windows ME (Win9x 4.90.3000) MSIE: Internet Explorer v5.50 (5.50.4134.0100) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\SYSTEM\SSDPSRV.EXE C:\WINDOWS\SYSTEM\ATLND.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\WINDOWS\SYSTEM\IRMON.EXE C:\WINDOWS\SYSTEM\PRPCUI.EXE C:\WINDOWS\VCONTROL.EXE C:\WINDOWS\HAMPANEL.EXE C:\PROGRAMME\D-LINK\AIR USB UTILITY\AIRCFG.EXE C:\PROGRAMME\ANI\ANIWZCS2 SERVICE\WZCSLDR2.EXE C:\WINDOWS\NTGS.EXE C:\PROGRAMME\MICROSOFT MONEY\SYSTEM\REMINDER.EXE C:\PROGRAMME\SPYBOT\TEATIMER.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\PROGRAMME\ICQ\ICQ.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE C:\PROGRAMME\HIJACKTHIS\HIJACKTHIS.EXE R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\xqndh.dll/sp.html#18463 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\xqndh.dll/sp.html#18463 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\xqndh.dll/sp.html#18463 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\xqndh.dll/sp.html#18463 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\xqndh.dll/sp.html#18463 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\xqndh.dll/sp.html#18463 R3 - Default URLSearchHook is missing O2 - BHO: Class - {B1D3FEAA-D001-0277-F30C-211B057CB3F4} - C:\WINDOWS\IPYF32.DLL O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot\SDHelper.dll O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [IrMon] irmon.exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [PRPCMonitor] PRPCUI.exe O4 - HKLM\..\Run: [ASUSNBHK] C:\WINDOWS\VCONTROL.EXE O4 - HKLM\..\Run: [HaMFrontPanel] C:\WINDOWS\hampanel /B:Software\Ambient\HaM O4 - HKLM\..\Run: [D-Link Air USB Utility] C:\Programme\D-Link\Air USB Utility\AirCFG.exe O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe O4 - HKLM\..\Run: [NTGS.EXE] C:\WINDOWS\NTGS.EXE O4 - HKLM\..\Run: [NAVNet] "C:\WINDOWS\TEMP\9084.TMP" /m O4 - HKLM\..\Run: [PSGuard] C:\Programme\PSGuard\PSGuard.exe O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe O4 - HKLM\..\RunServices: [ATLND.EXE] C:\WINDOWS\SYSTEM\ATLND.EXE /s O4 - HKCU\..\Run: [Reminder] C:\Programme\Microsoft Money\System\reminder.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot\TeaTimer.exe O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com der escan ist riesig..guckn ob ich den gepostet krieg. der hat viele files erkannt aber auch viel geloescht, naja nachm reboot hat sich ps guard wieder automatisch installiert :( thx 4 help schoma €: was braucht ihr von dem mwav.log ? der ist 1mb gross -.- der scan nachdem ich dieses tool geused habe war auch keine 3h lang sondern nur so 1min oder so..vielleciht liegt das an kleiner hd? (2gb) |
ne escan hat absolut garnix gelöscht. das kann er in der freewareversion gar net. das musst schon du manuell erledigen. fixe erstmal diese einträge: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\xqndh.dll/sp.html#18463 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\xqndh.dll/sp.html#18463 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\xqndh.dll/sp.html#18463 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\xqndh.dll/sp.html#18463 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\xqndh.dll/sp.html#18463 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\xqndh.dll/sp.html#18463 R3 - Default URLSearchHook is missing O2 - BHO: Class - {B1D3FEAA-D001-0277-F30C-211B057CB3F4} - C:\WINDOWS\IPYF32.DLL O4 - HKLM\..\Run: [ASUSNBHK] C:\WINDOWS\VCONTROL.EXE O4 - HKLM\..\Run: [HaMFrontPanel] C:\WINDOWS\hampanel.exe /B:Software\Ambient\HaM O4 - HKLM\..\Run: [NTGS.EXE] C:\WINDOWS\NTGS.EXE O4 - HKLM\..\Run: [NAVNet] "C:\WINDOWS\TEMP\9084.TMP" /m O4 - HKLM\..\Run: [PSGuard] C:\Programme\PSGuard\PSGuard.exe O4 - HKLM\..\RunServices: [ATLND.EXE] C:\WINDOWS\SYSTEM\ATLND.EXE /s lass die dateien C:\WINDOWS\VCONTROL.EXE, C:\WINDOWS\hampanel.exe, C:\WINDOWS\SYSTEM\ATLND.EXE und C:\WINDOWS\NTGS.EXE bei http://virusscan.jotti.org/de überprüfen und poste das ergebnis. -lade dir den Internet Explorer 6 runter -installiere ihn aber nicht sondern entpacke ihn bequem nach C:\ (mit winzip oder winrar - einfach nur nach c:\ das verzeichnis das in dem archiv ist) lösche diese dateien und ordner im abgesicherten modus: C:\WINDOWS\xqndh.dll C:\WINDOWS\IPYF32.DLL C:\WINDOWS\VCONTROL.EXE C:\WINDOWS\hampanel.exe C:\WINDOWS\NTGS.EXE C:\WINDOWS\TEMP\9084.TMP C:\Programme\PSGuard C:\WINDOWS\SYSTEM\ATLND.EXE dann ersetze die wininet.dll: -start -> ausführen -> command -cd .. eingeben -cd .. eingeben -cd .. eingeben (damit du auf c: bist) -dann cd ie6sp1 eingeben -gebe extract /a /e ie_s2.cab *.cab ein -gebe extract /a /e ie_s3.cab *.cab ein -gebe extract /a /e ie_2.cab wininet.dll ein -start -> ausführen -> notepad -> OK -gebe copy c:\ie6sp1\wininet.dll c:\windows\system ins leere textfeld ein -datei -> speichern unter -> (ordner c:\windows\command auswählen) datei cmdinit.bat nennen -> dateityp: Alle dateien -> Speichern Neustart beim neustart wird warscheinlich dann kurz unterbrochen mit einer meldung, dass die datei bereits existiere. mit J bestätigen. dann die datei cmdinit.bat löschen deaktiviere die systemwiederherstellung im abgesicherten modus (rechtsklick arbeitsplatz, eigenschaften, dateisystem,erweitert,fehlerbehebung,systemwiederherstellung auf allen laufwerken deaktivieren haken hin) anschließend führe die Smitfraud-C Anleitung durch. anschließend eScan gemäß der Anleitung ausführen. neues HJT-Logfile posten. Ich weiß hört sich wie eine unschaffbare herausforderung an - ist aber sehr einfach ;) |
Alle Zeitangaben in WEZ +1. Es ist jetzt 11:01 Uhr. |
Copyright ©2000-2025, Trojaner-Board