Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   hijacklog nach ps guard (https://www.trojaner-board.de/21636-hijacklog-ps-guard.html)

DrFummel 09.09.2005 19:58

hijacklog nach ps guard
 
smitRem log file
version 2.3

by noahdfear


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Pre-run Files Present


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system folder ~~~


oleext.dll


~~~ Icons in system folder ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~



~~~~ wininet.dll ~~~~

wininet.dll Present!!


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Post-run Files Present


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system folder ~~~


oleext.dll


~~~ Icons in system folder ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~



~~~~ wininet.dll ~~~~

wininet.dll INFECTED!! :(

das ist der smitfiles log

der andere is hier:

Logfile of HijackThis v1.99.1
Scan saved at 20:37:36, on 09.09.2005
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 (5.50.4134.0100)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\WINDOWS\SYSTEM\ATLND.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\IRMON.EXE
C:\WINDOWS\SYSTEM\PRPCUI.EXE
C:\WINDOWS\VCONTROL.EXE
C:\WINDOWS\HAMPANEL.EXE
C:\PROGRAMME\D-LINK\AIR USB UTILITY\AIRCFG.EXE
C:\PROGRAMME\ANI\ANIWZCS2 SERVICE\WZCSLDR2.EXE
C:\WINDOWS\NTGS.EXE
C:\PROGRAMME\MICROSOFT MONEY\SYSTEM\REMINDER.EXE
C:\PROGRAMME\SPYBOT\TEATIMER.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\ICQ\ICQ.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAMME\HIJACKTHIS\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\xqndh.dll/sp.html#18463
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\xqndh.dll/sp.html#18463
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\xqndh.dll/sp.html#18463
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\xqndh.dll/sp.html#18463
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\xqndh.dll/sp.html#18463
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\xqndh.dll/sp.html#18463
R3 - Default URLSearchHook is missing
O2 - BHO: Class - {B1D3FEAA-D001-0277-F30C-211B057CB3F4} - C:\WINDOWS\IPYF32.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot\SDHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [IrMon] irmon.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [PRPCMonitor] PRPCUI.exe
O4 - HKLM\..\Run: [ASUSNBHK] C:\WINDOWS\VCONTROL.EXE
O4 - HKLM\..\Run: [HaMFrontPanel] C:\WINDOWS\hampanel /B:Software\Ambient\HaM
O4 - HKLM\..\Run: [D-Link Air USB Utility] C:\Programme\D-Link\Air USB Utility\AirCFG.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [NTGS.EXE] C:\WINDOWS\NTGS.EXE
O4 - HKLM\..\Run: [NAVNet] "C:\WINDOWS\TEMP\9084.TMP" /m
O4 - HKLM\..\Run: [PSGuard] C:\Programme\PSGuard\PSGuard.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [ATLND.EXE] C:\WINDOWS\SYSTEM\ATLND.EXE /s
O4 - HKCU\..\Run: [Reminder] C:\Programme\Microsoft Money\System\reminder.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot\TeaTimer.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com


der escan ist riesig..guckn ob ich den gepostet krieg. der hat viele files erkannt aber auch viel geloescht, naja nachm reboot hat sich ps guard wieder automatisch installiert :(
thx 4 help schoma

€: was braucht ihr von dem mwav.log ? der ist 1mb gross -.-
der scan nachdem ich dieses tool geused habe war auch keine 3h lang sondern nur so 1min oder so..vielleciht liegt das an kleiner hd? (2gb)

Chris14 09.09.2005 20:12

ne escan hat absolut garnix gelöscht. das kann er in der freewareversion gar net.
das musst schon du manuell erledigen.

fixe erstmal diese einträge:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\xqndh.dll/sp.html#18463
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\xqndh.dll/sp.html#18463
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\xqndh.dll/sp.html#18463
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\xqndh.dll/sp.html#18463
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\xqndh.dll/sp.html#18463
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\xqndh.dll/sp.html#18463
R3 - Default URLSearchHook is missing
O2 - BHO: Class - {B1D3FEAA-D001-0277-F30C-211B057CB3F4} - C:\WINDOWS\IPYF32.DLL
O4 - HKLM\..\Run: [ASUSNBHK] C:\WINDOWS\VCONTROL.EXE
O4 - HKLM\..\Run: [HaMFrontPanel] C:\WINDOWS\hampanel.exe /B:Software\Ambient\HaM
O4 - HKLM\..\Run: [NTGS.EXE] C:\WINDOWS\NTGS.EXE
O4 - HKLM\..\Run: [NAVNet] "C:\WINDOWS\TEMP\9084.TMP" /m
O4 - HKLM\..\Run: [PSGuard] C:\Programme\PSGuard\PSGuard.exe
O4 - HKLM\..\RunServices: [ATLND.EXE] C:\WINDOWS\SYSTEM\ATLND.EXE /s

lass die dateien
C:\WINDOWS\VCONTROL.EXE, C:\WINDOWS\hampanel.exe, C:\WINDOWS\SYSTEM\ATLND.EXE und C:\WINDOWS\NTGS.EXE bei http://virusscan.jotti.org/de überprüfen und poste das ergebnis.

-lade dir den Internet Explorer 6 runter
-installiere ihn aber nicht sondern entpacke ihn bequem nach C:\ (mit winzip oder winrar - einfach nur nach c:\ das verzeichnis das in dem archiv ist)

lösche diese dateien und ordner im abgesicherten modus:
C:\WINDOWS\xqndh.dll
C:\WINDOWS\IPYF32.DLL
C:\WINDOWS\VCONTROL.EXE
C:\WINDOWS\hampanel.exe
C:\WINDOWS\NTGS.EXE
C:\WINDOWS\TEMP\9084.TMP
C:\Programme\PSGuard
C:\WINDOWS\SYSTEM\ATLND.EXE


dann ersetze die wininet.dll:
-start -> ausführen -> command
-cd .. eingeben
-cd .. eingeben
-cd .. eingeben (damit du auf c: bist)
-dann cd ie6sp1 eingeben
-gebe extract /a /e ie_s2.cab *.cab ein
-gebe extract /a /e ie_s3.cab *.cab ein
-gebe extract /a /e ie_2.cab wininet.dll ein
-start -> ausführen -> notepad -> OK
-gebe copy c:\ie6sp1\wininet.dll c:\windows\system ins leere textfeld ein
-datei -> speichern unter -> (ordner c:\windows\command auswählen) datei cmdinit.bat nennen -> dateityp: Alle dateien -> Speichern
Neustart
beim neustart wird warscheinlich dann kurz unterbrochen mit einer meldung, dass die datei bereits existiere. mit J bestätigen.
dann die datei cmdinit.bat löschen

deaktiviere die systemwiederherstellung im abgesicherten modus (rechtsklick arbeitsplatz, eigenschaften, dateisystem,erweitert,fehlerbehebung,systemwiederherstellung auf allen laufwerken deaktivieren haken hin)


anschließend führe die Smitfraud-C Anleitung durch.

anschließend eScan gemäß der Anleitung ausführen.

neues HJT-Logfile posten.

Ich weiß hört sich wie eine unschaffbare herausforderung an - ist aber sehr einfach ;)


Alle Zeitangaben in WEZ +1. Es ist jetzt 17:14 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19