|
Bitte um Hilfe, Trojaner/Virus gefunden ! HAllo, erstmal respekt und vielen Dank an die Jungs die sich die Mühe machen hier :daumenhoc Bitte schaut doch mal mein Logfile an und sagt was dazu. Vielen DAnk. Logfile of HijackThis v1.99.1 Scan saved at 10:23:26, on 17.09.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\PCI Audio Applications\Bin\EchoCtrl.exe C:\WINDOWS\Mixer.exe C:\Programme\D-Tools\daemon.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\QuickTime\qttask.exe C:\WINDOWS\System32\SerExt.exe C:\Programme\Winamp\winampa.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\AVerTV\QuickTV.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe C:\Programme\Gigaset DECT\talk&surf_6_0\xcontrolcom.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe D:\mIRC\mirc.exe C:\Programme\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\H0schie\Desktop\HijackThis1991.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://google.icq.com R3 - URLSearchHook: (no name) - _{855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file) O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [C-Media Echo Control] C:\Programme\PCI Audio Applications\Bin\EchoCtrl.exe O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [SerExt] SerExt.exe /unplug O4 - HKLM\..\Run: [Configuration Loader] scvhost.exe O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize O4 - HKLM\..\Run: [System service67] C:\WINDOWS\etb\pokapoka67.exe O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [Microsoft Windows Game Updater] msgame32.exe O4 - HKLM\..\Run: [wtqz] C:\WINDOWS\wtqz.exe O4 - HKLM\..\Run: [Microsoft Update] msconfg.exe O4 - HKLM\..\Run: [NTSF MICROSOFT SYSTEM] ntsf.exe O4 - HKLM\..\RunServices: [Microsoft Windows Game Updater] msgame32.exe O4 - HKLM\..\RunServices: [NTSF MICROSOFT SYSTEM] ntsf.exe O4 - HKLM\..\RunServices: [Microsoft Update] msconfg.exe O4 - HKLM\..\RunServices: [Configuration Loader] scvhost.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [Copernic Desktop Search] "C:\Programme\Copernic Desktop Search\CopernicDesktopSearch.exe" /tray O4 - HKCU\..\Run: [MoneyAgent] "C:\Programme\Microsoft Money\System\mnyexpr.exe" O4 - HKCU\..\Run: [NTSF MICROSOFT SYSTEM] ntsf.exe O4 - HKCU\..\Run: [Microsoft Update] msconfg.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - Startup: QuickTV.lnk = C:\Programme\AVerTV\QuickTV.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe DECT\talk&surf_6_0\semon21.exe O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{80F93935-C320-42D2-93B9-37DC4ED0AD72}: NameServer = 217.237.151.97 217.237.149.225 O17 - HKLM\System\CCS\Services\Tcpip\..\{C89948CC-4E5D-4F91-A682-9F4EFDD7219A}: NameServer = 192.168.178.1 O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: xControlCOM - Siemens - C:\Programme\Gigaset DECT\talk&surf_6_0\xcontrolcom.exe |
bittte lade hier umgehend alle updates für dein Windows runter. fixe bitte folgende einträge: O4 - HKLM\..\Run: [Configuration Loader] scvhost.exe O4 - HKLM\..\RunServices: [Microsoft Update] msconfg.exe un poste noch nacnh dieser Anleitung nen escan |
HAllo, wird erledigt. Muss ich nicht noch weitere Fixen ? Da msgame32 und ntfs.exe und pokapoka67.exe viren/trojaner sein sollten ? Welche UPdates "muss" ich mir denn laden ? Gibt es da ein Tool das mir sagt ... diese und diese fehlen ...diese und diese habe ich schon ? Vielen Dank |
Misch mich da einfach mal ein: Da ich mir sicher bin, daß hier mindestens ein Backdoor-Trojaner am Werk ist, würde ich nur empfehlen: System neu aufsetzen. @DEPI: Mit Fixen ist das hier nicht getan. cacatoa |
|
@H0schie bitte mit der find.bat die 3 gefundenen Schädlinge rausfinden und das Ergebnis posten. Ich such nicht das ganze Logfile durch... :D cacatoa |
sorry... das war keine absicht :=) ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ Funde für "infected" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ Fri Sep 16 21:06:24 2005 => System found infected with FlashFXP Spyware/Adware ({E5A1691B-D188-4419-AD02-90002030B8EE})! Action taken: Keine Aktion vorgenommen. Fri Sep 16 21:06:30 2005 => System found infected with 180SearchAssistant Spyware/Adware (clientax.dll)! Action taken: Keine Aktion vorgenommen. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ Funde für "tagged" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ Fri Sep 16 21:06:30 2005 => Offending file found: C:\WINDOWS\DOWNLO~1 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ ~~~~~~~ © Haui ;-) ~~~~~~~ ~~~~~~~ Dank an Cidre ~~~~~~~ |
Hattest Du den eScan im abgesicherten Modus durchgeführt? cacatoa |
ja ...gestern abend. und zwischenzeitlich mit Adaware, etc. einige Sachen bearbeitet.# Kann aber gerne noch einen aktuellen machen ? |
die Frage muß anders lauten: Hast du die angegebenen Dinge vorher gefixt? Denn scvhost.exe ist garantiert nicht nur ein bißchen spyware... Starte mal den Rechner neu und poste noch ein Log - nach Beantwortung der Fragen. außerdem ist das HJT-Logfile von heute. Der eScan von gestern abend hat´s vielleicht noch gar nicht gesehen... cacatoa |
werd ich machen. NAchdem DEPI gesagt hat fixen ...hab ich natürlich gefixed. Werd mal ebend ein neues Escan schreiben gehen. bis gleich° |
Hallo, H0schie, spar Dir mal den Aufwand. Deine [configuration loader] scvhost.exe ist der hier. Damit ist nur Neuaufsetzen angesagt. Und die msconfg ist eine SDBot -Variante. cacatoa |
dennoch das neueste logfile: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ Funde für "infected" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ Sat Sep 17 13:31:06 2005 => System found infected with FlashFXP Spyware/Adware ({E5A1691B-D188-4419-AD02-90002030B8EE})! Action taken: Keine Aktion vorgenommen. Sat Sep 17 13:31:12 2005 => System found infected with 180SearchAssistant Spyware/Adware (clientax.dll)! Action taken: Keine Aktion vorgenommen. Sat Sep 17 13:46:46 2005 => Scanne Datei C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\Infected.wav [**] ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ Funde für "tagged" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ Sat Sep 17 13:37:01 2005 => File C:\Program Files\Media Gateway\MediaGateway.exe tagged as "not-a-virus:AdWare.WinAD.bj". Action Taken: Keine Aktion vorgenommen. Sat Sep 17 13:51:14 2005 => File C:\System Volume Information\_restore{A8C8FCE1-6C6B-4CB1-A06F-670D4429ADCB}\RP202\A0062589.exe tagged as "not-a-virus:AdWare.WinAD.bj". Action Taken: Keine Aktion vorgenommen. Sat Sep 17 13:54:29 2005 => File C:\System Volume Information\_restore{A8C8FCE1-6C6B-4CB1-A06F-670D4429ADCB}\RP202\A0065245.exe tagged as "not-a-virus:AdWare.WinAD.bj". Action Taken: Keine Aktion vorgenommen. Sat Sep 17 13:57:39 2005 => File C:\System Volume Information\_restore{A8C8FCE1-6C6B-4CB1-A06F-670D4429ADCB}\RP202\A0067787.exe tagged as "not-a-virus:AdWare.WinAD.bj". Action Taken: Keine Aktion vorgenommen. Sat Sep 17 14:02:17 2005 => File C:\WINDOWS\Downloaded Program Files\ClientAX.dll tagged as "not-a-virus:AdWare.180Solutions.g". Action Taken: Keine Aktion vorgenommen. Sat Sep 17 14:05:00 2005 => File C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\N2CUHVH6\silent_setup[1].exe tagged as "not-a-virus:AdWare.ToolBar.EliteBar.am". Action Taken: Keine Aktion vorgenommen. Sat Sep 17 14:05:03 2005 => File C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\SMPVGA4D\silent_setup[1].exe tagged as "not-a-virus:AdWare.ToolBar.EliteBar.am". Action Taken: Keine Aktion vorgenommen. Sat Sep 17 14:05:03 2005 => File C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\SMPVGA4D\silent_setup[2].exe tagged as "not-a-virus:AdWare.ToolBar.EliteBar.am". Action Taken: Keine Aktion vorgenommen. Sat Sep 17 14:10:17 2005 => File C:\WINDOWS\Temp\resCA.tmp tagged as "not-a-virus:AdWare.180Solutions.g". Action Taken: Keine Aktion vorgenommen. Sat Sep 17 14:10:17 2005 => File C:\WINDOWS\Temp\simple_encode.exe tagged as "not-a-virus:AdWare.WinAD.af". Action Taken: Keine Aktion vorgenommen. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ Sat Sep 17 13:31:12 2005 => Offending file found: C:\WINDOWS\DOWNLO~1 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ ~~~~~~~ © Haui ;-) ~~~~~~~ ~~~~~~~ Dank an Cidre ~~~~~~~ |
Tja, ich geh nicht von meiner Meinung ab. Bei dem was du drauf hattest und dann gefixt hast, sag ich nur neu aufsetzen. cacatoa |
OK. Vielen Dank für den Rat. Ist ja jetzt Wochenende ;) ICh hab noch ein paar Fragen. 1. die svchost.exe ... darf es die NIE geben ? Die hab ich schon immer in den Prozessen gehabt. 2. Welches OS wäre ratsam ... wieder XP oder w2k. Hab beides schon gehabt, bin aber mit w2k besser klargekommen. Hatte nur neulich mal wieder xp probiert. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 23:21 Uhr. |
Copyright ©2000-2025, Trojaner-Board