Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Bitte um Auswertung (https://www.trojaner-board.de/22138-bitte-um-auswertung.html)

konfuzius1 24.09.2005 16:26
Bitte um Auswertung
 
Es gibt halt doch noch nette Leute im Netz. Ich hoffe ihr könnt mir helfen!?
AVPersonal findet bei mir immer die Datei "remon.sys" Aber ich hab keine Chance sie im Explorer zu löschen. Vieeleicht erfahre ich von euch was ich machen kann:

Vielen Dank im Voraus


Logfile of HijackThis v1.99.1
Scan saved at 17:07:29, on 24.09.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\javapanel.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
C:\Programme\AVPersonal\AVSCHED32.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Gemeinsame Dateien\Windows\services32.exe
C:\WINDOWS\system32\cmd.exe
C:\Programme\Gemeinsame Dateien\services.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\explorer.exe
C:\PROGRA~1\WinZip\winzip32.exe
C:\DOKUME~1\Standard\LOKALE~1\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.chello.at/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://default.home/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von chello broadband
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = h**p://www.chello.at/autoconfig/deat.ins
R3 - URLSearchHook: (no name) - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)
O2 - BHO: (no name) - {21B4ACC4-8874-4AEC-AEAC-F567A249B4D4} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: VDOMP Class - {A0ED918D-B8E6-4c3d-BD15-1DB1AE9A5DD3} - C:\WINDOWS\wtlbass32.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: Internet Explorer Web Content Catcher - {FFF4E223-7019-4ce7-BE03-D7D3C8CCE884} - C:\Programme\DNS\Catcher.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSCHED32.EXE /min
O4 - HKLM\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Siemens SmartSync - ScheduleSync] C:\PROGRA~1\MOBILE~1\SMARTS~1\SCHEDU~1.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [System service69] C:\WINDOWS\\etb\pokapoka69.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [CTFMONSS] C:\WINDOWS\System32\CTFMONSS.EXE
O4 - HKCU\..\Run: [CSRSSW] C:\WINDOWS\System32\CSRSSW.EXE
O4 - HKCU\..\Run: [services32] C:\Programme\Gemeinsame Dateien\Windows\mc-58-12-0000111.exe
O4 - HKCU\..\Run: [DNS] C:\Programme\Gemeinsame Dateien\mc-58-12-0000111.exe
O4 - HKCU\..\RunServices: [MS System Security] mswin32.pif
O4 - Startup: Photo Express Calendar Checker SE.lnk.disabled
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\programme\google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=http://www.chello.at/
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - h**p://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - h**p://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**s://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - h**p://messenger.zone.msn.com/binary/Chess.cab31267.cab
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IncrediMail) - h**p://www2.incredimail.com/contents/setup/downloader/imloader.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: ECA (cpanel) - Unknown owner - C:\WINDOWS\javapanel.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Program Files\ahead\InCD\InCDsrv.exe
O23 - Service: Pml Driver HPH11 - HP - C:\WINDOWS\System32\HPHipm11.exe

[edit]
links entfernt
[/edit]

cronos 24.09.2005 17:02
Ob die Bereinigung deines völlig veralteten Betriebssystem überhaupt noch Sinn macht, erfahren wir, nachdem du wie beschrieben einen Escan durchgeführt und uns die Ergebnisse mitgeteilt hast.
Mach dir aber nicht allzuviel Hoffnungen.

stupormundi 26.09.2005 06:27
Zitat:
Zitat von cronos
Mach dir aber nicht allzuviel Hoffnungen.
Du sprichst ein wahres Wort gelassen aus!
Zitat:
O4 - HKCU\..\RunServices: [MS System Security] mswin32.pif
http://www.sophos.com/virusinfo/anal...32rbotaox.html
Ich glaube, da hilft nur mehr das:
http://www.trojaner-board.de/showthread.php?t=12154
Un der Grund dafür:
Zitat:
Logfile of HijackThis v1.99.1
Scan saved at 17:07:29, on 24.09.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
stupormundi

konfuzius1 02.10.2005 17:02
Vielen Dank für die Antworten und eure Hilfe.

Na dann wird wohl alles nichts nützen und ich muss mich in nächster Zeit um einen neuen PC umschauen.

Wenn da halt bloß das liebe Kleingeld nicht wär ... ;-)

nochmals Danke für alles

chaosman 02.10.2005 17:06
@konfuzius1
Na dann wird wohl alles nichts nützen und ich muss mich in nächster Zeit um einen neuen PC umschauen. :confused:

du solltest dein system neuaufsetzen, nicht unbedingt einen neuen PC kaufen :crazy:
den link mit anleitung hat stupormundi dir schon gepostet


chaosman

Haui45 02.10.2005 17:06
Zitat:
Zitat von konfuzius1
Na dann wird wohl alles nichts nützen und ich muss mich in nächster Zeit um einen neuen PC umschauen.
Irgendwas hast du wohl missvertanden. ;)
Du musst das System nur neu aufsetzen. Dazu musst du dir keinen neuen PC kaufen. Soweit kommst's noch :D

*EDIT*
Hi chaosman ;)

konfuzius1 07.10.2005 11:28
Hallo nochmal,

tut mir leid wenn ich schon wieder lästig bin, aber ich habe jetzt den pc neu aufgesetzt (recovery CD), und .... da war er wieder: Antivir Meldung: [B]REMON. sys

Ich weiß jetzt wirklich nicht mehr was ich machen soll. Ich hab mir schon zone alarm, spybot s&d, und antivir installiert. All diese programme können dem wurm nichts anhaben!?!?

vielen Dank für nützliche tipps

Wildone 07.10.2005 11:39
Hallo,
hattest du SP2 installiert, oder die Systeminterne Firewall aktiviert bevor du zum erstenmal online gegangen bist?
Wenn nein, musst du das ganze nochmal machen, und diesmal solltest du die Anleitung gründlich durchlesen, und wenn du was nicht verstehst nachfragen.



Grüße Wildone

Rene-gad 07.10.2005 11:39
@konfuzius1
Zitat:
ich habe jetzt den pc neu aufgesetzt (recovery CD)
... an welcher kein SP2 vorhanden war und so ins Internet gegangen.
Zitat:
Remon.sys is Trojan/Backdoor driver known as Hacktool Rootkit.
Da musst du wohl alles von Vorne anfangen, diesmal aber bitte genau nach der Anleitung aus meiner Signatur.

konfuzius1 08.10.2005 21:11
Ist die Absicherung auch ohne SP2 möglich? Denn ich habe windows xp geschenkt bekommen und es ist mir nicht möglich SP2 zu installieren. Oder muss ich das System wieder unter ME laufen lassen ? (Ist windows ME genauso sicher wie XP mit SP2?)

Wildone 08.10.2005 21:17
Hallo,
auf Dauer ist die Absicherung ohne SP2 nicht möglich. Ich verstehe auch nicht warum du das nicht installieren können willst, ist frei runterladbar bei Microsoft.
Wenn es nur darum geht sicher zu sein, bis du SP2 installierst ist das ohne Probleme möglich. Siehe Anleitung:
Zitat:
2. Internetverbindungsfirewall (Win XP und XP SP1) oder die Windows "Firewall" (Win XP SP2) aktivieren
Den Links folgen.
Also für mich gäbe es nur einen sinnvollen Grund zu ME zurückzukehren, nämlich wenn deine XP Version nicht legal ist, an sonsten kannst du ohne Probleme SP2 installieren.


Grüße Wildone

Rene-gad 09.10.2005 08:37
@konfuzius1
Zitat:
Denn ich habe windows xp geschenkt bekommen
:heilig:
Zitat:
...fürchte die Danaer, auch wenn sie Geschenke machen
:D
Hier handelt es sich wahrschenlich um eine illegale oder alte WinXP- Version. Alle neuen Microsoft Windows XP-CDs haben bereits SP2 "ab Werk" integriert.


Alle Zeitangaben in WEZ +1. Es ist jetzt 04:23 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131