Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Bitte log prüfen (werd noch verückt) (https://www.trojaner-board.de/22307-bitte-log-pruefen-werd-noch-verueckt.html)

PuhderBaer 29.09.2005 22:03
Bitte log prüfen (werd noch verückt)
 
Hilfe :heulen:

Ich dreh irgendwann noch durch, hab hier grad nen maga langen text geschrieben damit jeder weiß was ich gmacht hab aber etz hab ich keine lust mehr und schmeiß die logs einfach so rein...

hier im abgesicherten Modus:

Logfile of HijackThis v1.99.1
Scan saved at 18:12:45, on 29.09.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Dokumente und Einstellungen\Thales\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.games-fusion.net/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [LaunchAp] C:\Programme\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Programme\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [LMgrOSD] C:\Programme\Launch Manager\OSD.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [CtrlVol] C:\Programme\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKLM\..\Run: [EPSON Stylus C86 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0R2.EXE /P23 "EPSON Stylus C86 Series" /O6 "USB001" /M "Stylus C86"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Babylon Client] C:\Programme\Babylon\Babylon.exe -AutoStart
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - Startup: Xfire.lnk = C:\Programme\Xfire\Xfire.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O16 - DPF: {41649A90-B484-11D1-8D75-00C04FC24EE6} (WebEQ Browser Controls) - h**p://www.onlinemathe.de/install/WebEQInstall.cab
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: C-DillaCdaC11BA - Unknown owner - C:\WINDOWS\system32\drivers\CDAC11BA.EXE (file missing)
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\eTrust Antivirus\InoTask.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

hier beim normalen Starten:

Logfile of HijackThis v1.99.1
Scan saved at 21:08:56, on 29.09.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\eTrust Antivirus\InoRpc.exe
C:\Programme\eTrust Antivirus\InoRT.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\eTrust Antivirus\InoTask.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Launch Manager\LaunchAp.exe
C:\Programme\Launch Manager\HotkeyApp.exe
C:\Programme\Launch Manager\OSD.exe
C:\Programme\Launch Manager\Wbutton.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\PROGRA~1\ETRUST~1\realmon.exe
C:\WINDOWS\system32\PRISMSTA.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0R2.EXE
C:\Programme\Babylon\Babylon.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Skype\Phone\Skype.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\mdm.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Dokumente und Einstellungen\Thales\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.games-fusion.net/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [LaunchAp] C:\Programme\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Programme\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [LMgrOSD] C:\Programme\Launch Manager\OSD.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [CtrlVol] C:\Programme\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKLM\..\Run: [EPSON Stylus C86 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0R2.EXE /P23 "EPSON Stylus C86 Series" /O6 "USB001" /M "Stylus C86"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Babylon Client] C:\Programme\Babylon\Babylon.exe -AutoStart
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - Startup: Xfire.lnk = C:\Programme\Xfire\Xfire.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O16 - DPF: {41649A90-B484-11D1-8D75-00C04FC24EE6} (WebEQ Browser Controls) - h**p://www.onlinemathe.de/install/WebEQInstall.cab
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: C-DillaCdaC11BA - Unknown owner - C:\WINDOWS\system32\drivers\CDAC11BA.EXE (file missing)
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\eTrust Antivirus\InoTask.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

das hier ist noch von AntiVir, hab ich gefunden nach dem alle Anti irgendwas Programme upgedatet wurden und im abgesicherten Modus gesucht wurde:


Start des Suchlaufs: Donnerstag, 29. September 2005 19:20

Speichertest OK
Master-Bootsektor von Festplatte HD0 OK
Bootsektor von Laufwerk C: OK
Bootsektor von Laufwerk D: OK
Bootsektor von Laufwerk F: OK


C:\
pagefile.sys
Zugriff verweigert! Fehler beim Öffnen der Datei.
Dies ist eine Auslagerungsdatei von Windows. Diese Datei ist von Windows gelockt.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery
CDilla.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
CDilla1.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit1.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit2.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit3.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit4.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
ISearchTechPowerScan.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
C:\Dokumente und Einstellungen\Thales\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CNU76VKH
fav[1].exe
[FUND!] Ist das Trojanische Pferd TR/Favadd.M
WURDE GELÖSCHT!
C:\Programme\WinRAR
rarnew.dat
ArchiveType: RAR
HINWEIS! Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume)
Fehler beim Wechsel in das Verzeichnis System Volume Information
C:\WINDOWS\system32\config
default
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SAM
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SECURITY
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
software
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
system
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!


Fehler beim Wechsel in das Verzeichnis System Volume Information


Fehler beim Wechsel in das Verzeichnis System Volume Information

Ende des Suchlaufs: Donnerstag, 29. September 2005 20:19
Benötigte Zeit: 58:44 min


2845 Verzeichnisse wurden durchsucht
62879 Dateien wurden geprüft
6 Warnungen wurden ausgegeben
1 Datei wurde gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Virus bzw. unerwünschtes Programm wurde gefunden

vielleicht doch noch zum hintergrund warum ich so stinke sauer bin....
Mein IE geht manchmal einfach so zu, wie grad vorher und bei google hatte ich das problem das nach dem drücken von Enter der IE ebenfalls zu ging und meine Auslangerungsdateien steigen nach dem löschen eines Trojaners bei dem Temp-Ordner (JAVA/Silly!D oder so änlich) trotzedem noch ins unermessliche und bei 2 GB gibt sogar mein einigermaßen gut bestücktes Notebook das über Router und WLAN im Net ist den Geist auf, weil sich keine Progs mehr öffnen lassen :teufel2: :schrei: :balla:

Vielleicht kann mir einer beim Zaubern helfen, sitzt schon fast fünf Stunden vor dem Kasten und ich leg mich bald ins bett und wenn morgen keine hilfe da ist dann :snyper:

Thx

[edit]
links entfernt
[/edit]

cotton 29.09.2005 22:25
also ich find nichts ...
muss aber nichts heissen - wird sicher noch einer drüber sehen ...
:blabla:

PuhderBaer 29.09.2005 22:35
Also gut, das mit Surfen im Net und dem Internet Explorer scheint mir wieder normal zu funktionieren, das Hauptprobelm ist nur noch mit der Auslagerungsdatei, ab 1,2 GB gibt Windows ne Warnung und bei 2 GB steigt mein Notebook komplett aus und ich muss neustarten......
egal ob ich das Notebook viel oder garnicht benutze!

Naja muss etz ins Bett, mein Kopf glüht schon vor lauter lesen und checken
:balla:

dartus 29.09.2005 22:37
Hallo PuhderBaer,

leere mal den Cache des IExplorers wie folgt:

IExplorer starten --> Extras --> Internetoptionen --> Dateien löschen --> Häckchen bei "alle Offlineinhalte löschen"--> OK --> OK

Benutze zum Surfen zukünftig einen sicheren Browser .

dartus

PuhderBaer 29.09.2005 22:38
Achja, eines ist noch nervig, egal wie oft ich das Cockie von @weborama.fr lösche es kommt immer wieder nur ich frag wo zum Teufel ist das her? Die Site interessiert mich ehrlich gesagt nicht wirklich :lmaa:

PuhderBaer 29.09.2005 22:40
Den Mozilla benutzt ein Freund von mir, er sagt es ist super....
Das werde ich dann auch mal probiern! Kann man beide prallel laufen lassen (also IE und Mozilla) ?
Mit dem IE hab ich mir eh schon die tollsten Sachen gezogen :pfui:

dartus 29.09.2005 22:42
Hallo,

sperre Cookies von Drittanbietern.

Benutze den Firefox zum Surfen und den IExplorer zum Updaten des Betriebssystems. Beide laufen problemlos nebeneinander.

dartus

cotton 29.09.2005 22:51
Zitat:
das Hauptprobelm ist nur noch mit der Auslagerungsdatei, ab 1,2 GB gibt Windows ne Warnung und bei 2 GB steigt mein Notebook komplett aus und ich muss neustarten......
start-systemsteuerung-system-erweitert-systemleistung(einstellungen)-erweitert-virtueller arbeitsspeicher(ändern)-> sollte (meine meinung) vom system verwltet werden (häkchen), oder du legst eine grösse fest, oder "keine auslagerungsdatei", ...
...

cotton 29.09.2005 23:18
ps-könnte interessant für dich sein:http://www.wer-weiss-was.de/theme119...le2817606.html
(ps2:wlan abgesichert?)

PuhderBaer 02.10.2005 00:26
Juhu, da bin ich wieder...

Erst mal Danke an cotton und dartus! :party:
Okay, der Übeltäter für die imensen Auslagerungsdateien war die Firewall (ZoneAlarm) leider hab ich's nicht hinbekommen das Prog laufen zu lassen ohne das es mein Notebook zur Verzweiflung treibt.

Die Trojaner und Viren konnte ich alle entfernen und bis jetzt läuft noch alles :lach:

Die Browser werde ich mir jetzt dann mal ziehen, bis dahin hilft denk ich nur alles Temporäre gleich löschen, wobei ich nur eine Kleinigkeit nicht beseitigen konnte -> Ad-Aware findet immer wieder dieses Cookie von @weborama.fr auch wenn ich es noch so oft in Karantäne stell.
Hab auch schon alles suchen lassen was mit dem Namen zu tun hat, zum Glück ist es mir bis jetzt noch nicht negativ aufgefallen aber trotzdem komisch das es immer wieder auftaucht!?

;)

cotton 02.10.2005 00:33
Zitat:
Temporäre gleich löschen
...kannste einstellen, dass es das beim runterfahren alleine macht -
systemsteuerung-insternetoptionen-erweitert-
runterscrollen bis zu "sicherheit" und häkchen bei "löschen des ordners temp......"
macht sinn, find ich. und dass es beim beenden zu lange dauert is bei mir nich.

cotton 02.10.2005 00:42
cookies:
internetoptionen-datenschutz- auf erweitert klicken- häkchen auf "automatische ... aufheben" und bei beiden unterstehenden "auswahl-dingstas" ( :) ) auf "eingabeaufforderung" stellen.
find ich auch sinnvoll.
kann ich leider nich machen, da meine freundin dann nich mehr mitkommt, wenn der lappi ständig fragt "darf dieses cookie oder nich" ... :)
...
*e*
ausprobieren
*e*


Alle Zeitangaben in WEZ +1. Es ist jetzt 22:39 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27