Trojaner-Board
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Smitfraud c. und Doubleclick ... (https://www.trojaner-board.de/22518-smitfraud-c-doubleclick.html)

Sonnenfahrer 07.10.2005 07:44
Smitfraud c. und Doubleclick ...
 
Spybot kann Smitfraud c. nicht entfernen und meldet 40 Einträge .
(und Doubleclick kommt auch immer wieder).

Logfile of HijackThis v1.99.1
Scan saved at 08:43:15, on 07.10.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE
C:\Programme\MPM\MpmSvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SCARDS32.EXE
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\TELE\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\FRITZ!DSL\FritzDsl.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\explorer.exe
D:\PROGRAMME\Hijackthis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)
O2 - BHO: (no name) - {BD84965D-F8A8-4EA6-BD0C-EAD13E1B58CE} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - D:\PROGRA~1\FLASHGET\fgiebar.dll
O3 - Toolbar: Steganos Internet Anonym - {00000000-5736-4205-0008-781cd0e19f00} - d:\programme\steganos internet anonym pro 7\siapro7iep.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\TELE\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Startup: FRITZ!fax.lnk = C:\Programme\FRITZ!\FriFax32.exe
O4 - Startup: FRITZ!web DSL.lnk = C:\Programme\FRITZ!DSL\FritzDsl.exe
O4 - Startup: msimn.exe.lnk = C:\Programme\Outlook Express\msimn.exe
O4 - Startup: zlclient.exe.lnk = C:\Programme\TELE\ZoneAlarm\zlclient.exe
O4 - Global Startup: PowerISDNMonitor 4.2.lnk = D:\PROGRAMME\PowerISDNMonitor\pimjava.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Toolbars\Restrictions present
O8 - Extra context menu item: Alles mit FlashGet laden - D:\PROGRAMME\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - D:\PROGRAMME\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - D:\Programme\MM\IrfanView\Ebay\Ebay.htm
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - h**p://eu.download.games.yahoo.com/zylom/activex/zylomloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2034F317-BABE-43F7-98E9-C193CFB5BBF8}: NameServer = 69.50.176.196,195.225.176.110
O17 - HKLM\System\CCS\Services\Tcpip\..\{867EF722-F618-4E8F-B87B-12669E4D6A4A}: NameServer = 69.50.176.196,195.225.176.110
O17 - HKLM\System\CCS\Services\Tcpip\..\{8B211A8D-F56B-4B89-AD4F-A42E17EAD7BA}: NameServer = 69.50.176.196,195.225.176.110
O17 - HKLM\System\CCS\Services\Tcpip\..\{BA57B507-9940-4BF3-93B4-B45DDF5D00AE}: NameServer = 69.50.176.196,195.225.176.110
O17 - HKLM\System\CCS\Services\Tcpip\..\{DBAE07C4-EDB0-4993-9A62-09F971585F53}: NameServer = 69.50.176.196,195.225.176.110
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: GhostStartService - Symantec Corporation - C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: MPM MultiPlugMate Service (MpmSvc) - K. Hofacker, Hamburg, Germany, ***.gslantern.com - C:\Programme\MPM\MpmSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - D:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: CHIPDRIVE SCARD Service (TWKSCARDSRV) - Towitoko AG - C:\WINDOWS\SCARDS32.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

[edit]
links entfernt
[/edit]

stupormundi 07.10.2005 08:02
Servus, Sonnenfahrer!
Hast Du diese Anleitung schon abgearbeitet http://www.trojaner-board.de/showthread.php?t=21709 ?
Die Einträge. v.a der fette
Zitat:
O17 - HKLM\System\CCS\Services\Tcpip\..\{2034F317-BABE-43F7-98E9-C193CFB5BBF8}: NameServer = 69.50.176.196,195.225.176.110
O17 - HKLM\System\CCS\Services\Tcpip\..\{867EF722-F618-4E8F-B87B-12669E4D6A4A}: NameServer = 69.50.176.196,195.225.176.110
O17 - HKLM\System\CCS\Services\Tcpip\..\{8B211A8D-F56B-4B89-AD4F-A42E17EAD7BA}: NameServer = 69.50.176.196,195.225.176.110
O17 - HKLM\System\CCS\Services\Tcpip\..\{BA57B507-9940-4BF3-93B4-B45DDF5D00AE}: NameServer = 69.50.176.196,195.225.176.110
O17 - HKLM\System\CCS\Services\Tcpip\..\{DBAE07C4-EDB0-4993-9A62-09F971585F53}: NameServer = 69.50.176.196,195.225.176.110
verweisen in die Ukraine
Zitat:
inetnum: 195.225.176.0 - 195.225.179.255
netname: NETCATHOST
descr: NetcatHosting
country: UA
admin-c: VS1142-RIPE
tech-c: VS1142-RIPE
status: ASSIGNED PI
mnt-by: RIPE-NCC-HM-PI-MNT
mnt-lower: RIPE-NCC-HM-PI-MNT
mnt-by: NETCATHOST-MNT
mnt-routes: NETCATHOST-MNT
source: RIPE # Filtered
remarks: ****************************************
remarks: * Abuse contacts: abuse@netcathost.com *
remarks: ****************************************
person: Vsevolod Stetsinsky
address: 01110, Ukraine, Kiev, 20Á, Solomenskaya street. room 206.
phone: +38 050 6226676
e-mail: vs@netcathost.com
nic-hdl: VS1142-RIPE
source: RIPE # Filtered
% Information related to '195.225.176
Quelle: ripe.net.
Falls Du also keinen ISP in der Ukraine hast, solltest Du diese Einträge fixen.
Nach der "Desinfektion" neues Logfile und Ergebnisbericht
bis dann, stupormundi

Sonnenfahrer 07.10.2005 08:33
Liste der Anhänge anzeigen (Anzahl: 1)
...ach ja, ein paar von Spybot gemeldete Einträge:

Sonnenfahrer 07.10.2005 14:15
Danke, stupormundi ,

habe escan im abgesicherten Modus laufen lassen (hat 2 Dateien gelöscht und eine umbenannt)
und in der Registry die 40 Smitfraud-Einträge gelöscht.

Hoffe, jetzt ist alles i.O. ?!

Sonnenfahrer 07.10.2005 14:28
ach ja, hier kommt das Logfile of HijackThis v1.99.1
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\TELE\ZoneAlarm\zlclient.exe
D:\PROGRA~1\eScan\MAILDISP.EXE
D:\PROGRA~1\eScan\TRAYICOS.EXE
D:\PROGRA~1\eScan\AVPMWrap.EXE
C:\WINDOWS\System32\ctfmon.exe
D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\FRITZ!\FriFax32.exe
C:\Programme\FRITZ!DSL\FritzDsl.exe
C:\Programme\Outlook Express\msimn.exe
C:\WINDOWS\system32\javaw.exe
D:\PROGRA~1\eScan\SPOOLER.EXE
d:\PROGRA~1\eScan\MAILSCAN.EXE
d:\PROGRA~1\eScan\kavss.exe
D:\PROGRA~1\eScan\AvpM.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
d:\PROGRA~1\eScan\TRAYSSER.EXE
C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE
d:\PROGRA~1\eScan\avpm.exe
C:\Programme\MPM\MpmSvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SCARDS32.EXE
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\explorer.exe
D:\PROGRAMME\Hijackthis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)
O2 - BHO: (no name) - {BD84965D-F8A8-4EA6-BD0C-EAD13E1B58CE} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - D:\PROGRA~1\FLASHGET\fgiebar.dll
O3 - Toolbar: Steganos Internet Anonym - {00000000-5736-4205-0008-781cd0e19f00} - d:\programme\steganos internet anonym pro 7\siapro7iep.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\TELE\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [MailScan Dispatcher] "d:\Programme\eScan\LAUNCH.EXE"
O4 - HKLM\..\Run: [eScan Updater] d:\PROGRA~1\eScan\TRAYICOS.EXE /App
O4 - HKLM\..\Run: [eScan Monitor] d:\PROGRA~1\eScan\AVPMWrap.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: FRITZ!fax.lnk = C:\Programme\FRITZ!\FriFax32.exe
O4 - Startup: FRITZ!web DSL.lnk = C:\Programme\FRITZ!DSL\FritzDsl.exe
O4 - Startup: msimn.exe.lnk = C:\Programme\Outlook Express\msimn.exe
O4 - Startup: zlclient.exe.lnk = C:\Programme\TELE\ZoneAlarm\zlclient.exe
O4 - Global Startup: PowerISDNMonitor 4.2.lnk = D:\PROGRAMME\PowerISDNMonitor\pimjava.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Toolbars\Restrictions present
O8 - Extra context menu item: Alles mit FlashGet laden - D:\PROGRAMME\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - D:\PROGRAMME\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - D:\Programme\MM\IrfanView\Ebay\Ebay.htm
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Broken Internet access because of LSP provider 'mwtsp.dll' missing
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - h**p://eu.download.games.yahoo.com/zylom/activex/zylomloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2034F317-BABE-43F7-98E9-C193CFB5BBF8}: NameServer = 69.50.176.196,195.225.176.110
O17 - HKLM\System\CCS\Services\Tcpip\..\{867EF722-F618-4E8F-B87B-12669E4D6A4A}: NameServer = 69.50.176.196,195.225.176.110
O17 - HKLM\System\CCS\Services\Tcpip\..\{8B211A8D-F56B-4B89-AD4F-A42E17EAD7BA}: NameServer = 69.50.176.196,195.225.176.110
O17 - HKLM\System\CCS\Services\Tcpip\..\{BA57B507-9940-4BF3-93B4-B45DDF5D00AE}: NameServer = 69.50.176.196,195.225.176.110
O17 - HKLM\System\CCS\Services\Tcpip\..\{DBAE07C4-EDB0-4993-9A62-09F971585F53}: NameServer = 69.50.176.196,195.225.176.110
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: eScan Server-Updater (eScan-trayicos) - MicroWorld Technologies Inc. - d:\PROGRA~1\eScan\TRAYSSER.EXE
O23 - Service: GhostStartService - Symantec Corporation - C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE
O23 - Service: eScan Monitor Service (KAVMonitorService) - Kaspersky Labs. - d:\PROGRA~1\eScan\avpm.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: MPM MultiPlugMate Service (MpmSvc) - K. Hofacker, Hamburg, Germany, ***.gslantern.com - C:\Programme\MPM\MpmSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - D:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: CHIPDRIVE SCARD Service (TWKSCARDSRV) - Towitoko AG - C:\WINDOWS\SCARDS32.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

[edit]
links entfernt
[/edit]

Sonnenfahrer 07.10.2005 15:18
HILFEEEE !!! Gefixt, jetzt komm ich nicht mehr ins Netz
 
Habe 5 Einträge gefixt - jetzt geht nix mehr. Bitte um Anleitung, damit ich wieder ins Netz komme. ISP ist 1&1 DSL (bin jetzt hier bei ´nem Freund).

Die gefexten Einträge waren (habe bei HijackThis leider kein Backup!):

O17 - HKLM\System\CCS\Services\Tcpip\..\{2034F317-BABE-43F7-98E9-C193CFB5BBF8}: NameServer = 69.50.176.196,195.225.176.110
O17 - HKLM\System\CCS\Services\Tcpip\..\{867EF722-F618-4E8F-B87B-12669E4D6A4A}: NameServer = 69.50.176.196,195.225.176.110
O17 - HKLM\System\CCS\Services\Tcpip\..\{8B211A8D-F56B-4B89-AD4F-A42E17EAD7BA}: NameServer = 69.50.176.196,195.225.176.110
O17 - HKLM\System\CCS\Services\Tcpip\..\{BA57B507-9940-4BF3-93B4-B45DDF5D00AE}: NameServer = 69.50.176.196,195.225.176.110
O17 - HKLM\System\CCS\Services\Tcpip\..\{DBAE07C4-EDB0-4993-9A62-09F971585F53}: NameServer = 69.50.176.196,195.225.176.110

felix1 07.10.2005 15:24
Das sollte Dir helfen:
http://www.cexx.org/lspfix.htm

Sonnenfahrer 07.10.2005 17:07
Hilffeeeeeeeeeeee !!!!!!!!!!!!!!!!!!!
 
... klappt nicht / hilft leider nicht !!! ...

Wer weiß, wie ich die gefixten Einträge wieder rückeintragen kann ???

Expert 07.10.2005 19:02
]hey

Diese O17 Einträge musst du unbeding fixen:
CWS Domaine(IP)
Systemwiederherstellung versuchen & neue HijackThis Log posten

Gruss
Expert

Sonnenfahrer 08.10.2005 00:18
Hilfe !!! -nach Fix kein Netz mehr
 
Hi expert,

Systemwiederherstellung hatte ich in xp abgeschaltet wg. Löschung von Smitfraud c.

Und nun?

Expert 08.10.2005 11:16
@Sonnenfahrer

Poste mal ein HijackThis Log

Gruss
Expert

Sonnenfahrer 12.10.2005 06:59
Hi Expert, nach hier das aktuelle log. Is jetzt alles ok?

Logfile of HijackThis v1.99.1
Scan saved at 07:57:56, on 12.10.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\TELE\ZoneAlarm\zlclient.exe
D:\PROGRA~1\eScan\MAILDISP.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Outlook Express\msimn.exe
D:\PROGRA~1\eScan\SPOOLER.EXE
d:\PROGRA~1\eScan\MAILSCAN.EXE
d:\PROGRA~1\eScan\kavss.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
d:\PROGRA~1\eScan\TRAYSSER.EXE
C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE
C:\Programme\MPM\MpmSvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SCARDS32.EXE
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\FRITZ!DSL\FritzDsl.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\explorer.exe
C:\Dokumente und Einstellungen\User\Desktop\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)
O2 - BHO: (no name) - {BD84965D-F8A8-4EA6-BD0C-EAD13E1B58CE} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - D:\PROGRA~1\FLASHGET\fgiebar.dll
O3 - Toolbar: Steganos Internet Anonym - {00000000-5736-4205-0008-781cd0e19f00} - d:\programme\steganos internet anonym pro 7\siapro7iep.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\TELE\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [MailScan Dispatcher] "d:\Programme\eScan\LAUNCH.EXE"
O4 - HKLM\..\Run: [eScan Updater] d:\PROGRA~1\eScan\TRAYICOS.EXE /App
O4 - HKLM\..\Run: [eScan Monitor] d:\PROGRA~1\eScan\AVPMWrap.EXE
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: FRITZ!fax.lnk = C:\Programme\FRITZ!\FriFax32.exe
O4 - Startup: msimn.exe.lnk = C:\Programme\Outlook Express\msimn.exe
O4 - Startup: zlclient.exe.lnk = C:\Programme\TELE\ZoneAlarm\zlclient.exe
O4 - Global Startup: PowerISDNMonitor 4.2.lnk = D:\PROGRAMME\PowerISDNMonitor\pimjava.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Toolbars\Restrictions present
O8 - Extra context menu item: Alles mit FlashGet laden - D:\PROGRAMME\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - D:\PROGRAMME\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - D:\Programme\MM\IrfanView\Ebay\Ebay.htm
O10 - Broken Internet access because of LSP provider 'mwtsp.dll' missing
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - h**p://eu.download.games.yahoo.com/zylom/activex/zylomloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9E5558D7-E34D-4C79-BBE8-5F771B44ED86}: NameServer = 192.168.122.252,192.168.122.253
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: eScan Server-Updater (eScan-trayicos) - MicroWorld Technologies Inc. - d:\PROGRA~1\eScan\TRAYSSER.EXE
O23 - Service: GhostStartService - Symantec Corporation - C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE
O23 - Service: eScan Monitor Service (KAVMonitorService) - Kaspersky Labs. - d:\PROGRA~1\eScan\avpm.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: MPM MultiPlugMate Service (MpmSvc) - K. Hofacker, Hamburg, Germany, w*w.gslantern.com - C:\Programme\MPM\MpmSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - D:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: CHIPDRIVE SCARD Service (TWKSCARDSRV) - Towitoko AG - C:\WINDOWS\SCARDS32.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

[edit]
links entfernt
[/edit]

stupormundi 12.10.2005 07:06
Servus, sonnenfahrer!
Noch nicht ganz
Zitat:
Logfile of HijackThis v1.99.1
Scan saved at 07:57:56, on 12.10.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
SP2 + Sicherheitspatches fehlen - nachholen!
Diese Einträge
Zitat:
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)
O2 - BHO: (no name) - {BD84965D-F8A8-4EA6-BD0C-EAD13E1B58CE} - (no file)
noch fixen
Die hier
Zitat:
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Toolbars\Restrictions present
wenn von Dir nicht gewollt, auch fixen!
Das hier
Zitat:
O10 - Broken Internet access because of LSP provider 'mwtsp.dll' missing
mit lspfix http://www.cexx.org/lspfix.htm reparieren!
Dann neues HJT Log posten
cu, stupormundi

Sonnenfahrer 21.10.2005 17:55
..........

Sonnenfahrer 21.10.2005 17:59
Hallo und danke für die Info.

Aber:

02 kommt immer wieder nach einem Neustart, nur im abgesicherten Modus nicht.

06 ist auch im abgesicherten Modus nicht löschbar.

Kann das alles irgendwas mit "escan" oder "spybot" zu tun haben ?

An xp servicepack 2 trau ich mich nicht so richtig ran - ein Freund hatte damit ´nen Totalabsturz!

Hier das Logfile:
Logfile of HijackThis v1.99.1

[edit]
bitte editiere deine links zukünftig, wie es dir u.a. hier angezeigt wird:

http://www.trojaner-board.de/showpost.php?p=171957&postcount=1


danke
GUA
[/edit]


Alle Zeitangaben in WEZ +1. Es ist jetzt 08:28 Uhr.
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55