Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Smitfraud c. und Doubleclick ... (https://www.trojaner-board.de/22518-smitfraud-c-doubleclick.html)

Sonnenfahrer 07.10.2005 07:44
Smitfraud c. und Doubleclick ...
 
Spybot kann Smitfraud c. nicht entfernen und meldet 40 Einträge .
(und Doubleclick kommt auch immer wieder).

Logfile of HijackThis v1.99.1
Scan saved at 08:43:15, on 07.10.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE
C:\Programme\MPM\MpmSvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SCARDS32.EXE
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\TELE\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\FRITZ!DSL\FritzDsl.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\explorer.exe
D:\PROGRAMME\Hijackthis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)
O2 - BHO: (no name) - {BD84965D-F8A8-4EA6-BD0C-EAD13E1B58CE} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - D:\PROGRA~1\FLASHGET\fgiebar.dll
O3 - Toolbar: Steganos Internet Anonym - {00000000-5736-4205-0008-781cd0e19f00} - d:\programme\steganos internet anonym pro 7\siapro7iep.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\TELE\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Startup: FRITZ!fax.lnk = C:\Programme\FRITZ!\FriFax32.exe
O4 - Startup: FRITZ!web DSL.lnk = C:\Programme\FRITZ!DSL\FritzDsl.exe
O4 - Startup: msimn.exe.lnk = C:\Programme\Outlook Express\msimn.exe
O4 - Startup: zlclient.exe.lnk = C:\Programme\TELE\ZoneAlarm\zlclient.exe
O4 - Global Startup: PowerISDNMonitor 4.2.lnk = D:\PROGRAMME\PowerISDNMonitor\pimjava.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Toolbars\Restrictions present
O8 - Extra context menu item: Alles mit FlashGet laden - D:\PROGRAMME\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - D:\PROGRAMME\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - D:\Programme\MM\IrfanView\Ebay\Ebay.htm
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - h**p://eu.download.games.yahoo.com/zylom/activex/zylomloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2034F317-BABE-43F7-98E9-C193CFB5BBF8}: NameServer = 69.50.176.196,195.225.176.110
O17 - HKLM\System\CCS\Services\Tcpip\..\{867EF722-F618-4E8F-B87B-12669E4D6A4A}: NameServer = 69.50.176.196,195.225.176.110
O17 - HKLM\System\CCS\Services\Tcpip\..\{8B211A8D-F56B-4B89-AD4F-A42E17EAD7BA}: NameServer = 69.50.176.196,195.225.176.110
O17 - HKLM\System\CCS\Services\Tcpip\..\{BA57B507-9940-4BF3-93B4-B45DDF5D00AE}: NameServer = 69.50.176.196,195.225.176.110
O17 - HKLM\System\CCS\Services\Tcpip\..\{DBAE07C4-EDB0-4993-9A62-09F971585F53}: NameServer = 69.50.176.196,195.225.176.110
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: GhostStartService - Symantec Corporation - C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: MPM MultiPlugMate Service (MpmSvc) - K. Hofacker, Hamburg, Germany, ***.gslantern.com - C:\Programme\MPM\MpmSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - D:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: CHIPDRIVE SCARD Service (TWKSCARDSRV) - Towitoko AG - C:\WINDOWS\SCARDS32.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

[edit]
links entfernt
[/edit]

stupormundi 07.10.2005 08:02
Servus, Sonnenfahrer!
Hast Du diese Anleitung schon abgearbeitet http://www.trojaner-board.de/showthread.php?t=21709 ?
Die Einträge. v.a der fette
Zitat:
O17 - HKLM\System\CCS\Services\Tcpip\..\{2034F317-BABE-43F7-98E9-C193CFB5BBF8}: NameServer = 69.50.176.196,195.225.176.110
O17 - HKLM\System\CCS\Services\Tcpip\..\{867EF722-F618-4E8F-B87B-12669E4D6A4A}: NameServer = 69.50.176.196,195.225.176.110
O17 - HKLM\System\CCS\Services\Tcpip\..\{8B211A8D-F56B-4B89-AD4F-A42E17EAD7BA}: NameServer = 69.50.176.196,195.225.176.110
O17 - HKLM\System\CCS\Services\Tcpip\..\{BA57B507-9940-4BF3-93B4-B45DDF5D00AE}: NameServer = 69.50.176.196,195.225.176.110
O17 - HKLM\System\CCS\Services\Tcpip\..\{DBAE07C4-EDB0-4993-9A62-09F971585F53}: NameServer = 69.50.176.196,195.225.176.110
verweisen in die Ukraine
Zitat:
inetnum: 195.225.176.0 - 195.225.179.255
netname: NETCATHOST
descr: NetcatHosting
country: UA
admin-c: VS1142-RIPE
tech-c: VS1142-RIPE
status: ASSIGNED PI
mnt-by: RIPE-NCC-HM-PI-MNT
mnt-lower: RIPE-NCC-HM-PI-MNT
mnt-by: NETCATHOST-MNT
mnt-routes: NETCATHOST-MNT
source: RIPE # Filtered
remarks: ****************************************
remarks: * Abuse contacts: abuse@netcathost.com *
remarks: ****************************************
person: Vsevolod Stetsinsky
address: 01110, Ukraine, Kiev, 20Á, Solomenskaya street. room 206.
phone: +38 050 6226676
e-mail: vs@netcathost.com
nic-hdl: VS1142-RIPE
source: RIPE # Filtered
% Information related to '195.225.176
Quelle: ripe.net.
Falls Du also keinen ISP in der Ukraine hast, solltest Du diese Einträge fixen.
Nach der "Desinfektion" neues Logfile und Ergebnisbericht
bis dann, stupormundi

Sonnenfahrer 07.10.2005 08:33
Liste der Anhänge anzeigen (Anzahl: 1)
...ach ja, ein paar von Spybot gemeldete Einträge:

Sonnenfahrer 07.10.2005 14:15
Danke, stupormundi ,

habe escan im abgesicherten Modus laufen lassen (hat 2 Dateien gelöscht und eine umbenannt)
und in der Registry die 40 Smitfraud-Einträge gelöscht.

Hoffe, jetzt ist alles i.O. ?!

Sonnenfahrer 07.10.2005 14:28
ach ja, hier kommt das Logfile of HijackThis v1.99.1
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\TELE\ZoneAlarm\zlclient.exe
D:\PROGRA~1\eScan\MAILDISP.EXE
D:\PROGRA~1\eScan\TRAYICOS.EXE
D:\PROGRA~1\eScan\AVPMWrap.EXE
C:\WINDOWS\System32\ctfmon.exe
D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\FRITZ!\FriFax32.exe
C:\Programme\FRITZ!DSL\FritzDsl.exe
C:\Programme\Outlook Express\msimn.exe
C:\WINDOWS\system32\javaw.exe
D:\PROGRA~1\eScan\SPOOLER.EXE
d:\PROGRA~1\eScan\MAILSCAN.EXE
d:\PROGRA~1\eScan\kavss.exe
D:\PROGRA~1\eScan\AvpM.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
d:\PROGRA~1\eScan\TRAYSSER.EXE
C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE
d:\PROGRA~1\eScan\avpm.exe
C:\Programme\MPM\MpmSvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SCARDS32.EXE
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\explorer.exe
D:\PROGRAMME\Hijackthis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)
O2 - BHO: (no name) - {BD84965D-F8A8-4EA6-BD0C-EAD13E1B58CE} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - D:\PROGRA~1\FLASHGET\fgiebar.dll
O3 - Toolbar: Steganos Internet Anonym - {00000000-5736-4205-0008-781cd0e19f00} - d:\programme\steganos internet anonym pro 7\siapro7iep.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\TELE\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [MailScan Dispatcher] "d:\Programme\eScan\LAUNCH.EXE"
O4 - HKLM\..\Run: [eScan Updater] d:\PROGRA~1\eScan\TRAYICOS.EXE /App
O4 - HKLM\..\Run: [eScan Monitor] d:\PROGRA~1\eScan\AVPMWrap.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: FRITZ!fax.lnk = C:\Programme\FRITZ!\FriFax32.exe
O4 - Startup: FRITZ!web DSL.lnk = C:\Programme\FRITZ!DSL\FritzDsl.exe
O4 - Startup: msimn.exe.lnk = C:\Programme\Outlook Express\msimn.exe
O4 - Startup: zlclient.exe.lnk = C:\Programme\TELE\ZoneAlarm\zlclient.exe
O4 - Global Startup: PowerISDNMonitor 4.2.lnk = D:\PROGRAMME\PowerISDNMonitor\pimjava.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Toolbars\Restrictions present
O8 - Extra context menu item: Alles mit FlashGet laden - D:\PROGRAMME\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - D:\PROGRAMME\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - D:\Programme\MM\IrfanView\Ebay\Ebay.htm
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Broken Internet access because of LSP provider 'mwtsp.dll' missing
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - h**p://eu.download.games.yahoo.com/zylom/activex/zylomloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2034F317-BABE-43F7-98E9-C193CFB5BBF8}: NameServer = 69.50.176.196,195.225.176.110
O17 - HKLM\System\CCS\Services\Tcpip\..\{867EF722-F618-4E8F-B87B-12669E4D6A4A}: NameServer = 69.50.176.196,195.225.176.110
O17 - HKLM\System\CCS\Services\Tcpip\..\{8B211A8D-F56B-4B89-AD4F-A42E17EAD7BA}: NameServer = 69.50.176.196,195.225.176.110
O17 - HKLM\System\CCS\Services\Tcpip\..\{BA57B507-9940-4BF3-93B4-B45DDF5D00AE}: NameServer = 69.50.176.196,195.225.176.110
O17 - HKLM\System\CCS\Services\Tcpip\..\{DBAE07C4-EDB0-4993-9A62-09F971585F53}: NameServer = 69.50.176.196,195.225.176.110
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: eScan Server-Updater (eScan-trayicos) - MicroWorld Technologies Inc. - d:\PROGRA~1\eScan\TRAYSSER.EXE
O23 - Service: GhostStartService - Symantec Corporation - C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE
O23 - Service: eScan Monitor Service (KAVMonitorService) - Kaspersky Labs. - d:\PROGRA~1\eScan\avpm.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: MPM MultiPlugMate Service (MpmSvc) - K. Hofacker, Hamburg, Germany, ***.gslantern.com - C:\Programme\MPM\MpmSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - D:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: CHIPDRIVE SCARD Service (TWKSCARDSRV) - Towitoko AG - C:\WINDOWS\SCARDS32.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

[edit]
links entfernt
[/edit]

Sonnenfahrer 07.10.2005 15:18
HILFEEEE !!! Gefixt, jetzt komm ich nicht mehr ins Netz
 
Habe 5 Einträge gefixt - jetzt geht nix mehr. Bitte um Anleitung, damit ich wieder ins Netz komme. ISP ist 1&1 DSL (bin jetzt hier bei ´nem Freund).

Die gefexten Einträge waren (habe bei HijackThis leider kein Backup!):

O17 - HKLM\System\CCS\Services\Tcpip\..\{2034F317-BABE-43F7-98E9-C193CFB5BBF8}: NameServer = 69.50.176.196,195.225.176.110
O17 - HKLM\System\CCS\Services\Tcpip\..\{867EF722-F618-4E8F-B87B-12669E4D6A4A}: NameServer = 69.50.176.196,195.225.176.110
O17 - HKLM\System\CCS\Services\Tcpip\..\{8B211A8D-F56B-4B89-AD4F-A42E17EAD7BA}: NameServer = 69.50.176.196,195.225.176.110
O17 - HKLM\System\CCS\Services\Tcpip\..\{BA57B507-9940-4BF3-93B4-B45DDF5D00AE}: NameServer = 69.50.176.196,195.225.176.110
O17 - HKLM\System\CCS\Services\Tcpip\..\{DBAE07C4-EDB0-4993-9A62-09F971585F53}: NameServer = 69.50.176.196,195.225.176.110

felix1 07.10.2005 15:24
Das sollte Dir helfen:
http://www.cexx.org/lspfix.htm

Sonnenfahrer 07.10.2005 17:07
Hilffeeeeeeeeeeee !!!!!!!!!!!!!!!!!!!
 
... klappt nicht / hilft leider nicht !!! ...

Wer weiß, wie ich die gefixten Einträge wieder rückeintragen kann ???

Expert 07.10.2005 19:02
]hey

Diese O17 Einträge musst du unbeding fixen:
CWS Domaine(IP)
Systemwiederherstellung versuchen & neue HijackThis Log posten

Gruss
Expert

Sonnenfahrer 08.10.2005 00:18
Hilfe !!! -nach Fix kein Netz mehr
 
Hi expert,

Systemwiederherstellung hatte ich in xp abgeschaltet wg. Löschung von Smitfraud c.

Und nun?

Expert 08.10.2005 11:16
@Sonnenfahrer

Poste mal ein HijackThis Log

Gruss
Expert

Sonnenfahrer 12.10.2005 06:59
Hi Expert, nach hier das aktuelle log. Is jetzt alles ok?

Logfile of HijackThis v1.99.1
Scan saved at 07:57:56, on 12.10.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\TELE\ZoneAlarm\zlclient.exe
D:\PROGRA~1\eScan\MAILDISP.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Outlook Express\msimn.exe
D:\PROGRA~1\eScan\SPOOLER.EXE
d:\PROGRA~1\eScan\MAILSCAN.EXE
d:\PROGRA~1\eScan\kavss.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
d:\PROGRA~1\eScan\TRAYSSER.EXE
C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE
C:\Programme\MPM\MpmSvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SCARDS32.EXE
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\FRITZ!DSL\FritzDsl.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\explorer.exe
C:\Dokumente und Einstellungen\User\Desktop\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)
O2 - BHO: (no name) - {BD84965D-F8A8-4EA6-BD0C-EAD13E1B58CE} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - D:\PROGRA~1\FLASHGET\fgiebar.dll
O3 - Toolbar: Steganos Internet Anonym - {00000000-5736-4205-0008-781cd0e19f00} - d:\programme\steganos internet anonym pro 7\siapro7iep.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\TELE\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [MailScan Dispatcher] "d:\Programme\eScan\LAUNCH.EXE"
O4 - HKLM\..\Run: [eScan Updater] d:\PROGRA~1\eScan\TRAYICOS.EXE /App
O4 - HKLM\..\Run: [eScan Monitor] d:\PROGRA~1\eScan\AVPMWrap.EXE
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: FRITZ!fax.lnk = C:\Programme\FRITZ!\FriFax32.exe
O4 - Startup: msimn.exe.lnk = C:\Programme\Outlook Express\msimn.exe
O4 - Startup: zlclient.exe.lnk = C:\Programme\TELE\ZoneAlarm\zlclient.exe
O4 - Global Startup: PowerISDNMonitor 4.2.lnk = D:\PROGRAMME\PowerISDNMonitor\pimjava.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Toolbars\Restrictions present
O8 - Extra context menu item: Alles mit FlashGet laden - D:\PROGRAMME\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - D:\PROGRAMME\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - D:\Programme\MM\IrfanView\Ebay\Ebay.htm
O10 - Broken Internet access because of LSP provider 'mwtsp.dll' missing
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - h**p://eu.download.games.yahoo.com/zylom/activex/zylomloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9E5558D7-E34D-4C79-BBE8-5F771B44ED86}: NameServer = 192.168.122.252,192.168.122.253
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: eScan Server-Updater (eScan-trayicos) - MicroWorld Technologies Inc. - d:\PROGRA~1\eScan\TRAYSSER.EXE
O23 - Service: GhostStartService - Symantec Corporation - C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE
O23 - Service: eScan Monitor Service (KAVMonitorService) - Kaspersky Labs. - d:\PROGRA~1\eScan\avpm.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: MPM MultiPlugMate Service (MpmSvc) - K. Hofacker, Hamburg, Germany, w*w.gslantern.com - C:\Programme\MPM\MpmSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - D:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: CHIPDRIVE SCARD Service (TWKSCARDSRV) - Towitoko AG - C:\WINDOWS\SCARDS32.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

[edit]
links entfernt
[/edit]

stupormundi 12.10.2005 07:06
Servus, sonnenfahrer!
Noch nicht ganz
Zitat:
Logfile of HijackThis v1.99.1
Scan saved at 07:57:56, on 12.10.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
SP2 + Sicherheitspatches fehlen - nachholen!
Diese Einträge
Zitat:
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)
O2 - BHO: (no name) - {BD84965D-F8A8-4EA6-BD0C-EAD13E1B58CE} - (no file)
noch fixen
Die hier
Zitat:
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Toolbars\Restrictions present
wenn von Dir nicht gewollt, auch fixen!
Das hier
Zitat:
O10 - Broken Internet access because of LSP provider 'mwtsp.dll' missing
mit lspfix http://www.cexx.org/lspfix.htm reparieren!
Dann neues HJT Log posten
cu, stupormundi

Sonnenfahrer 21.10.2005 17:55
..........

Sonnenfahrer 21.10.2005 17:59
Hallo und danke für die Info.

Aber:

02 kommt immer wieder nach einem Neustart, nur im abgesicherten Modus nicht.

06 ist auch im abgesicherten Modus nicht löschbar.

Kann das alles irgendwas mit "escan" oder "spybot" zu tun haben ?

An xp servicepack 2 trau ich mich nicht so richtig ran - ein Freund hatte damit ´nen Totalabsturz!

Hier das Logfile:
Logfile of HijackThis v1.99.1

[edit]
bitte editiere deine links zukünftig, wie es dir u.a. hier angezeigt wird:

http://www.trojaner-board.de/showpost.php?p=171957&postcount=1


danke
GUA
[/edit]

Sonnenfahrer 24.10.2005 19:56
Hi stupormundi,

hier nochmal das logfile (bin ja lernfähig bei "http")
;)
Die O2 - Einträge kommen immer wieder.


Logfile of HijackThis v1.99.1
Scan saved at 20:46:05, on 24.10.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\TELE\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE
C:\Programme\MPM\MpmSvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SCARDS32.EXE
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\wuauclt.exe
d:\PROGRA~1\eScan\escanmx.exe
C:\Programme\FRITZ!DSL\FritzDsl.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\explorer.exe
D:\PROGRAMME\Hijackthis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)
O2 - BHO: (no name) - {BD84965D-F8A8-4EA6-BD0C-EAD13E1B58CE} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - D:\PROGRA~1\FLASHGET\fgiebar.dll
O3 - Toolbar: Steganos Internet Anonym - {00000000-5736-4205-0008-781cd0e19f00} - d:\programme\steganos internet anonym pro 7\siapro7iep.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\TELE\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: FRITZ!fax.lnk = C:\Programme\FRITZ!\FriFax32.exe
O4 - Startup: msimn.exe.lnk = C:\Programme\Outlook Express\msimn.exe
O4 - Startup: zlclient.exe.lnk = C:\Programme\TELE\ZoneAlarm\zlclient.exe
O4 - Global Startup: PowerISDNMonitor 4.2.lnk = D:\PROGRAMME\PowerISDNMonitor\pimjava.exe
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Toolbars\Restrictions present
O8 - Extra context menu item: Alles mit FlashGet laden - D:\PROGRAMME\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - D:\PROGRAMME\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - D:\Programme\MM\IrfanView\Ebay\Ebay.htm
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - h**p://eu.download.games.yahoo.com/zylom/activex/zylomloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9E5558D7-E34D-4C79-BBE8-5F771B44ED86}: NameServer = 192.168.122.252,192.168.122.253
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: GhostStartService - Symantec Corporation - C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE
O23 - Service: MPM MultiPlugMate Service (MpmSvc) - K. Hofacker, Hamburg, Germany, www.gslantern.com - C:\Programme\MPM\MpmSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - D:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: CHIPDRIVE SCARD Service (TWKSCARDSRV) - Towitoko AG - C:\WINDOWS\SCARDS32.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Sonnenfahrer 29.10.2005 08:54
ok, erledigt. threat geschlossen.


Alle Zeitangaben in WEZ +1. Es ist jetzt 18:02 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131