Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Log File vorhanden ! Problem auch ! (https://www.trojaner-board.de/23925-log-file-vorhanden-problem.html)

cigar 23.11.2005 16:20
Log File vorhanden ! Problem auch !
 
hallo Leute dies ist mein 3 versuch und alle guten dinge sind ja gewöhnlich 3 bitte um eure hilfe

ich bekomme die anzeige > WINFIXER < einfach nicht weg bei mir ist der wurm drin hier mein log file:


Logfile of HijackThis v1.99.1
Scan saved at 15:16:59, on 23.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2800.2080)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\WinSecurity\services.exe
C:\PROGRA~1\HEWLET~1\HPSHAR~1\hpgs2wnf.exe
C:\Programme\ISTsvc\istsvc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\WinSecurity\smss.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\VIA Technologies, Inc\VIA Audio Driver Setup Program\AudioDeck\AudioDeck.exe
C:\Programme\D\D-Info\dinfostarter.exe
C:\WINDOWS\WinSecurity\csrss.exe
C:\Palm\HOTSYNC.EXE
C:\Programme\Hewlett-Packard\AiO\hp officejet d series\Bin\hpoojd07.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\PROGRA~1\HEWLET~1\AiO\Shared\Bin\hpoevm07.exe
C:\WINDOWS\system32\hpoipm07.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\DATEV\SYSTEM\PSNTSERV.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Hewlett-Packard\AiO\Shared\bin\hpOSTS07.exe
C:\Programme\Hewlett-Packard\AiO\Shared\bin\hpOFXM07.exe
C:\PROGRA~1\MICROS~2\Office10\OUTLOOK.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Microsoft Office\Office10\EXCEL.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Adobe\Acrobat 5.0\Acrobat\Acrobat.exe
C:\Programme\Gemeinsame Dateien\Adobe\Web\AOM.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Name\Desktop\TOOLS\HijackThis.com.exe
C:\Programme\Internet Explorer\iexplore.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ***p://www.Name.net/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = ***p://www.Name.de
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [j7QD] C:\WINDOWS\ippgoyhl.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ Windows] C:\WINDOWS\WinSecurity\services.exe
O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [_Windows] C:\WINDOWS\WinSecurity\services.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: AudioDeck.lnk = C:\Programme\VIA Technologies, Inc\VIA Audio Driver Setup Program\AudioDeck\AudioDeck.exe
O4 - Global Startup: D-Info Starter.lnk = C:\Programme\D\D-Info\dinfostarter.exe
O4 - Global Startup: HotSync Manager.lnk = C:\Palm\HOTSYNC.EXE
O4 - Global Startup: HPAiODevice(hp officejet d series) - 1.lnk = C:\Programme\Hewlett-Packard\AiO\hp officejet d series\Bin\hpoojd07.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: D-Info - {5baf1db0-1d34-11d6-bf3c-005056303009} - C:\Programme\D\D-Info\html\toolbarscript.html
O9 - Extra 'Tools' menuitem: D-Info - {5baf1db0-1d34-11d6-bf3c-005056303009} - C:\Programme\D\D-Info\html\toolbarscript.html
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://****.oemxyz.de die seite kenn ich nicht !!!
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - ***p://by102fd.bay102.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - ***p://h30043.www3.hp.com/aio/de/check/qdiagh.cab?319
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: DATEV Druckservice (DatevPrintService) - Datev eG - C:\DATEV\SYSTEM\PSNTSERV.EXE
O23 - Service: ZESOFT - Unknown owner - C:\WINDOWS\zeta.exe (file missing)

Wildone 23.11.2005 16:39
Hallo,
könnte daran liegen das du nicht machst was man dir sagt, siehe hier.
Hast du mal versucht ISTbar über Systemsteuerung>>Software zu deinstallieren?



Grüße Wildone

cigar 23.11.2005 16:54
hi also bei software habe ich folgendes ISTsvc deinstalliert

korrekt??

Wildone 23.11.2005 17:00
Hallo,
korrekt.
Und dann noch den Prozess:
C:\WINDOWS\WinSecurity\services.exe
im Taskmanager beenden und die zugehörige Datei hier überprüfen und das Ergebnis posten.


Grüße Wildone

dartus 23.11.2005 20:04
kurz einmisch:

das ist die neue Sober-Variante --> http://www.antivir-pe.de/de/vireninf...&no_cache=1&L=

dartr

cigar 24.11.2005 10:16
hi leute ...leider wird C:\WINDOWS\WinSecurity\services.exe

im taskmanager nicht angezeigt ..wie kann ich es loswerden ???
könnte ich einfach ohne im abgesichertem modus in den ordner zugreifen und die .exe datei enfernen bzw löschen oder wie gehe ich da vor ???


und

@ dartus der file ist zu groß um es zu überprüfen ( über die seite die du mir gegeben hast )

grüße cigar

dartus 24.11.2005 10:30
Hallo cigar,

update "Antivir".
Wechsel in den abgesicherten Modus und deaktiviere die Systemwiederherstellung.
Lösche den Ordner "C:\WINDOWS\WinSecurity" und fixe mit Hijackthis (scan, Häckchen vor Eintrag und auf fix checked klicken):
O4 - HKLM\..\Run: [ Windows] C:\WINDOWS\WinSecurity\services.exe
O4 - HKCU\..\Run: [_Windows] C:\WINDOWS\WinSecurity\services.exe

Scanne mit Antivir Dein System.

Neustart -> Systemwiederherstellung kann wieder aktiviert werden

Neues Logfile

Zukünftig: Nicht jeden Anhang von Emails öffnen! Das hast Du in der Vergangenheit häufiger getan, da in Deinen Logfiles einige Sober-Varianten auszumachen sind.

dartus

cigar 24.11.2005 14:56
sooo da bin ich wieder mit meinem verbesserten LOG FIle hoffe das jetzt alles in ordnung ist schaut es euch bitte an und sagt mir ob da was noch entfernt werden muss....ich habe alles im abgesichertem modus entfernt und über registry ebenfalss gelöscht bis alles nicht mehr über suchfunkjtion zu fineden war hier mein LOG FILE



Logfile of HijackThis v1.99.1
Scan saved at 14:51:35, on 24.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\VIA Technologies, Inc\VIA Audio Driver Setup Program\AudioDeck\AudioDeck.exe
C:\PROGRA~1\HEWLET~1\HPSHAR~1\hpgs2wnf.exe
C:\Programme\D\D-Info\dinfostarter.exe
C:\Palm\HOTSYNC.EXE
C:\Programme\Hewlett-Packard\AiO\hp officejet d series\Bin\hpoojd07.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\PROGRA~1\HEWLET~1\AiO\Shared\Bin\hpoevm07.exe
C:\WINDOWS\system32\hpoipm07.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\DATEV\SYSTEM\PSNTSERV.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Hewlett-Packard\AiO\Shared\bin\hpOSTS07.exe
C:\Programme\Hewlett-Packard\AiO\Shared\bin\hpOFXM07.exe
C:\PROGRA~1\MICROS~2\Office10\OUTLOOK.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\NAME\Desktop\TOOLS\HijackThis.com.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://****.NAME.net/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http:/****w.NAME.de
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] was ist hiermit kann das bleiben
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: AudioDeck.lnk = C:\Programme\VIA Technologies, Inc\VIA Audio Driver Setup Program\AudioDeck\AudioDeck.exe
O4 - Global Startup: D-Info Starter.lnk = C:\Programme\D\D-Info\dinfostarter.exe
O4 - Global Startup: HotSync Manager.lnk = C:\Palm\HOTSYNC.EXE
O4 - Global Startup: HPAiODevice(hp officejet d series) - 1.lnk = C:\Programme\Hewlett-Packard\AiO\hp officejet d series\Bin\hpoojd07.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: D-Info - {5baf1db0-1d34-11d6-bf3c-005056303009} - C:\Programme\D\D-Info\html\toolbarscript.html
O9 - Extra 'Tools' menuitem: D-Info - {5baf1db0-1d34-11d6-bf3c-005056303009} - C:\Programme\D\D-Info\html\toolbarscript.html
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - ****://by102fd.bay102.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - ****://h30043.****.hp.com/aio/de/check/qdiagh.cab?319
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: DATEV Druckservice (DatevPrintService) - Datev eG - C:\DATEV\SYSTEM\PSNTSERV.EXE
O23 - Service: ZESOFT - Unknown owner - C:\WINDOWS\zeta.exe (file missing) kenn ich nicht

hoerni26 24.11.2005 15:15
hallo,
also ich finde es ist noch nicht ganz sauber...

R3 - Default URLSearchHook is missing

der eintrag ist auf jeden fall nicht ok...
und ein paar andere sind mir sehr suspekt...
eventuell wäre es klug das ganze neuaufzusetzen..
aber wie immer noch ne meinung oder 2 einholen..

gruß

dartus 24.11.2005 16:19
Hallo cigar,

Start -> Ausführen -> services.msc -> OK -> Rechtsklick auf ZESOFT -> Eigenschaften -> "Starttyp" deaktiviert und "Dienststatus" beenden einstellen -> Übernehmen

Start -> Ausführen -> msconfig -> OK -> Systemstart -> Häckchen entfernen bei den Programmen, die nicht unbedingt gestartet werden müssen (u.a. auch der von Dir rotgekennzeichnete HP-Eintrag)

Fixe noch diesen Eintrag:
R3 - Default URLSearchHook is missing

Acrobat 5.0 <- Updaten (neuste Version 7.0)

dartus

cigar 24.11.2005 16:33
sooo wollte mich noch recht herzlich bei euch bedanken..habt mir sehr geholfen vorallem du @ dartus..besten dank und grüße


Alle Zeitangaben in WEZ +1. Es ist jetzt 20:26 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131