Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   search extender.exe und dezugehörige Log-File (https://www.trojaner-board.de/24726-search-extender-exe-dezugehoerige-log-file.html)

Datix 20.12.2005 14:04
search extender.exe und dezugehörige Log-File
 
Hallo Zusammen,

Bei mir hat sich ein Programm mit dem Namen Search Extender.exe eingeschleust.
Dadurch öffnet sich ein Laufbalken mit einer Viruswarnung am oberen Bildschirmrand.
AntiVir hatte zwar Trojaner-Warnungen ausgegeben, findet aber nichts beim Laufwerkscan.
Kann sich jemand mal meine HJT Log-File anschauen?
Vielen Dank schon mal im Vorraus...



Logfile of HijackThis v1.99.1
Scan saved at 13:56:13, on 20.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\ievn.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
C:\WINDOWS\system32\nvsvc32.exe
c:\programme\pinnacle\shared files\programs\mediaserver\pmshost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\T-COM\T-COM WLAN Manager T-Sinus 154data\Installer\WINXP\DTUSB11GMonitor.exe
C:\Dokumente und Einstellungen\Dee Saina\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://lookfor.cc/sp.php?pin=53142
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://lookfor.cc/sp.php?pin=53142
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://lookfor.cc?pin=53142
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://lookfor.cc?pin=53142
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://lookfor.cc/sp.php?pin=53142
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://lookfor.cc/sp.php?pin=53142
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://lookfor.cc/sp.php?pin=53142
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://lookfor.cc?pin=53142
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: Class - {49E8BB2A-0FF2-3E7A-A18F-74A47B88325B} - C:\WINDOWS\ipbv.dll
O2 - BHO: Class - {6BCEEAE9-8B76-D07C-3ADB-2D9E7207B627} - C:\WINDOWS\system32\atlyy.dll
O2 - BHO: Class - {A8F2321D-CD1A-6308-ECF1-C5B55DAA6D84} - C:\WINDOWS\apisf32.dll
O2 - BHO: Class - {BD839379-E5C4-B5AF-B29D-B853802A830D} - C:\WINDOWS\syscs.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [mfcok.exe] C:\WINDOWS\system32\mfcok.exe
O4 - HKLM\..\Run: [2B.tmp] C:\DOKUME~1\DEESAI~1\LOKALE~1\Temp\2B.tmp.exe
O4 - HKLM\..\Run: [2C.tmp] C:\DOKUME~1\DEESAI~1\LOKALE~1\Temp\2C.tmp.exe
O4 - HKLM\..\Run: [33.tmp] C:\DOKUME~1\DEESAI~1\LOKALE~1\Temp\33.tmp.exe
O4 - HKLM\..\Run: [37.tmp] C:\DOKUME~1\DEESAI~1\LOKALE~1\Temp\37.tmp.exe
O4 - HKLM\..\Run: [3E.tmp] C:\DOKUME~1\DEESAI~1\LOKALE~1\Temp\3E.tmp.exe
O4 - HKLM\..\Run: [2B.tmp.exe] C:\DOKUME~1\DEESAI~1\LOKALE~1\Temp\2B.tmp.exe
O4 - HKLM\..\Run: [2C.tmp.exe] C:\DOKUME~1\DEESAI~1\LOKALE~1\Temp\2C.tmp.exe
O4 - HKLM\..\Run: [33.tmp.exe] C:\DOKUME~1\DEESAI~1\LOKALE~1\Temp\33.tmp.exe
O4 - HKLM\..\Run: [37.tmp.exe] C:\DOKUME~1\DEESAI~1\LOKALE~1\Temp\37.tmp.exe
O4 - HKLM\..\Run: [3E.tmp.exe] C:\DOKUME~1\DEESAI~1\LOKALE~1\Temp\3E.tmp.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: T-COM WLAN Manager T-Sinus 154data.lnk = C:\Programme\T-COM\T-COM WLAN Manager T-Sinus 154data\Installer\WINXP\DTUSB11GMonitor.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Network Security Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\ievn.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Pinnacle Systems tvtv Spooler (EpgSpooler) - - c:\progra~1\pinnacle\mediac~1\epgspo~2.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - c:\programme\pinnacle\shared files\programs\mediaserver\pmshost.exe
O23 - Service: Software Jukebox v2.0 Service - Unknown owner - C:\Programme\Gemeinsame Dateien\MSJB DE01FSC Shared\Service\Software Jukebox v2.0 Service File.exe

stupormundi 20.12.2005 14:16
Servus!
Hol Dir clearprog 1.4.1 final und CWS Shredder und wechsle in den abgesicherten Modus!
Lass zuerst den Cws Shredder laufen!
Fixe anschließend folgende Einträge mit HJT
Zitat:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://lookfor.cc/sp.php?pin=53142
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://lookfor.cc/sp.php?pin=53142
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://lookfor.cc?pin=53142
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://lookfor.cc?pin=53142
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://lookfor.cc/sp.php?pin=53142
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://lookfor.cc/sp.php?pin=53142
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://lookfor.cc/sp.php?pin=53142
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://lookfor.cc?pin=53142
R3 - Default URLSearchHook is missing
...
O2 - BHO: Class - {49E8BB2A-0FF2-3E7A-A18F-74A47B88325B} - C:\WINDOWS\ipbv.dll
O2 - BHO: Class - {6BCEEAE9-8B76-D07C-3ADB-2D9E7207B627} - C:\WINDOWS\system32\atlyy.dll
O2 - BHO: Class - {A8F2321D-CD1A-6308-ECF1-C5B55DAA6D84} - C:\WINDOWS\apisf32.dll
O2 - BHO: Class - {BD839379-E5C4-B5AF-B29D-B853802A830D} - C:\WINDOWS\syscs.dll
...
O4 - HKLM\..\Run: [mfcok.exe] C:\WINDOWS\system32\mfcok.exe
O4 - HKLM\..\Run: [2B.tmp] C:\DOKUME~1\DEESAI~1\LOKALE~1\Temp\2B.tmp.exe
O4 - HKLM\..\Run: [2C.tmp] C:\DOKUME~1\DEESAI~1\LOKALE~1\Temp\2C.tmp.exe
O4 - HKLM\..\Run: [33.tmp] C:\DOKUME~1\DEESAI~1\LOKALE~1\Temp\33.tmp.exe
O4 - HKLM\..\Run: [37.tmp] C:\DOKUME~1\DEESAI~1\LOKALE~1\Temp\37.tmp.exe
O4 - HKLM\..\Run: [3E.tmp] C:\DOKUME~1\DEESAI~1\LOKALE~1\Temp\3E.tmp.exe
O4 - HKLM\..\Run: [2B.tmp.exe] C:\DOKUME~1\DEESAI~1\LOKALE~1\Temp\2B.tmp.exe
O4 - HKLM\..\Run: [2C.tmp.exe] C:\DOKUME~1\DEESAI~1\LOKALE~1\Temp\2C.tmp.exe
O4 - HKLM\..\Run: [33.tmp.exe] C:\DOKUME~1\DEESAI~1\LOKALE~1\Temp\33.tmp.exe
O4 - HKLM\..\Run: [37.tmp.exe] C:\DOKUME~1\DEESAI~1\LOKALE~1\Temp\37.tmp.exe
O4 - HKLM\..\Run: [3E.tmp.exe] C:\DOKUME~1\DEESAI~1\LOKALE~1\Temp\3E.tmp.exe
Die Namen der *.dll Dateien werden beim neuerlichen Scan im abgesicherten Modus wahrscheinlich andere sein, aber Du erkennst sie an diesen Stellen!
Anschließend lösche ebenfalls noch im abgesicherten Modus die dazugehörenden Dateien!
Zitat:
C:\WINDOWS\ievn.exe
...
C:\WINDOWS\ipbv.dll
C:\WINDOWS\system32\atlyy.dll
C:\WINDOWS\apisf32.dll
C:\WINDOWS\syscs.dll
...
C:\WINDOWS\system32\mfcok.exe
Anschließend noch clearprog starten und mit der Funktion 'clear all' links unten den ganzen Ballast und die Temporärdaten löschen!
Anschließend neu booten und neues HJT Log im 'Normalmodus' erstellen und hier samt Ergebnisbericht posten!
stupormundi

Datix 20.12.2005 15:26
So, da bin ich wieder, und mit einer neuen Log-File im Gepäck.
Hoffe, ich habe die Schritte richtig ausgeführt.
Nachdem Fixen mit HJT habe ich keine dll.- Dateien mehr gefunden, ievn.exe und mfcok.exe, hab ich aber gelöscht.

Das Ergebniss:

Logfile of HijackThis v1.99.1
Scan saved at 15:22:09, on 20.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
C:\WINDOWS\system32\nvsvc32.exe
c:\programme\pinnacle\shared files\programs\mediaserver\pmshost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Java\jre1.5.0\bin\jusched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\Java\jre1.5.0\bin\jucheck.exe
C:\Programme\Pinnacle\Shared Files\Programs\MediaCenterService\PMC.Service.Main.exe
C:\Programme\Pinnacle\Shared Files\Programs\Remote\Remoterm.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\Nikon\NkView5\NkvMon.exe
C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\Programme\T-COM\T-COM WLAN Manager T-Sinus 154data\Installer\WINXP\DTUSB11GMonitor.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Dee Saina\Desktop\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PMCS] C:\Programme\Pinnacle\Shared Files\Programs\MediaCenterService\PMC.Service.Main.exe -host -clearDebug
O4 - HKLM\..\Run: [PMCRemote] C:\Programme\Pinnacle\Shared Files\Programs\Remote\Remoterm.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: NkvMon.exe.lnk = C:\Programme\Nikon\NkView5\NkvMon.exe
O4 - Global Startup: Service Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O4 - Global Startup: T-COM WLAN Manager T-Sinus 154data.lnk = C:\Programme\T-COM\T-COM WLAN Manager T-Sinus 154data\Installer\WINXP\DTUSB11GMonitor.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Network Security Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\ievn.exe (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Pinnacle Systems tvtv Spooler (EpgSpooler) - - c:\progra~1\pinnacle\mediac~1\epgspo~2.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - c:\programme\pinnacle\shared files\programs\mediaserver\pmshost.exe
O23 - Service: Software Jukebox v2.0 Service - Unknown owner - C:\Programme\Gemeinsame Dateien\MSJB DE01FSC Shared\Service\Software Jukebox v2.0 Service File.exe

stupormundi 20.12.2005 15:42
Servus wieder!
Nun, im Log kann ich nun nichts mehr entdecken!
Wie sieht es aus - noch Probleme?
Findet AntiVir noch was?
stupormundi

Datix 20.12.2005 15:50
Bisher keine Probleme mehr aufgetreten!
Scheint dann ja Alles wieder in Ordnung zu sein.
Vielen Dank für den Support, SUPER!!


Alle Zeitangaben in WEZ +1. Es ist jetzt 16:00 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131