Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Frohe Weihnachten, schenkt mir wer nen guten Rat? :D (https://www.trojaner-board.de/24845-frohe-weihnachten-schenkt-mir-nen-guten-rat-d.html)

lutzifer 24.12.2005 14:05
Frohe Weihnachten, schenkt mir wer nen guten Rat? :D
 
also ich gebs ja zu habs in der letzten zeit etwas versäumt hier mich schau zu machen und auch meine sachen zu uppen. heute kam dann die strafe :D

hab im hintergrund von meinem desktop en schönes bildchen was mir sagt dass ich spyware drauf hab und es startet immer das schöne programm winhound

meine hjt logfile ist folgende (cw shredder findet nichts und spybot muss ich mal neu laden weil der alte nimmer geht)

wäre nett wenn mir jemand schnell helfen könnte, da ich auf den pc beruflich angewiesen bin


Zitat:
Logfile of HijackThis v1.99.1
Scan saved at 13:59:54, on 24.12.2005
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 (5.50.4134.0100)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\ADDSC.EXE
C:\WINDOWS\SYSTEM\CRTT.EXE
C:\WINDOWS\NETTO32.EXE
C:\WINDOWS\SYSTEM\SDKHM.EXE
C:\WINDOWS\CRHS32.EXE
C:\WINDOWS\SYSTEM\JAVATY.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRAMME\D-TOOLS\DAEMON.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE
C:\PROGRAMME\WINAMP\WINAMPA.EXE
C:\WINDOWS\TEMP\9275.TMP.EXE
C:\WINDOWS\TEMP\92C2.TMP.EXE
C:\PROGRAMME\MOUSOMETER\MOUSOMETER.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\ICQLITE\ICQLITE.EXE
C:\PROGRAMME\AVPERSONAL\AVWIN.EXE
C:\PROGRAMME\MOZILLA FIREFOX\FIREFOX.EXE
C:\WINDOWS\TEMP\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\dattp.dll/sp.html#53142%
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\dattp.dll/sp.html#53142%
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\dattp.dll/sp.html#53142%
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\dattp.dll/sp.html#53142%
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\dattp.dll/sp.html#53142%
R3 - Default URLSearchHook is missing
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRAMME\YAHOO!\COMPANION\INSTALLS\CPN\YCOMP5_5_7_0.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\PROGRAMME\FLASHFXP\IEFLASH.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: Class - {699A41D2-0B92-2FB0-822A-F6E0B1B821EE} - C:\WINDOWS\SYSTEM\ATLGW.DLL
O2 - BHO: Class - {47C0E57E-A0E5-F99C-0314-A2D878774348} - C:\WINDOWS\SYSTEM\IEDQ32.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRAMME\YAHOO!\COMPANION\INSTALLS\CPN\YCOMP5_5_7_0.DLL
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRAMME\ICQTOOLBAR\TOOLBAR.DLL
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [NETKY.EXE] C:\WINDOWS\SYSTEM\NETKY.EXE
O4 - HKLM\..\Run: [9275.TMP] C:\WINDOWS\TEMP\9275.TMP.exe
O4 - HKLM\..\Run: [92C2.TMP] C:\WINDOWS\TEMP\92C2.TMP.exe
O4 - HKLM\..\Run: [92C2.TMP.EXE] C:\WINDOWS\TEMP\92C2.TMP.EXE
O4 - HKLM\..\Run: [9275.TMP.EXE] C:\WINDOWS\TEMP\9275.TMP.EXE
O4 - HKLM\..\Run: [1090.TMP] C:\WINDOWS\TEMP\1090.TMP.exe
O4 - HKLM\..\Run: [1090.TMP.EXE] C:\WINDOWS\TEMP\1090.TMP.EXE
O4 - HKLM\..\RunServices: [ADDSC.EXE] C:\WINDOWS\SYSTEM\ADDSC.EXE /s
O4 - HKLM\..\RunServices: [CRTT.EXE] C:\WINDOWS\SYSTEM\CRTT.EXE /s
O4 - HKLM\..\RunServices: [NETTO32.EXE] C:\WINDOWS\NETTO32.EXE /s
O4 - HKLM\..\RunServices: [SDKHM.EXE] C:\WINDOWS\SYSTEM\SDKHM.EXE /s
O4 - HKLM\..\RunServices: [CRHS32.EXE] C:\WINDOWS\CRHS32.EXE /s
O4 - HKLM\..\RunServices: [JAVATY.EXE] C:\WINDOWS\SYSTEM\JAVATY.EXE /s
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\PROGRAMME\ICQLITE\ICQLITE.EXE -trayboot
O4 - Startup: Mousometer.lnk = C:\Programme\Mousometer\mousometer.exe
O4 - Startup: Xfire.lnk = C:\Programme\Xfire\Xfire.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\PROGRAMME\ICQTOOLBAR\TOOLBAR.DLL/SEARCH.HTML
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.168.0.1

dazu treten immer folgen fehler auf


JAVATY verursachte einen Fehler durch eine ungültige Seite
in Modul KERNEL32.DLL bei 019f:bff6bb07.
Register:
EAX=00000000 CS=019f EIP=bff6bb07 EFLGS=00000246
EBX=100426b8 SS=01a7 ESP=0063c5f4 EBP=0063c630
ECX=10084700 DS=01a7 ESI=100426b8 FS=1f7f
EDX=bffbb490 ES=01a7 EDI=00000000 GS=0000
Bytes bei CS:EIP:

CRTT verursachte einen Fehler durch eine ungültige Seite
in Modul KERNEL32.DLL bei 019f:bff6bb07.
Register:
EAX=00000000 CS=019f EIP=bff6bb07 EFLGS=00000246
EBX=100426b8 SS=01a7 ESP=0063c5f4 EBP=0063c630
ECX=10084700 DS=01a7 ESI=100426b8 FS=1e0f
EDX=bffbb490 ES=01a7 EDI=00000000 GS=0000
Bytes bei CS:EIP:
ff 76 04 e8 8a 87 ff ff 5e c2 04 00 56 8b 74 24
Stapelwerte:
10084700 1001c229 100426b8 00000000 00763168 10000000 1001caf3 00000000 1001cb88 10000000 00000000 00000000 00000000 10000000 819647d8 0063c7f8

ADDSC verursachte einen Fehler durch eine ungültige Seite
in Modul KERNEL32.DLL bei 019f:bff6bb07.
Register:
EAX=00000000 CS=019f EIP=bff6bb07 EFLGS=00000246
EBX=100426b8 SS=01a7 ESP=0063ca34 EBP=0063ca70
ECX=10084700 DS=01a7 ESI=100426b8 FS=1d9f
EDX=bffbb490 ES=01a7 EDI=00000000 GS=0000
Bytes bei CS:EIP:
ff 76 04 e8 8a 87 ff ff 5e c2 04 00 56 8b 74 24
Stapelwerte:
10084700 1001c229 100426b8 00000000 00763438 10000000 1001caf3 00000000 1001cb88 10000000 00000000 00000000 00000000 10000000 81963fbc 0063cc38


SDKHM verursachte einen Fehler durch eine ungültige Seite
in Modul KERNEL32.DLL bei 019f:bff6bb07.
Register:
EAX=00000000 CS=019f EIP=bff6bb07 EFLGS=00000246
EBX=100426b8 SS=01a7 ESP=0063ca34 EBP=0063ca70
ECX=10084700 DS=01a7 ESI=100426b8 FS=1eaf
EDX=bffbb490 ES=01a7 EDI=00000000 GS=0000
Bytes bei CS:EIP:
ff 76 04 e8 8a 87 ff ff 5e c2 04 00 56 8b 74 24
Stapelwerte:
10084700 1001c229 100426b8 00000000 007630d8 10000000 1001caf3 00000000 1001cb88 10000000 00000000 00000000 00000000 10000000 819659c0 0063cc38


mfg lutz

Lutz 24.12.2005 14:56
Hallo lutzifer,

schnelle Hilfe habe ich nicht, da das Log (trotz Weihnachten) nichts gutes hoffen lässt.

Mach bitte mal einen Scan mit eScan (bitte genau an die Anleitung halten) und poste anschließend hier die Funde.

lutzifer 24.12.2005 15:13
hab ich mir schon gedacht herr namesvetter ;)

hab jetz schon kurz nach anfang 82 viren gefunden mit escan -.- vll is es einfacher alles wichtige zu ichern und pc zu formatieren, dann von vornherein schutzmaßnahmen treffen ;)

gruß lutz

Lutz 24.12.2005 15:42
Vermutlich die einzig sinnvolle Aktion!
Alles andere wäre in meinen Augen nur Flickschusterei und ob das System danach 'sauber' wäre, ist noch eine ganz andere Frage.

Bei der Datensicherung solltest Du das Folgende beachten: http://www.trojaner-board.de/showpos...8&postcount=11

DerNamensvetter ;)


Alle Zeitangaben in WEZ +1. Es ist jetzt 10:06 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19