Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   HijackT File ... Popup prozess -- need help (https://www.trojaner-board.de/24924-hijackt-file-popup-prozess-need-help.html)

Mirko2410 26.12.2005 20:51
HijackT File ... Popup prozess -- need help
 
Hallo Zusammen,

ich hatte echte Spam Probleme über die Feiertage - bezüglich der Spamfiles habe die Sache wohl langsam im Griff, jedenfalls findet weder Addaware noch Spybot noch a-squared irgendwelche Probleme -- ABER:

Ständig werden meine Browser auf irgendwelche WErbesites weitergeleitet was echt super nervt -.... und ich finde nicht den übeltäter der das verursacht ... nun hier also mein verzweifelter Hilferuf .... Erkennt ihr was was mir weiter helfen wird ?!?!? Hier meine File :

C:\WINDOWS\system32\rundll32.exe
C:\Programme\Intel\Wireless\Bin\ZcfgSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\hkcmd.exe
C:\Programme\Dell\QuickSet\quickset.exe
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\fppdis1.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe
C:\Programme\Digital Line Detect\DLG.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\tosOBEX.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\tosBtProc.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\mi***n.p******t\Desktop\HijackThis.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Dell QuickSet] C:\Programme\Dell\QuickSet\quickset.exe
O4 - HKLM\..\Run: [IntelWireless] C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [pdfFactory Pro Dispatcher v1] C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\fppdis1.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [winsync] C:\WINDOWS\system32\waoirw.exe reg_run
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Bluetooth Manager.lnk = ?
O4 - Global Startup: Digital Line Detect.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {853B7AC5-1DC9-484C-972B-479E790D4A4D} (CVxChatControl Object) - h**p://www.visit-x.com/downloads/applet/853B7AC5-1DC9-484c-972B-479E790D4A4D/8,0,0,8/cP-Client-80-light.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = p******t.local
O17 - HKLM\Software\..\Telephony: DomainName = p******t.local
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = p******t.local
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: IntelWireless - C:\Programme\Intel\Wireless\Bin\LgNotify.dll
O20 - Winlogon Notify: msctl32.dll - C:\WINDOWS\system32\msctl32.dll
O20 - Winlogon Notify: Setup - C:\WINDOWS\system32\dnn8015ue.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Broadcom ASF IP monitoring service v6.0.4 (BAsfIpM) - Broadcom Corp. - C:\WINDOWS\system32\basfipm.exe
O23 - Service: EvtEng - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Programme\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
O23 - Service: OpenVPN Service (OpenVPNService) - Unknown owner - C:\Programme\OpenVPN\bin\openvpnserv.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Windows User Mode Driver Framework (UMWdf) - Unknown owner - C:\WINDOWS\system32\wdfmgr.exe (file missing)
O23 - Service: WLANKEEPER - Intel® Corporation - C:\Programme\Intel\Wireless\Bin\WLKeeper.exe


-------

und - jetzt sagt bitte was ?!??!

Gruss Mirko

Weißnicht 26.12.2005 22:07
Hallo lasse mal die Datei msctl32.dll bei http://virusscan.jotti.org/de/ überprüfen findest die unter WINDOWS\system32\msctl32.dll und 16 - DPF: {853B7AC5-1DC9-484C-972B-479E790D4A4D} (CVxChatControl Object) - h**p://www.visit-x.com/downloads/applet/853B7AC5-1DC9-484c-972B-479E790D4A4D/8,0 ,0,8/cP-Client-80-light.cab kannst du auch mal überprüfen lassen.

Mirko2410 26.12.2005 23:00
Auslastung:
0% 100%
Datei: msctl32.dll
Status:
INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme:
-

AntiVir
Keine Viren gefunden
ArcaVir
Trojan.Proxy.Small.Mg gefunden
Avast
Keine Viren gefunden
AVG Antivirus
Keine Viren gefunden
BitDefender
Keine Viren gefunden
ClamAV
Keine Viren gefunden
Dr.Web
Keine Viren gefunden
F-Prot Antivirus
Keine Viren gefunden
Fortinet
Keine Viren gefunden
Kaspersky Anti-Virus
Keine Viren gefunden
NOD32
Keine Viren gefunden
Norman Virus Control
Keine Viren gefunden
UNA
Keine Viren gefunden
VBA32
Malware.Delf.38 (paranoid heuristics) gefunden (mögliche Variante)

--------------------------------------------------------------

die cP-Client-80-light.cab finde ich nirgends auf meinem Rechner.

---------------------------------------------------------------

Wie werde ich den Mist Malware.Delf.38 bzw. Trojan.Proxy.Small.Mg aus der msctl32.dll los.

Ist die somit für die Popupperei verantwortlich ?

cosinus 26.12.2005 23:05
Der Kopf des HJT-Log fehlt!

Zitat:
C:\WINDOWS\system32\waoirw.exe
C:\WINDOWS\system32\dnn8015ue.dll
Bitte diese Dateien auch mal bei Jotti prüfen lassen.

Zitat:
23 - Service: Windows User Mode Driver Framework (UMWdf) -

Unknown owner - C:\WINDOWS\system32\wdfmgr.exe (file missing)
Scheint unnötig zu sein.

Mirko2410 26.12.2005 23:20
Dienst
Auslastung:
0% 100%
Datei: WAOIRW.EXE
Status:
INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme:
-

AntiVir
Trojan/Dldr.Qoologic.AT.2 gefunden
ArcaVir
Trojan.Downloader.Qoologic.At gefunden
Avast
Win32:Qoologic-AA gefunden
AVG Antivirus
Downloader.Generic.JVE gefunden
BitDefender
Trojan.Downloader.Qoologic.AT gefunden
ClamAV
Keine Viren gefunden
Dr.Web
Trojan.DownLoader.5451 gefunden
F-Prot Antivirus
W32/Sdbot.CGU gefunden
Fortinet
W32/NewThreat!Morphine gefunden
Kaspersky Anti-Virus
Trojan-Downloader.Win32.Qoologic.at gefunden
NOD32
a variant of Win32/TrojanDownloader.Qoologic gefunden
Norman Virus Control
W32/Qoologic.FI gefunden
UNA
TrojanDownloader.Win32.Qoologic gefunden
VBA32
Trojan-Downloader.Win32.Qoologic.at gefunden




---------------------------

Beim Check von dnn8015ue.dll kommt:

The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file

----------------------------

Die Zeile :

O23 - Service: Windows User Mode Driver Framework (UMWdf) - Unknown owner - C:\WINDOWS\system32\wdfmgr.exe (file missing)

kann ich im Hijack zwar versuchen zu fixen, nach einem neuen Scann ist sie aber wieder da ?!?!

--------------------------------

mann mann mann


und nu ?

Weißnicht 26.12.2005 23:26
Um die Datei los zu werden musst du unter C:\WINDOWS\system32\ gehen die Datei msctl32.dll suchen und dann löschen. Oder einfach hijackthis starten scannen lassen und dann den Eintrag fixen.Wegen der cP-Client-80-light.cab Datei musst mal in der Registry nachschauen. Zur Registry gelangst du inden du unter Start->Ausführen->regedit eingibst.Dann dir Datei suchen lassen und Exportieren.

cosinus 26.12.2005 23:31
Schau mal hier. Da hat sich auch einer den Qoologic installiert.
Da der Qoologic aller Wahrscheinlichkeit nach Passwörter ausspäht, wäre es sicherer, den Rechner neu aufzusetzen, abzusichern und alle Passwörter zu ändern.


Alle Zeitangaben in WEZ +1. Es ist jetzt 16:26 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131