Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Trojaner Problem, hier meine logfile (https://www.trojaner-board.de/25837-trojaner-problem-logfile.html)

Schmied 14.01.2006 18:10
Trojaner Problem, hier meine logfile
 
Hi,
ich hab ein problem mit einem trojaner, der einfach net weg will....
Ich hab schon antivir, spyhunter, cwshredder und adaware se probiert, aber es hilft einfahc nichtgs. Beim startet des internet explorers kommt immer die meldung von antivir, dass der trojaner TR/StartPage.qr.DLL gefunden wird, aber löschen sit sinnlos, da er immer wieder kommt.

Bitt Helft mit. Danke


Logfile of HijackThis v1.99.1
Scan saved at 17:51:23, on 14.01.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Programme\Spyware Doctor\sdhelp.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\sistray.EXE
C:\WINNT\System32\keyhook.exe
C:\WINNT\system32\RunDll32.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\ScanSoft\OmniPageSE\opware32.exe
C:\WINNT\system32\internat.exe
C:\Programme\Spyware Doctor\swdoctor.exe
C:\WINNT\system32\wuauclt.exe
C:\Programme\Enigma Software Group\SpyHunter\SpyHunter.exe
C:\Programme\AVPersonal\INETUPD.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\WinRAR\WinRAR.exe
I:\CWShredder.exe
C:\DOKUME~1\INTERN~1\LOKALE~1\Temp\Rar$EX01.312\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\INTERN~1\LOKALE~1\Temp\se.dll/space.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\INTERN~1\LOKALE~1\Temp\se.dll/space.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O2 - BHO: (no name) - {F89C89B5-C961-4E74-AF49-AC8C89B01FBE} - C:\WINNT\system32\fhfj.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SiS Tray] C:\WINNT\System32\sistray.EXE
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINNT\System32\keyhook.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [SpyHunter] C:\Programme\Enigma Software Group\SpyHunter\SpyHunter.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1129304812250
O18 - Filter: text/html - {FB55F32C-CD07-4E4D-9C1F-850C11D92C0C} - C:\WINNT\system32\fhfj.dll
O18 - Filter: text/plain - {FB55F32C-CD07-4E4D-9C1F-850C11D92C0C} - C:\WINNT\system32\fhfj.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Programme\Spyware Doctor\sdhelp.exe

dartus 15.01.2006 02:25
Hallo Schmied,

das sollte helfen:
http://www.trojaner-board.de/showthread.php?t=22159

dartus

Schmied 15.01.2006 13:29
Danke für deine Hilfe.
Ich hab das Programm ausgeführt, es hat auch was gefunden, neugestartet und dann ne logfile erstellt, aber jetzt tut mein internet explorer nicht mehr.

Habe ich immernoch dem trojaner oder wurden einfach irgendwelche wichtige Systemdateien gelöscht? (weiter unten ist noch eine neue HJT-logfile)
Das Programm hat diese Logfile erstellt:

(15.1.06 12:46:27) SPSeHjFix started v1.1.2
(15.1.06 12:46:27) OS: Win2000 Service Pack 4 (5.0.2195)
(15.1.06 12:46:27) Language: deutsch
(15.1.06 12:46:27) Win-Path: C:\WINNT
(15.1.06 12:46:27) System-Path: C:\WINNT\system32
(15.1.06 12:46:27) Temp-Path: C:\DOKUME~1\INTERN~1\LOKALE~1\Temp\
(15.1.06 12:46:34) Disinfection started
(15.1.06 12:46:34) Bad-Dll(IEP): c:\dokume~1\intern~1\lokale~1\temp\se.dll
(15.1.06 12:46:34) Searchassistant Uninstaller found: regsvr32 /s /u C:\WINNT\system32\fhfj.dll
(15.1.06 12:46:34) Searchassistant Uninstaller - Keys Deleted
(15.1.06 12:46:34) UBF: 7 - UBB: 3 - UBR: 9
(15.1.06 12:46:34) FilterKey: HKCR\text/html (deleted)
(15.1.06 12:46:34) FilterKey: HKCR\CLSID\{CA039F48-7270-4B75-B478-B8F2A6C864B8} (deleted)
(15.1.06 12:46:34) FilterKey: HKLM\SOFTWARE\Classes\text/html (error while deleting)
(15.1.06 12:46:34) FilterKey: HKCR\text/plain (deleted)
(15.1.06 12:46:34) FilterKey: HKCR\CLSID\{CA039F48-7270-4B75-B478-B8F2A6C864B8} (error while deleting)
(15.1.06 12:46:34) FilterKey: HKLM\SOFTWARE\Classes\text/plain (error while deleting)
(15.1.06 12:46:34) BHO-Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A8A5100A-9874-4E30-96E9-BE7D6D9CAE3F} (deleted)
(15.1.06 12:46:34) BHO-Key: HKCR\CLSID\{A8A5100A-9874-4E30-96E9-BE7D6D9CAE3F} (deleted)
(15.1.06 12:46:34) Run-Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\sp=rundll32 C:\DOKUME~1\INTERN~1\LOKALE~1\Temp\se.dll,DllInstall (deleted)
(15.1.06 12:46:34) UBF: 5 - UBB: 2 - UBR: 8
(15.1.06 12:46:34) Bad IE-pages:
deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Search Bar: res://c:\dokume~1\intern~1\lokale~1\temp\se.dll/space.html
deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Search Page: about:blank
deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Start Page: about:blank
deleted: HKCU\Software\Microsoft\Internet Explorer\Main, HomeOldSP: about:blank
deleted: HKCU\Software\Microsoft\Internet Explorer\Search, SearchAssistant: about:blank
deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Search Bar: res://c:\dokume~1\intern~1\lokale~1\temp\se.dll/space.html
deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Search Page: about:blank
deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Start Page: about:blank
deleted: HKLM\Software\Microsoft\Internet Explorer\Main, HomeOldSP: about:blank
deleted: HKLM\Software\Microsoft\Internet Explorer\Search, SearchAssistant: about:blank
(15.1.06 12:46:34) Stealth-String not found
(15.1.06 12:46:34) File added to delete: c:\winnt\system32\fhfj.dll
(15.1.06 12:46:34) File added to delete: c:\dokume~1\intern~1\lokale~1\temp\se.dll
(15.1.06 12:46:34) Reboot


(15.1.06 12:47:52) SPSeHjFix started v1.1.2
(15.1.06 12:47:52) OS: Win2000 Service Pack 4 (5.0.2195)
(15.1.06 12:47:52) Language: deutsch
(15.1.06 12:47:52) Win-Path: C:\WINNT
(15.1.06 12:47:52) System-Path: C:\WINNT\system32
(15.1.06 12:47:52) Temp-Path: C:\DOKUME~1\INTERN~1\LOKALE~1\Temp\


(15.1.06 12:50:11) SPSeHjFix started v1.1.2
(15.1.06 12:50:11) OS: Win2000 Service Pack 4 (5.0.2195)
(15.1.06 12:50:11) Language: deutsch
(15.1.06 12:50:11) Win-Path: C:\WINNT
(15.1.06 12:50:11) System-Path: C:\WINNT\system32
(15.1.06 12:50:11) Temp-Path: C:\DOKUME~1\INTERN~1\LOKALE~1\Temp\
(15.1.06 12:50:12) Disinfection started
(15.1.06 12:50:12) Bad-Dll(IEP): (not found)
(15.1.06 12:50:12) Bad-Dll(IEP) in BHO: (not found)
(15.1.06 12:50:12) UBF: 5 - UBB: 2 - UBR: 9
(15.1.06 12:50:12) UBF: 5 - UBB: 2 - UBR: 9
(15.1.06 12:50:12) Run-Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\sp=rundll32 C:\DOKUME~1\INTERN~1\LOKALE~1\Temp\se.dll,DllInstall (deleted)
(15.1.06 12:50:12) Bad IE-pages: (none)
(15.1.06 12:50:12) Stealth-String not found
(15.1.06 12:50:12) File added to delete: c:\dokume~1\intern~1\lokale~1\temp\se.dll
(15.1.06 12:50:12) Reboot


(15.1.06 12:51:29) SPSeHjFix started v1.1.2
(15.1.06 12:51:29) OS: Win2000 Service Pack 4 (5.0.2195)
(15.1.06 12:51:29) Language: deutsch
(15.1.06 12:51:29) Win-Path: C:\WINNT
(15.1.06 12:51:29) System-Path: C:\WINNT\system32
(15.1.06 12:51:29) Temp-Path: C:\DOKUME~1\INTERN~1\LOKALE~1\Temp\
(15.1.06 12:51:38) Disinfection started
(15.1.06 12:51:38) Bad-Dll(IEP): (not found)
(15.1.06 12:51:38) Bad-Dll(IEP) in BHO: (not found)
(15.1.06 12:51:38) UBF: 5 - UBB: 2 - UBR: 8
(15.1.06 12:51:38) UBF: 5 - UBB: 2 - UBR: 8
(15.1.06 12:51:38) Bad IE-pages: (none)
(15.1.06 12:51:38) Stealth-String not found
(15.1.06 12:51:38) Not infected->END



Ich hab dann nochmal HijackThis drüber laufen lassen:

Logfile of HijackThis v1.99.1
Scan saved at 13:22:57, on 15.01.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Programme\Spyware Doctor\sdhelp.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\sistray.EXE
C:\WINNT\System32\keyhook.exe
C:\WINNT\system32\RunDll32.exe
C:\Programme\ScanSoft\OmniPageSE\opware32.exe
C:\WINNT\system32\internat.exe
C:\Programme\Spyware Doctor\swdoctor.exe
C:\WINNT\system32\wuauclt.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\INTERN~1\LOKALE~1\Temp\Rar$EX01.984\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SiS Tray] C:\WINNT\System32\sistray.EXE
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINNT\System32\keyhook.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [SpyHunter] C:\Programme\Enigma Software Group\SpyHunter\SpyHunter.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1129304812250
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Programme\Spyware Doctor\sdhelp.exe


Alle Zeitangaben in WEZ +1. Es ist jetzt 08:13 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19