Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Links zu Google irgendwas stimmt nicht (https://www.trojaner-board.de/27451-links-google-irgendwas-stimmt.html)

Schubi15 10.03.2006 10:54
Links zu Google irgendwas stimmt nicht
 
Hallo zusammen,

habe immer wieder wenn ich auf Links klicke das Google aufmacht und nach irgendwelchen Kommerzseiten sucht. Oder es gehen gleich Kommerzseiten auf.
Kenn mich nicht so gut aus aber irgendwas ist faul !

Kann sich mal jemand mein Logfile anschauen ?

Gruß Schubi15

[Logfile of HijackThis v1.99.0
Scan saved at 10:48:33, on 10.03.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Launch Manager\HotkeyApp.exe
C:\Programme\Launch Manager\LaunchAp.exe
C:\WINDOWS\system32\PRISMSTA.EXE
C:\WINDOWS\System32\alg.exe
C:\Programme\Launch Manager\WButton.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\1&1\1&1 EasyLogin\EasyLogin.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Outlook Express\msimn.exe
C:\PROGRA~1\ULTIMA~1\uzip.exe
C:\DOKUME~1\TOM\LOKALE~1\TEMP\UZ_7044\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.1und1.de/
O4 - HKLM\..\Run: [CtrlVol] C:\Programme\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Programme\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Programme\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKLM\..\Run: [Wbutton] C:\Programme\Launch Manager\WButton.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [1&1 EasyLogin] "C:\Programme\1&1\1&1 EasyLogin\EasyLogin.exe" HIDE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{6D6DFE86-3673-4F80-9918-F19C858A084C}: NameServer = 85.255.114.69,85.255.112.167
O17 - HKLM\System\CCS\Services\Tcpip\..\{A1454EF0-BC87-4E85-8644-D2BE859E7BBB}: NameServer = 85.255.114.69,85.255.112.167
O17 - HKLM\System\CCS\Services\Tcpip\..\{E6DEF18C-D85F-4AA2-A9EF-9681B8BE6189}: NameServer = 85.255.114.69,85.255.112.167
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: InCD File System Service - AHEAD Software - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

]

felix1 10.03.2006 11:29
Besorge Dir bitte mal die aktuelle Version von HJT und poste ein neues Log:
http://www.trojaner-board.de/showthread.php?t=17493

Du kannst auch die Boardsuche benutzen. Das Suchwort wäre für Dich "Ukraine"

Schubi15 10.03.2006 13:36
Hallo Felix1,

hab ich nun gemacht.
Hier das Logfile:

[
Logfile of HijackThis v1.99.1
Scan saved at 13:29:21, on 10.03.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Launch Manager\HotkeyApp.exe
C:\Programme\Launch Manager\LaunchAp.exe
C:\WINDOWS\system32\PRISMSTA.EXE
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\Launch Manager\WButton.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\1&1\1&1 EasyLogin\EasyLogin.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\ULTIMA~1\uzip.exe
C:\DOKUME~1\TOM\LOKALE~1\TEMP\UZ_2248\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.1und1.de/
O4 - HKLM\..\Run: [CtrlVol] C:\Programme\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Programme\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Programme\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKLM\..\Run: [Wbutton] C:\Programme\Launch Manager\WButton.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [1&1 EasyLogin] "C:\Programme\1&1\1&1 EasyLogin\EasyLogin.exe" HIDE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{6D6DFE86-3673-4F80-9918-F19C858A084C}: NameServer = 85.255.114.69,85.255.112.167
O17 - HKLM\System\CCS\Services\Tcpip\..\{A1454EF0-BC87-4E85-8644-D2BE859E7BBB}: NameServer = 85.255.114.69,85.255.112.167
O17 - HKLM\System\CCS\Services\Tcpip\..\{E6DEF18C-D85F-4AA2-A9EF-9681B8BE6189}: NameServer = 85.255.114.69,85.255.112.167
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: InCD File System Service (InCDsrv) - AHEAD Software - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

]
Gruß Schubi15

felix1 10.03.2006 13:50
Im Log kann ich ausser der Umleitung in die Ukraine nichts schlechtes finden, was aber noch nichts heissen soll.

Lasse den PC mal hier online scannen und teile das Ergebnis mit.
Weiterhin prüfe den PC noch mit diesem Tool und teile das Ergebnis mit.

Schubi15 10.03.2006 15:11
So jetzt hab ichs,

Friday, March 10, 2006 14:47:18
Betriebssystem: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Version von Kaspersky On-line Scanner: 5.0.68.0
Letztes Update der Antiviren-Datenbanken: 10/03/2006
Anzahl der Einträge in den Antiviren-Datenbanken: 170239


Scan-Einstellungen
Folgende Antiviren-Datenbanken zur Untersuchung verwenden Standard
Archive untersuchen korrekt
Mail-Datenbanken untersuchen korrekt

Untersuchungsobjekt Wichtige Objekte
C:\WINDOWS
C:\DOKUME~1\Tom\LOKALE~1\Temp\

Untersuchungsergebnisse
Untersuchte Objekte insgesamt 24290
Die Untersuchung wurde vom Benutzer abgebrochen! 4
Infizierte Objekte gefunden 4
Verdächtige Objekte gefunden 0
Untersuchungszeit 1747 sec

Name des infizierten Objekts Virusname Last Action
C:\WINDOWS\$NtServicePackUninstall$\wininet.dll Infizierte Objekte: Virus.Win32.Nsag.a skipped

C:\WINDOWS\system32\favset.exe Infizierte Objekte: Trojan-Clicker.Win32.Small.kg skipped

C:\WINDOWS\system32\howiper.exe Infizierte Objekte: Trojan.Win32.Small.hl skipped

C:\WINDOWS\system32\LogFiles\UT5172000.so Infizierte Objekte: Trojan-Downloader.Win32.Agent.ns skipped

Die Untersuchung wurde abgeschlossen.

und beim 2ten hat er 7 items gefunden.Sonnte aber keinen Report erstellen oder den Text kopieren:heulen: .

Wie kann ich jetzt weiter machen.

Gruß Schubi15

felix1 10.03.2006 15:19
Warum hast Du abgebrochen? Lasse den Scan durchlaufen und wo ist das Ergebnis von blacklight?
http://http--www.cosgan.de/images/smilie/frech/m035.gif

Schubi15 10.03.2006 15:24
Eigentlich habe ich den Scan nicht abgebrochen. Versuchs aber gleich nochmal !

Wie kann man bei Blacklight nen Report erstellen ?

So nun geb ich Gas

Gruß Schubi15

felix1 10.03.2006 15:31
In dem Verzeichnis, wo Blacklight ausgeführt wird, legt das Programm eine Datei ab.

Schubi15 10.03.2006 15:42
So Blacklight hab ich schon mal der andere läuft noch.

Gruß Schubi15

03/10/06 15:03:53 [Info]: BlackLight Engine 1.0.33 initialized
03/10/06 15:03:53 [Info]: OS: 5.1 build 2600 (Service Pack 2)
03/10/06 15:03:53 [Note]: 7019 4
03/10/06 15:03:53 [Note]: 7005 0
03/10/06 15:03:58 [Note]: 7006 0
03/10/06 15:03:58 [Note]: 7011 1364
03/10/06 15:03:58 [Note]: FSRAW library version 1.7.1015
03/10/06 15:04:32 [Info]: Hidden file: C:\WINDOWS\system32\wbem\wbemtest.exe
03/10/06 15:04:32 [Note]: 10002 1
03/10/06 15:04:36 [Info]: Hidden file: C:\WINDOWS\system32\csuuc.exe
03/10/06 15:04:36 [Note]: 7002 32
03/10/06 15:04:36 [Note]: 7003 1
03/10/06 15:04:36 [Note]: 10002 1
03/10/06 15:04:36 [Info]: Hidden file: C:\WINDOWS\system32\favset.exe
03/10/06 15:04:36 [Note]: 10002 1
03/10/06 15:04:37 [Info]: Hidden file: C:\WINDOWS\system32\filesafer23.exe
03/10/06 15:04:37 [Note]: 10002 1
03/10/06 15:04:39 [Info]: Hidden file: C:\WINDOWS\system32\howiper.exe
03/10/06 15:04:39 [Note]: 10002 1
03/10/06 15:04:40 [Info]: Hidden file: C:\WINDOWS\system32\dmtvg.exe
03/10/06 15:04:40 [Note]: 7002 32
03/10/06 15:04:40 [Note]: 7003 1
03/10/06 15:04:40 [Note]: 10002 1
03/10/06 15:04:41 [Info]: Hidden file: C:\WINDOWS\system32\pppcgm.exe
03/10/06 15:04:41 [Note]: 10002 1
03/10/06 15:09:04 [Note]: 7007 0

Schubi15 10.03.2006 16:06
So jetzt nochmal.

Hab gewartet bis er Fertig gemeldet hat. Allerdings steht wieder im Protokoll das ich abgebrochen habe.Hab ich aber echt nicht:

Friday, March 10, 2006 16:02:51
Betriebssystem: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Version von Kaspersky On-line Scanner: 5.0.68.0
Letztes Update der Antiviren-Datenbanken: 10/03/2006
Anzahl der Einträge in den Antiviren-Datenbanken: 170243


Scan-Einstellungen
Folgende Antiviren-Datenbanken zur Untersuchung verwenden Standard
Archive untersuchen korrekt
Mail-Datenbanken untersuchen korrekt

Untersuchungsobjekt Wichtige Objekte
C:\WINDOWS
C:\DOKUME~1\Tom\LOKALE~1\Temp\

Untersuchungsergebnisse
Untersuchte Objekte insgesamt 24294
Die Untersuchung wurde vom Benutzer abgebrochen! 4
Infizierte Objekte gefunden 4
Verdächtige Objekte gefunden 0
Untersuchungszeit 1626 sec

Name des infizierten Objekts Virusname Last Action
C:\WINDOWS\$NtServicePackUninstall$\wininet.dll Infizierte Objekte: Virus.Win32.Nsag.a skipped

C:\WINDOWS\system32\favset.exe Infizierte Objekte: Trojan-Clicker.Win32.Small.kg skipped

C:\WINDOWS\system32\howiper.exe Infizierte Objekte: Trojan.Win32.Small.hl skipped

C:\WINDOWS\system32\LogFiles\UT5172000.so Infizierte Objekte: Trojan-Downloader.Win32.Agent.ns skipped

Die Untersuchung wurde abgeschlossen.

Gruß Schubi15

felix1 10.03.2006 16:17
Ich würde Dir dazu dringend raten: http://www.trojaner-board.de/showthread.php?t=12154
Es ist besser so.

Schubi15 10.03.2006 16:23
Ach du Kacke, das hat mir grade noch gefehlt.

Aber ich werd wohl nicht drum rum kommen.

Danke für deine Hilfe

Gruß Schubi15:heulen: :heulen: :heulen: :heulen: :heulen:

felix1 10.03.2006 16:31
Es tut mir ja leid für Dich. Hast Du schon mal die Boardsuche zum Stichwort Ukraine konsultiert. Du bist nicht der Erste.
Sichere den PC vor dem ersten Gang ins i-Net gut ab. Nutze auch einen alternativen Browser.


Alle Zeitangaben in WEZ +1. Es ist jetzt 20:04 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131