Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   werde trojan nicht los! (https://www.trojaner-board.de/27679-trojan-los.html)

ersa 19.03.2006 18:27
werde trojan nicht los!
 
hallo, bin anfänger was viren und trojaner betrifft, ersuche um hilfe;
mein norton antivirus hat entdeckt, daß es in meinem computer ein "trojan horse" gibt mit datei name: C\WINDOWS\nbcstat.exe.

ich habe diese datei gefunden und gelöscht in "abgesicherter modus"
allerdings kommt die warnung immer noch jedes mal ich windows starte. unter windows existiert diese datei nicht mehr.

unten ist die auswertung von HJT. vielen dank für eure hilfe im voraus.
eren

Logfile of HijackThis v1.99.1
Scan saved at 17:58:58, on 19.03.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\LckFldService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRAMME\WIBUKEY\SERVER\WKSVW32.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\Fontview32.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Siemens\Gigaset WLAN Adapter\WLM.exe
C:\Programme\Hewlett-Packard\LaserJet All-in-one\hppdirector.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\Yahoo!\Messenger\ymsgr_tray.exe
C:\Programme\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\WINDOWS\system32\hppapml0.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\Programme\Messenger\msmsgs.exe
C:\unzipped\hijackthis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://rd.yahoo.com/customize/ymsgr/defaults/*http://my.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://rd.yahoo.com/customize/ymsgr/defaults/su/*http://www.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://rd.yahoo.com/customize/ymsgr/defaults/sb/*http://www.yahoo.com/ext/search/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://red.clientapps.yahoo.com/customize/ie/defaults/sp/ymsgr/*http://www.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://red.clientapps.yahoo.com/customize/ie/defaults/stp/ymsgr*http://my.yahoo.com
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [HP SchedIndexer] C:\Programme\Hewlett-Packard\LaserJet All-in-one\hppschedindexer.exe
O4 - HKLM\..\Run: [HP AutoIndexer] C:\Programme\Hewlett-Packard\LaserJet All-in-one\hppautoindexer.exe
O4 - HKLM\..\Run: [PCLEPCI] C:\PROGRA~1\Pinnacle\PPE\ppe.exe
O4 - HKLM\..\Run: [BigpictureSetup] D:\Setup.exe -wc
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [Creative WebCam Tray] C:\Programme\Creative\Shared Files\CAMTRAY.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Fontview] C:\WINDOWS\Fontview32.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Programme\Yahoo!\Messenger\ypager.exe" -quiet
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Pinnacle Systems - Studio-Produktfamilie.lnk = C:\Programme\Pinnacle\Studio DV\ERegister\Remind32.exe
O4 - Startup: Registration-PCTV.lnk = C:\Programme\Pinnacle\PCTV Stereo\ERegister\RegTool.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Gigaset WLAN Adapter Monitor.lnk = C:\Programme\Siemens\Gigaset WLAN Adapter\WLM.exe
O4 - Global Startup: HP LaserJet Director.lnk = C:\Programme\Hewlett-Packard\LaserJet All-in-one\hppdirector.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Pinnacle Scheduler.lnk = ?
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\programme\google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: advert - file://C:\Dokumente und Einstellungen\Administrator.MLCN008\Lokale Einstellungen\Temporary Internet Files\Content.IE5\2DNG18VI\advert[1].cab
O16 - DPF: alps - file://C:\DOKUME~1\ADMINI~1.MLC\LOKALE~1\Temp\1141584081367.tmp
O16 - DPF: avail - file://C:\DOKUME~1\ADMINI~1.MLC\LOKALE~1\Temp\1125945229976.tmp
O16 - DPF: avail2 - file://C:\DOKUME~1\ADMINI~1.MLC\LOKALE~1\Temp\1136733615934.tmp
O16 - DPF: cets - file://C:\Dokumente und Einstellungen\Administrator.MLCN008\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0TG1YN8D\cets2[1].cab
O16 - DPF: cets2 - file://C:\DOKUME~1\ADMINI~1.MLC\LOKALE~1\Temp\1139595529607.tmp
O16 - DPF: core - file://C:\DOKUME~1\ADMINI~1.MLC\LOKALE~1\Temp\1141584054959.tmp
O16 - DPF: core0 - file://C:\DOKUME~1\ADMINI~1.MLC\LOKALE~1\Temp\1140765749298.tmp
O16 - DPF: EditGrid3 - file://C:\Dokumente und Einstellungen\Administrator.MLCN008\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CB37MWP9\EditGrid3[1].cab
O16 - DPF: Etc - file://C:\DOKUME~1\ADMINI~1.MLC\LOKALE~1\Temp\1124385984402.tmp
O16 - DPF: forms - file://C:\DOKUME~1\ADMINI~1.MLC\LOKALE~1\Temp\1131274442260.tmp
O16 - DPF: forms2 - file://C:\DOKUME~1\ADMINI~1.MLC\LOKALE~1\Temp\1140765765522.tmp
O16 - DPF: itsb - file://C:\DOKUME~1\ADMINI~1.MLC\LOKALE~1\Temp\1134855061350.tmp
O16 - DPF: msxml - file://C:\Dokumente und Einstellungen\Administrator.MLCN008\Lokale Einstellungen\Temporary Internet Files\Content.IE5\43ZF6411\msxml[1].cab
O16 - DPF: neck - file://C:\Dokumente und Einstellungen\Administrator.MLCN008\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4PY7OXEV\neck[1].cab
O16 - DPF: nurvis - file://C:\DOKUME~1\ADMINI~1.MLC\LOKALE~1\Temp\1136118093587.tmp
O16 - DPF: rail - file://C:\Dokumente und Einstellungen\Administrator.MLCN008\Lokale Einstellungen\Temporary Internet Files\Content.IE5\43ZF6411\rail[1].cab
O16 - DPF: rax - file://C:\DOKUME~1\ADMINI~1.MLC\LOKALE~1\Temp\1124386017660.tmp
O16 - DPF: service - file://C:\DOKUME~1\ADMINI~1.MLC\LOKALE~1\Temp\1140765768426.tmp
O16 - DPF: Start - file://C:\Dokumente und Einstellungen\Administrator.MLCN008\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CB37MWP9\Start[1].cab
O16 - DPF: stoc - file://C:\DOKUME~1\ADMINI~1.MLC\LOKALE~1\Temp\1140765770889.tmp
O16 - DPF: swiss - file://C:\DOKUME~1\ADMINI~1.MLC\LOKALE~1\Temp\1138606840294.tmp
O16 - DPF: terr - file://C:\DOKUME~1\ADMINI~1.MLC\LOKALE~1\Temp\1138041340604.tmp
O16 - DPF: toma - file://C:\Dokumente und Einstellungen\Administrator.MLCN008\Lokale Einstellungen\Temporary Internet Files\Content.IE5\2DNG18VI\toma[1].cab
O16 - DPF: tourmaster2 - file://C:\DOKUME~1\ADMINI~1.MLC\LOKALE~1\Temp\1141852022728.tmp
O16 - DPF: tui - file://C:\DOKUME~1\ADMINI~1.MLC\LOKALE~1\Temp\1140418927539.tmp
O16 - DPF: util - file://C:\Dokumente und Einstellungen\Administrator.MLCN008\Lokale Einstellungen\Temporary Internet Files\Content.IE5\G92F01UB\util[1].cab
O16 - DPF: vers - file://C:\DOKUME~1\ADMINI~1.MLC\LOKALE~1\Temp\1126545755860.tmp
O16 - DPF: xmltos - file://C:\DOKUME~1\ADMINI~1.MLC\LOKALE~1\Temp\1138606837780.tmp
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {A8F2B9BD-A6A0-486A-9744-18920D898429} (ScorchPlugin Class) - http://www.sibelius.com/download/software/win/ActiveXPlugin.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {E8304464-1EA9-4F39-A031-522874AAC230} (ESD Object) -
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LckFldService - Unknown owner - C:\WINDOWS\system32\LckFldService.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: WIBU-KEY Server (WKSVW32) - WIBU-SYSTEMS AG - C:\PROGRAMME\WIBUKEY\SERVER\WKSVW32.EXE

Sunny 19.03.2006 18:40
Moin,
du hast jede Menge Mist in deinem LOG stehen!!!

fixe bitte mit HijackThis im abgesicherten Modus folgende Zeilen: (Häkchen vor und auf fixen )

O16 - DPF: advert - file://C:\Dokumente und Einstellungen\Administrator.MLCN008\Lokale Einstellungen\Temporary Internet Files\Content.IE5\2DNG18VI\advert[1].cab

O16 - DPF: alps - file://C:\DOKUME~1\ADMINI~1.MLC\LOKALE~1\Temp\11415840813 67.tmp
O16 - DPF: avail - file://C:\DOKUME~1\ADMINI~1.MLC\LOKALE~1\Temp\11259452299 76.tmp
O16 - DPF: avail2 - file://C:\DOKUME~1\ADMINI~1.MLC\LOKALE~1\Temp\11367336159 34.tmp
O16 - DPF: cets - file://C:\Dokumente und Einstellungen\Administrator.MLCN008\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0TG1YN8D\cets2[1].cab
O16 - DPF: cets2 - file://C:\DOKUME~1\ADMINI~1.MLC\LOKALE~1\Temp\11395955296 07.tmp
O16 - DPF: core - file://C:\DOKUME~1\ADMINI~1.MLC\LOKALE~1\Temp\11415840549 59.tmp
O16 - DPF: core0 - file://C:\DOKUME~1\ADMINI~1.MLC\LOKALE~1\Temp\11407657492 98.tmp
O16 - DPF: EditGrid3 - file://C:\Dokumente und Einstellungen\Administrator.MLCN008\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CB37MWP9\EditGrid3[1].cab
O16 - DPF: Etc - file://C:\DOKUME~1\ADMINI~1.MLC\LOKALE~1\Temp\11243859844 02.tmp
O16 - DPF: forms - file://C:\DOKUME~1\ADMINI~1.MLC\LOKALE~1\Temp\11312744422 60.tmp
O16 - DPF: forms2 - file://C:\DOKUME~1\ADMINI~1.MLC\LOKALE~1\Temp\11407657655 22.tmp
O16 - DPF: itsb - file://C:\DOKUME~1\ADMINI~1.MLC\LOKALE~1\Temp\11348550613 50.tmp
O16 - DPF: msxml - file://C:\Dokumente und Einstellungen\Administrator.MLCN008\Lokale Einstellungen\Temporary Internet Files\Content.IE5\43ZF6411\msxml[1].cab
O16 - DPF: neck - file://C:\Dokumente und Einstellungen\Administrator.MLCN008\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4PY7OXEV\neck[1].cab
O16 - DPF: nurvis - file://C:\DOKUME~1\ADMINI~1.MLC\LOKALE~1\Temp\11361180935 87.tmp
O16 - DPF: rail - file://C:\Dokumente und Einstellungen\Administrator.MLCN008\Lokale Einstellungen\Temporary Internet Files\Content.IE5\43ZF6411\rail[1].cab
O16 - DPF: rax - file://C:\DOKUME~1\ADMINI~1.MLC\LOKALE~1\Temp\11243860176 60.tmp
O16 - DPF: service - file://C:\DOKUME~1\ADMINI~1.MLC\LOKALE~1\Temp\11407657684 26.tmp
O16 - DPF: Start - file://C:\Dokumente und Einstellungen\Administrator.MLCN008\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CB37MWP9\Start[1].cab
O16 - DPF: stoc - file://C:\DOKUME~1\ADMINI~1.MLC\LOKALE~1\Temp\11407657708 89.tmp
O16 - DPF: swiss - file://C:\DOKUME~1\ADMINI~1.MLC\LOKALE~1\Temp\11386068402 94.tmp
O16 - DPF: terr - file://C:\DOKUME~1\ADMINI~1.MLC\LOKALE~1\Temp\11380413406 04.tmp
O16 - DPF: toma - file://C:\Dokumente und Einstellungen\Administrator.MLCN008\Lokale Einstellungen\Temporary Internet Files\Content.IE5\2DNG18VI\toma[1].cab
O16 - DPF: tourmaster2 - file://C:\DOKUME~1\ADMINI~1.MLC\LOKALE~1\Temp\11418520227 28.tmp
O16 - DPF: tui - file://C:\DOKUME~1\ADMINI~1.MLC\LOKALE~1\Temp\11404189275 39.tmp
O16 - DPF: util - file://C:\Dokumente und Einstellungen\Administrator.MLCN008\Lokale Einstellungen\Temporary Internet Files\Content.IE5\G92F01UB\util[1].cab
O16 - DPF: vers - file://C:\DOKUME~1\ADMINI~1.MLC\LOKALE~1\Temp\11265457558 60.tmp
O16 - DPF: xmltos - file://C:\DOKUME~1\ADMINI~1.MLC\LOKALE~1\Temp\11386068377 80.tmp
O16 - DPF: {A8F2B9BD-A6A0-486A-9744-18920D898429} (ScorchPlugin Class) - http://www.sibelius.com/download/software/win/ActiveXPlugin.cab
O16 - DPF: {E8304464-1EA9-4F39-A031-522874AAC230} (ESD Object) -


Alle Zeitangaben in WEZ +1. Es ist jetzt 01:43 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131