Trojaner-Board
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   LogFile (https://www.trojaner-board.de/29267-logfile.html)

mackie 16.05.2006 00:12
LogFile
 
habe seit heute ein problem mit dem internetexplorer.wenn ich über google ne seite suche und dann auf den link der siete klicke,komme ich immer auf einer anderen seite,aber nicht auf die ich will.
beispiel
gebe bei google "keyboads" ein. klicke dann auf den ersten link den mir google ausspuckt"keyboards.de"

komme dann aber auf eine andre seite
http://adfarm.mediaplex.com
wenn ich dann zurück gehe und wieder auf den keyboardslink klicke komme ich aber wiederum auf eine andere seite.
www.ebay.de
usw.
um auf keyboards zu kommen muß ich die seite unter einen neuen fenster öffnen.
das problem ist aber nicht immer so.nur ab und zu.
für solche zwecke habe ich die tools
"ad-aware" und "spyboot" und "spywareblaster"drauf.haben alle nix gefunden.


hier mal das logfile: kann selber nix erkennen was auf ein virus oder so schließt.





Logfile of HijackThis v1.99.1
Scan saved at 01:00:49, on 16.05.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\DeltTray.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\MultiKeys\MultiKeys.exe
C:\PROGRA~1\POP-UP~1\PSFree.exe
C:\WINDOWS\System32\GEARSec.exe
C:\Programme\Norton Ghost\Agent\PQV2iSvc.exe
C:\WINDOWS\System32\oodag.exe
C:\Programme\Internet Explorer\iexplore.exe
F:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot\SDHelper.dll
O2 - BHO: (no name) - {BF185384-F963-4A14-BF0A-9B77DE428FAA} - C:\WINDOWS\System32\lpk32.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [DeltTray] DeltTray.exe
O4 - HKLM\..\Run: [M-Audio Delta Taskbar Icon] C:\WINDOWS\System32\DeltTray.exe
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [HotKeys] C:\Programme\MultiKeys\MultiKeys.exe
O4 - HKCU\..\Run: [PopUpStopperFreeEdition] "C:\PROGRA~1\POP-UP~1\PSFree.exe"
O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} (MetaStreamCtl Class) - h**ps://components.viewpoint.com/MTSInstallers/MetaStream3.cab?url=http://www.samsung.com/Products/HardDiskDrive/SpinPointPSeries/ProductPresentation/ViewPoint/hdd/main.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1135346322407
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: Norton Ghost - Symantec Corporation - C:\Programme\Norton Ghost\Agent\PQV2iSvc.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\System32\oodag.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

Sunny 16.05.2006 00:17
Moin,

lass bitte folgende Datei bei VIRUSTOTAL überprüfen:

C:\WINDOWS\System32\lpk32.dll

Gruß
Daniel

mackie 16.05.2006 00:29
danke dir.....
ok..habe ich gemacht.
folgendes wurde mir angezeigt

http://img212.imageshack.us/my.php?image=018ol.jpg

bedeutet das jetzt das z.b.dr.web sagt das es ein trojaner ist und panda z.b ssagt das es adeware ist? kann man das darus ablesen?

Sunny 16.05.2006 00:41
es kann auch sein das Antivir sagt es ist ADSPY, aber in Wirklichkeit könnte das "Backdoor.Rbot" sein! Bin mir dabei auch noch nicht so ganz Sicher!

Suche mal in deinem System nach folgenden Datein:
C:\WINDOWS\system32\filez.exe
C:\WINDOWS\system32\odccconf.dll
C:\WINDOWS\system32\CNOServerLauncher.exe

Sollest du nichts finden mach sicherheitshalber noch einen OnlineScan bei KASPERSKY

Gruß

mackie 16.05.2006 00:49
habe keine der 3 datein bei mir gefunden.kaspersky habe ich ja selber drauf.sollte ich trotzdem einen onlinecheck machen?
normal hat kaspersky bei mir nix gefunden.hab auch zuvor ein update gemacht.

Sunny 16.05.2006 00:50
wenn du keiner der Datein gefunden hast, ist es schonmal sehr gut!
Den ONLINE Scan bitte trotzdem durchführen..

mackie 16.05.2006 01:22
der onlinescan zeigt mir an das die datei lpk32.dll ein adeware ist.soll ich sie löschen?warum hat eigendlich mein installiertes kaspersky die nicht angezeigt?

Markus1234 16.05.2006 01:27
Weil es doch ein Backdoor.Rbot sein könnte, der nur diese Maleware hinterlassen hat?

Ich werf die Flinte weit ins Feld, allerdings habe ich schon viele solce Fäle mitgelesen

Trojaner auf hdd -> installiert maleware -> manipuliert Antivirenprogramm (ändert evtl. betreffende definition).

Du hast die Online Search-Engine benutzt - diese arbeitet unabhängig.

mfg,
Markus

mackie 16.05.2006 01:30
a ha.und soll ich die datei nun löschen?nicht das sie doch für irgedwas gut ist.

Markus1234 16.05.2006 12:50
Meine Empfehlung wäre es das System neu Aufzusetzen da jetzt keine Sicherheit mehr gegeben ist ob:

- Ein Backdoor aktiv ist
- Ein Backdoor aktiv war
- Die Folgen eines aktiven Backdoors eingetreten sind (umgschriebene Systemdateien - offene Ports ect).

Und Unwissenheit schützt ja bekanntlich auch nicht :party:

mfg,
Markus

Sunny 16.05.2006 15:00
Zitat:
Zitat von Markus1234
Meine Empfehlung wäre es das System neu Aufzusetzen da jetzt keine Sicherheit mehr gegeben ist
Wieso bist du dir da so sicher das es ein "BackdoorTrojaner" ist/war?
Bevor ich dem TO anrate sein System neu Aufszusetzen, verusuche ich doch erstmal auf "Nummer sicher" zu gehen und ihm diese "Arbeit" zu ersparen!
Stell dir vor diese Datei wäre nur modifiziert mit "adware" ?!

@mackie

1.Lade dir die Killbox suche die Datei: lpk32.dll , Hacken bei "delete on reboot" -->löschen! --> Antwort: Ja --> Rechner startet neu

2.Lade dir bitte AD-AWARE sowie Spybot S&D, führe einen SystemScan durch und "immunisiere" danach..

3.Erstelle ein neues Hijacklog und poste es hier ins Forum

Gruß
Daniel

mackie 17.05.2006 22:28
was?das system neu machen? och nö.kan n ich denn ncih einfach die datei löschen? will ja nur wissen ob die wichtig is.

dartus 17.05.2006 22:44
Hallo mackie,

führe das aus, was Dir [Gc]Sunny um 16.00 uhr empfahl.

dartus

mackie 18.05.2006 22:35
ok..habe alles gemacht.


Logfile of HijackThis v1.99.1
Scan saved at 23:34:58, on 18.05.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\DeltTray.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\MultiKeys\MultiKeys.exe
C:\PROGRA~1\POP-UP~1\PSFree.exe
C:\WINDOWS\System32\GEARSec.exe
C:\Programme\Norton Ghost\Agent\PQV2iSvc.exe
C:\WINDOWS\System32\oodag.exe
C:\WINDOWS\System32\wuauclt.exe
F:\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot\SDHelper.dll
O2 - BHO: (no name) - {BF185384-F963-4A14-BF0A-9B77DE428FAA} - C:\WINDOWS\System32\lpk32.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [DeltTray] DeltTray.exe
O4 - HKLM\..\Run: [M-Audio Delta Taskbar Icon] C:\WINDOWS\System32\DeltTray.exe
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [HotKeys] C:\Programme\MultiKeys\MultiKeys.exe
O4 - HKCU\..\Run: [PopUpStopperFreeEdition] "C:\PROGRA~1\POP-UP~1\PSFree.exe"
O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} (MetaStreamCtl Class) - https://components.viewpoint.com/MTSInstallers/MetaStream3.cab?url=http://www.samsung.com/Products/HardDiskDrive/SpinPointPSeries/ProductPresentation/ViewPoint/hdd/main.htm
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/kavwebscan_unicode.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1135346322407
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: Norton Ghost - Symantec Corporation - C:\Programme\Norton Ghost\Agent\PQV2iSvc.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\System32\oodag.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

mackie 20.05.2006 18:23
und?was sagt ihr jetzt dazu?
ging ja hier drum
O2 - BHO: (no name) - {BF185384-F963-4A14-BF0A-9B77DE428FAA} - C:\WINDOWS\System32\lpk32.dll (file missing)

(file missing) steht ja jetzt da


Alle Zeitangaben in WEZ +1. Es ist jetzt 12:30 Uhr.
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131