Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Virus (https://www.trojaner-board.de/29649-virus.html)

Nienna1988 02.06.2006 12:38
Virus
 
Huhu Leute!

hab mir da glaub ich mal wieder was eingefangen. Könnt ihr mir helfen?

Logfile of HijackThis v1.99.1
Scan saved at 13:32:03, on 02.06.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\0190 Warner\w0svc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\PROGRA~1\0190WA~1\WARN0190.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
D:\Programme\Trillian\trillian.exe
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgwb.dat
C:\WINDOWS\system32\atmclk.exe
C:\WINDOWS\system32\dcomcfg.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Laura\Desktop\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Nothing - {6ab7158b-4bff-4160-ad7d-4d622df548cf} - C:\WINDOWS\system32\hp100.tmp
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [mmtask] "C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1140172275089
O20 - Winlogon Notify: winzzd32 - C:\WINDOWS\SYSTEM32\winzzd32.dll
O23 - Service: 0190/0900 Warner Überwachungsdienst (0190_0900_Warner_MonitorService) - Mirko Böer - C:\Programme\0190 Warner\w0svc.exe
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

danke schonmal =)

Princ_of_Galaxy 02.06.2006 13:55
zu dem eintrag :C:\WINDOWS\system32\atmclk.exe und C:\WINDOWS\system32\dcomcfg.exe
hab ich folgendes im netz gefunden:
"
Ein äußerst nerviges und hartnäckiges Spyware-Trojan-Programm welches sich im system32-ordner einnistet.. Am besten den BHO im HiJackthis entfernen und im Abgesicherten Modus die beiden dateien (dcomfg.exe und atmclk.exe) löschen. Weiß aber nicht, ob dass alles ist -
"

vielleicht hilft es dir ja

Markus1234 02.06.2006 15:34
Zitat:
Zitat von Princ_of_Galaxy
zu dem eintrag :C:\WINDOWS\system32\atmclk.exe und C:\WINDOWS\system32\dcomcfg.exe
hab ich folgendes im netz gefunden:
"
Ein äußerst nerviges und hartnäckiges Spyware-Trojan-Programm welches sich im system32-ordner einnistet.. Am besten den BHO im HiJackthis entfernen und im Abgesicherten Modus die beiden dateien (dcomfg.exe und atmclk.exe) löschen. Weiß aber nicht, ob dass alles ist -
"

vielleicht hilft es dir ja
Schwachsinn, das wird nicht klappen.

@Nienna1988

Mit der Registrierung hast du auch die NUB durchgelesen und diese akzeptiert. So wäre es deine Aufgabe gewesen hier im Forum erstmal eine Suche anzugehen, evtl. auch mit Google.

Erstes Ergebnis zu deinem Problem:

Klick mich und befolg mich 1:1

mfg,
Markus

Nienna1988 03.06.2006 13:38
Sry daran hab ich gar nicht gedacht.. :(

Also hab das jetzt genau so gemacht wie in dem anderen Thread beschrieben.

Hier sind die Auswertungen:

Rapport:

Zitat:
SmitFraudFix v2.53

Scan done at 13:31:35,03, 03.06.2006
Run from C:\Dokumente und Einstellungen\Laura\Desktop\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix ran in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{aea3d2df-2b2c-4d7b-81a0-d975c6dc088e}"="alongshore"


»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\WINDOWS\system32\atmclk.exe Deleted
C:\WINDOWS\system32\dcomcfg.exe Deleted
C:\WINDOWS\system32\hp???.tmp Deleted
C:\WINDOWS\system32\ld????.tmp Deleted
C:\WINDOWS\system32\ot.ico Deleted
C:\WINDOWS\system32\regperf.exe Deleted
C:\WINDOWS\system32\simpole.tlb Deleted
C:\WINDOWS\system32\stdole3.tlb Deleted
C:\WINDOWS\system32\ts.ico Deleted
C:\WINDOWS\system32\1024\ Deleted

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End

und RootKitRevealer:

Zitat:
C:\Programme\Mozilla Firefox\updates\0\update.mar 03.06.2006 13:52 384.00 KB Hidden from Windows API.
C:\Programme\Mozilla Firefox\updates\0\update.status 03.06.2006 13:47 12 bytes Hidden from Windows API.
C:\System Volume Information\_restore{A313C4D3-3AAB-4C1A-9752-59F92464B7DA}\RP78\A0024049.mfl 01.06.2006 15:16 1.42 MB Hidden from Windows API.
Hab ich das jetzt so richtig gemacht?

Wildone 03.06.2006 14:04
Hallo,
ja, hast alles richtuig gemacht. Gibt es noch Probleme? Popups? Symbole in der Infoleiste (rechts unten)?
Lösche mal noch die Datei C:\WINDOWS\SYSTEM32\winzzd32.dll mit killbox mit der Option "delete on reboot".
Außerdem machst du mal noch einen Onlinescan bei Panda(mit dem IE) und postest den Report.


Grüße Wildone

Nienna1988 04.06.2006 00:17
Also Panda brachte mir noch folgendes:

Zitat:

Ereignis Zustand Standort
Adware:adware/securityerror Nicht desinfiziert C:\Dokumente und Einstellungen\Laura\Favoriten\Antivirus Test Online.url

Potenziell unerwünschtes Tool:application/winantivirus2006 Nicht desinfiziert c:\dokumente und einstellungen\all users\anwendungsdaten\WinAntiVirus Pro 2006


Adware:adware/yazzlesudoku Nicht desinfiziert c:\programme\Yazzle Sudoku

Adware:adware/savenow Nicht desinfiziert Windows-Registry

Adware:adware/whenusearch Nicht desinfiziert Windows-Registry

Spyware:Cookie/Falkag Nicht desinfiziert C:\Dokumente und Einstellungen\Herrmann\Anwendungsdaten\Mozilla\Firefox\Profiles\boi1qwc0.default\cookies.txt[as1.falkag.de/]

Spyware:Cookie/Falkag Nicht desinfiziert C:\Dokumente und Einstellungen\Herrmann\Cookies\herrmann@as1.falkag[1].txt

Spyware:Cookie/Ccbill Nicht desinfiziert C:\Dokumente und Einstellungen\Herrmann\Cookies\herrmann@ccbill[1].txt

Spyware:Cookie/Sextracker Nicht desinfiziert C:\Dokumente und Einstellungen\Herrmann\Cookies\herrmann@counter6.sextracker[1].txt

Spyware:Cookie/Sextracker Nicht desinfiziert C:\Dokumente und Einstellungen\Herrmann\Cookies\herrmann@counter8.sextracker[1].txt

Spyware:Cookie/Sextracker Nicht desinfiziert C:\Dokumente und Einstellungen\Herrmann\Cookies\herrmann@counter9.sextracker[1].txt

Spyware:Cookie/cs.sexcounter Nicht desinfiziert C:\Dokumente und Einstellungen\Herrmann\Cookies\herrmann@cs.sexcounter[2].txt

Spyware:Cookie/GoStats Nicht desinfiziert C:\Dokumente und Einstellungen\Herrmann\Cookies\herrmann@gostats[2].txt

Spyware:Cookie/MediaTickets Nicht desinfiziert C:\Dokumente und Einstellungen\Herrmann\Cookies\herrmann@kinghost[1].txt

Spyware:Cookie/SexList Nicht desinfiziert C:\Dokumente und Einstellungen\Herrmann\Cookies\herrmann@sexlist[1].txt

Spyware:Cookie/Sextracker Nicht desinfiziert C:\Dokumente und Einstellungen\Herrmann\Cookies\herrmann@sextracker[2].txt

Spyware:Cookie/XXXCounter Nicht desinfiziert C:\Dokumente und Einstellungen\Herrmann\Cookies\herrmann@xxxcounter[1].txt

Spyware:Cookie/2o7 Nicht desinfiziert C:\Dokumente und Einstellungen\Karin\Cookies\karin@2o7[2].txt

Spyware:Cookie/Advertising Nicht desinfiziert C:\Dokumente und Einstellungen\Karin\Cookies\karin@advertising[1].txt

Spyware:Cookie/Falkag Nicht desinfiziert C:\Dokumente und Einstellungen\Karin\Cookies\karin@as-eu.falkag[2].txt

Spyware:Cookie/Falkag Nicht desinfiziert C:\Dokumente und Einstellungen\Karin\Cookies\karin@as1.falkag[1].txt

Spyware:Cookie/Atlas DMT Nicht desinfiziert C:\Dokumente und Einstellungen\Karin\Cookies\karin@atdmt[2].txt

Spyware:Cookie/Doubleclick Nicht desinfiziert C:\Dokumente und Einstellungen\Karin\Cookies\karin@doubleclick[2].txt

Spyware:Cookie/fe.lea.lycos Nicht desinfiziert C:\Dokumente und Einstellungen\Karin\Cookies\karin@fe.lea.lycos[1].txt

Spyware:Cookie/Hitbox Nicht desinfiziert C:\Dokumente und Einstellungen\Karin\Cookies\karin@hitbox[2].txt

Spyware:Cookie/Mediaplex Nicht desinfiziert C:\Dokumente und Einstellungen\Karin\Cookies\karin@mediaplex[1].txt

Spyware:Cookie/Serving-sys Nicht desinfiziert C:\Dokumente und Einstellungen\Karin\Cookies\karin@serving-sys[2].txt

Spyware:Cookie/WebtrendsLive Nicht desinfiziert C:\Dokumente und Einstellungen\Karin\Cookies\karin@statse.webtrendslive[1].txt

Spyware:Cookie/Tradedoubler Nicht desinfiziert C:\Dokumente und Einstellungen\Karin\Cookies\karin@tradedoubler[2].txt


Alle Zeitangaben in WEZ +1. Es ist jetzt 21:11 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131