|
Bitte um Auswertung dieses Logs-- Verdacht: Trojan-DL Hallo, ich poste hier ein Logfile, aus dem ich nicht so recht schlau werde, deshalb würde es mich sehr freuen, wenn sich jemand von Euch der Sache annehmen würde. Ich schildere noch kurz den Sachverhalt: Seit gestern befinden sich bei mir im Tray neben der Systemuhr rechts unten in der Taskleiste zwei seltsame Symbole, einmal ein blinkendes Fragezeichen, das regelmäßig ein Dialogfeld mit dem Hinweis "Your System may be infected" (sinngemäß) ausspuckt, und das zweite (ein kleiner roter Kreis mit einem weißen "x" darauf) macht eigentlich überhaupt nichts -- nur wenn man den Mauszeiger drüberhält (man muß dazu nichtmal hinklicken) erscheint am Mauszeiger so ein kleiner Hinweis "System is infected". Ich werde daraus wie gesagt nicht schlau, weil ich bisher mit sowas noch nie Probleme hatte, aber ein Kollege von mir hatte vor einiger Zeit mal ähnliche Schwierigkeiten, und damals war das irgendein Trojan-Downloader. Aber am besten wär's, wenn sich jemand von Euch die Sache mal anschauen könnte. Danke im Voraus. ------------------ Logfile of HijackThis v1.99.1 Scan saved at 15:42:50, on 28.07.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS.0\System32\smss.exe C:\WINDOWS.0\system32\winlogon.exe C:\WINDOWS.0\system32\services.exe C:\WINDOWS.0\system32\lsass.exe C:\WINDOWS.0\system32\svchost.exe C:\WINDOWS.0\System32\svchost.exe C:\WINDOWS.0\system32\spoolsv.exe C:\WINDOWS.0\amFk\command.exe C:\Programme\Network Monitor\netmon.exe C:\PROGRA~1\NORTON~2\NORTON~2\NPROTECT.EXE C:\WINDOWS.0\system32\oodag.exe C:\Programme\Advanced Registry Doctor\RegManServ.exe C:\PROGRA~1\NORTON~2\NORTON~2\SPEEDD~1\NOPDB.EXE C:\WINDOWS.0\System32\svchost.exe C:\WINDOWS.0\system32\rundll32.exe C:\WINDOWS.0\Explorer.EXE C:\WINDOWS.0\system32\ishost.exe C:\WINDOWS.0\system32\issearch.exe C:\WINDOWS.0\system32\ismon.exe C:\WINDOWS.0\system32\isnotify.exe C:\WINDOWS.0\system32\pctspk.exe C:\WINDOWS.0\System32\khooker.exe C:\Programme\DaemonTools\daemon.exe C:\Programme\D-Link\AirPlus XtremeG\AirPlusCFG.exe C:\WINDOWS.0\system32\private.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS.0\system32\67de9d04.exe C:\WINDOWS.0\system32\RUNDLL32.EXE C:\WINDOWS.0\system32\ctfmon.exe C:\winstall.exe C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe C:\WINDOWS.0\TEMP\win18.tmp.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE C:\WINDOWS.0\System32\svchost.exe C:\Dokumente und Einstellungen\JAD\Desktop\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://searchbar.findthewebsiteyouneed.com R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://searchbar.findthewebsiteyouneed.com R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://searchbar.findthewebsiteyouneed.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://searchbar.findthewebsiteyouneed.com R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h**p://searchbar.findthewebsiteyouneed.com R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://www.sierrastudios.com/games/half-life/support/3Dinfo/ R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O3 - Toolbar: (no name) - {77FBF9B8-1D37-4FF2-9CED-192D8E3ABA6F} - (no file) O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS.0\sisUSBrg.exe O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS.0\System32\khooker.exe O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\DaemonTools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS.0\system32\NeroCheck.exe O4 - HKLM\..\Run: [Time Sync] C:\Programme\Time Sync\time.exe O4 - HKLM\..\Run: [D-Link AirPlus XtremeG] C:\Programme\D-Link\AirPlus XtremeG\AirPlusCFG.exe O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS.0\system32\private.exe internat.dll,LoadMouseCarpetProfile O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky AV\kav.exe" /minimize O4 - HKLM\..\Run: [Daily Weather Forecast] C:\Programme\Daily Weather Forecast\weather.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [defender] C:\\dfndref_7.exe O4 - HKLM\..\Run: [keyboard] C:\\kybrdef_7.exe O4 - HKLM\..\Run: [67de9d04.exe] C:\WINDOWS.0\system32\67de9d04.exe O4 - HKLM\..\Run: [jbx2e665] RUNDLL32.EXE w00ad76f.dll,n 0022e6630000000a00ad76f O4 - HKLM\..\Run: [newname] C:\\nwnmef_7.exe O4 - HKLM\..\Run: [MailScan Dispatcher] "C:\Programme\eScan\LAUNCH.EXE" O4 - HKLM\..\Run: [ESCANIPC] C:\PROGRA~1\eScan\ESCANIPC.EXE O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\ctfmon.exe O4 - HKCU\..\Run: [LeechGet] "C:\Programme\LeechGet 2004\LeechGet.exe" -intray O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe O4 - HKCU\..\Run: [67de9d04.exe] C:\Dokumente und Einstellungen\JAD\Lokale Einstellungen\Anwendungsdaten\67de9d04.exe O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://C:\Programme\LeechGet 2004\\Wizard.html O8 - Extra context menu item: Mit LeechGet herunterladen - file://C:\Programme\LeechGet 2004\\AddUrl.html O8 - Extra context menu item: Mit LeechGet parsen - file://C:\Programme\LeechGet 2004\\Parser.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra button: Freeprod Toolbar - {77FBF9B8-1D37-4FF2-9CED-192D8E3ABA6F} - (no file) O9 - Extra 'Tools' menuitem: Freeprod Toolbar - {77FBF9B8-1D37-4FF2-9CED-192D8E3ABA6F} - (no file) O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS.0\system32\Shdocvw.dll O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} - h**p://promo.dollarrevenue.com/activex/promocache/3436342D2D2D.exe O16 - DPF: {74CD40EA-EF77-4BAD-808A-B5982DA73F20} (YazzleActiveX Control) - h**p://yax-download.yazzle.net/YazzleActiveX.cab?refid=1123 O16 - DPF: {B49C4597-8721-4789-9250-315DFBD9F525} (IWinAmpActiveX Class) - h**p://cdn.digitalcity.com/radio/ampx/ampx2.6.1.11_en_dl.cab O16 - DPF: {F919FBD3-A96B-4679-AF26-F551439BB5FD} - h**p://locator1.cdn.imagesrvr.com/sites/winfixer.com/www/pages/scanner_de/WinFixer2005ScannerInstallDE.cab O21 - SSODL: cinnamomum - {93ac7c30-3878-4eaa-9420-7977285df5b1} - C:\WINDOWS.0\system32\pmnqguh.dll O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS.0\amFk\command.exe O23 - Service: eScan-Installer-Service - MicroWorld Technologies Inc. - C:\PROGRA~1\eScan\TRAYISER.EXE O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky AV\kavsvc.exe O23 - Service: Network Monitor - Unknown owner - C:\Programme\Network Monitor\netmon.exe O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\PROGRA~1\NORTON~2\NORTON~2\NPROTECT.EXE O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS.0\system32\oodag.exe O23 - Service: Panda Process Protection Service (PavPrSrv) - Unknown owner - C:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv.exe (file missing) O23 - Service: Registry Management Service (RegManServ) - Unknown owner - C:\Programme\Advanced Registry Doctor\RegManServ.exe O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~2\NORTON~2\SPEEDD~1\NOPDB.EXE O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe [edit] links editiert GUA [/edit] |
C:\WINDOWS.0\system32\ishost.exe C:\WINDOWS.0\system32\issearch.exe C:\WINDOWS.0\system32\ismon.exe C:\WINDOWS.0\system32\isnotify.exe ishost ist ein Zlob und der Rest bestimmt auch... Dann hast du noch eine sehr seltsame exe Datei drauf.. bei so einem Fund empfehle ich Neustinstallation. EDIT: Meine Güte.. da is ja mehr supicios druf als normale Prozesse oO winstall.exe Also.. da könnte ich noch 10 andere Dinge auf den ersten Blick als Trojaner oder sonst was identifizieren... ganz dringend neuinstallieren bitte! |
Prüfe das System mit F-Secure Blacklight und poste danach das Logfile. Prüfe Dein System mit Ewido http://www.ewido.net/de/ Lasse alles löschen, was vorgeschlagen wird. Poste das Ergebnis. Führe weiterhin diese Anleitung aus: http://www.trojaner-board.de/showthread.php?t=30411 Poste auch das Ergebnis. Wenn Du damit fertig bist, erstelle ein Log-File mit HJT und poste es. @Darthshoot Wo nimmst Du Deine Weisheiten her? Erkläre, wieso Neuinstallation? |
Er meint er könnte nicht mal sein Logfile auswerten und dann sind dort zich Trojaner drauf und sicher noch ne Virenflutwelle. Da dachte ich, dass es für ihn das leichteste wäre, eine Neuinstallation vorzunehmen, da das ne Stunde dauert und bis das System von ihm wieder clean ist.. wer weiß schon wie lange das dauert... |
Zitat:
|
Zitat:
Abgesehen von den Zlob Einträgen... Zitat:
Zitat:
Daher ist eine Neuinstallation die einzige richtige Entscheidung! Nein, es gibt wirklich keine andere Möglichkeit...:teufel3: OT: Zitat:
Wenn du dafür keine Zeit hast, starte garnicht erst den Versuch jemandem zu helfen bzw zu posten! Zumal jeder Hilfesuchende es erwartet, "ohne" die Standartantwort zu bekommen, da hilft nur Neuinstallation! Also zumindest den Versuch starten, sonst könnte man dieses (schöne ;) ) Forum auch in www.setz-mich-neu-auf.de umbenennen! SCNR! :juul: |
Zitat:
Wobei ich irgendwie den Eindruck habe, dass hier jemand schon ein neues Windows "drübergebügelt" hat. C:\WINDOWS.0 |
Kurz einmisch: Zitat:
datus |
Zitat:
Könnte sowohl auch: http://www.greatis.com/appdata/d/p/private.exe.htm http://www.sophos.de/virusinfo/analyses/w32sobera.html http://www.symantec.com/security_res...102410-5713-99 Von einigen Scannern wird er als "Sober" erkannt, von einigen aber auch als "RBOT"! Ist ja eigentlich auch egal, Backdoor sind sie allemal :) |
@All Ich sehe eigentlich keinen Grund für eine weitergehende Diskussion, weil der TO sich eigentlich nicht wieder gemeldet hat. Schönes WE für Dartus und [Gc]Sunny wünscht Der Felix :bussi::party: |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 19:08 Uhr. |
Copyright ©2000-2025, Trojaner-Board