|
Trojaner gefunden! Wie wird alles entfernt? Hallo, habe heute 2 Troyaner beim automatischen überprüfen gefunden. 1 x Exploit-MHtRedir.gen und 1 x Generic Spy.e unter Quarantöne wurde gestellt<: W32_API.cap Weiteres nach einem Gesamtscan nicht gefunden. Mein Windows Explorer geht allerdings nun nicht mehr. Habe ein bischen gegoogelt und Euch entdeckt. Habe dann ein Logfile erstellt, kann aber leider nix vertstehen. Welche Position ist denn wohl noch nicht in Ordnung? Bitte um Eure Hilfe in Anfängersprache. Danke. Karin Logfile of HijackThis v1.99.1 Scan saved at 14:01:41, on 04.09.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\TGTSoft\StyleXP\StyleXPService.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\FRITZ!DSL\IGDCTRL.EXE C:\Programme\avmwlanstick\WlanNetService.exe c:\programme\mcafee.com\agent\mcdetect.exe c:\PROGRA~1\mcafee.com\vso\mcshield.exe c:\PROGRA~1\mcafee.com\agent\mctskshd.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE C:\Programme\Winamp3\winampa.exe C:\Programme\Ulead Systems\Ulead Photo Explorer 8.0\Monitor.exe C:\Programme\ScanSoft\PaperPort\pptd40nt.exe C:\Programme\D-Link\AirPlus G\AirGCFG.exe C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe C:\Programme\McAfee.com\VSO\mcvsshld.exe C:\PROGRA~1\mcafee.com\agent\mcagent.exe C:\PROGRA~1\mcafee.com\vso\mcvsescn.exe C:\Programme\McAfee.com\VSO\oasclnt.exe C:\Programme\avmwlanstick\wlangui.exe C:\Programme\TGTSoft\StyleXP\StyleXP.exe C:\Programme\Netscape\Netscp.exe C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\Hardcopy\hardcopy.exe c:\progra~1\mcafee.com\vso\mcvsftsn.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\Admin\LOKALE~1\Temp\Rar$EX01.568\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp3\winampa.exe" O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [PE2CKFNT SE] C:\Programme\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe O4 - HKLM\..\Run: [Ulead Memory Card Detector] C:\Programme\Ulead Systems\Ulead Photo Explorer 8.0\Monitor.exe O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe O4 - HKLM\..\Run: [D-Link AirPlus G] C:\Programme\D-Link\AirPlus G\AirGCFG.exe O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe O4 - HKLM\..\Run: [VSOCheckTask] "C:\PROGRA~1\McAfee.com\VSO\mcmnhdlr.exe" /checktask O4 - HKLM\..\Run: [VirusScan Online] C:\Programme\McAfee.com\VSO\mcvsshld.exe O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\mcupdate.exe O4 - HKLM\..\Run: [OASClnt] C:\Programme\McAfee.com\VSO\oasclnt.exe O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe O4 - HKCU\..\Run: [Steam] "c:\spiele\action\half-life an sackratte\cstrike\steam.exe" -silent O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide O4 - HKCU\..\Run: [Mozilla Quick Launch] "c:\Programme\Netscape\Netscp.exe" -turbo O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - Startup: Hardcopy.LNK = C:\Programme\Hardcopy\hardcopy.exe O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {02BED220-FBC7-4392-93A2-3A50B056F78E} - http://down.plaxo.com/down/release/instub.cab O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/DE/install.cab O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-12.cab O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcafee.com/molbin/shared/mcinsctl/de/4,0,0,90/mcinsctl.cab O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) - http://download.mcafee.com/molbin/shared/mcgdmgr/de/1,0,0,23/mcgdmgr.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{A2B7D9FF-70ED-419F-B45D-D1E207A39F50}: NameServer = 192.168.178.1 O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc - c:\programme\mcafee.com\agent\mcdetect.exe O23 - Service: McAfee.com McShield (McShield) - McAfee Inc. - c:\PROGRA~1\mcafee.com\vso\mcshield.exe O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - c:\PROGRA~1\mcafee.com\agent\mctskshd.exe O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe O23 - Service: NetOp Helper ver. 8.00 (2006047) (NetOp Host for NT Service) - Danware Data A/S - C:\Programme\Danware Data\NetOp Remote Control\HOST\NHOSTSVC.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe |
Hi Karin, prüf bitte Zitat:
Gruß |
Hallo, habe ich gemacht und auf send gedrückt. Wie sehe ich denn, wo ich stehe? Nach send ist nix passiert. |
Vermutlich hast du bei deinem Browser (Netscape?) JavaScript deaktiviert. Das mußt du aktivieren. Gruß |
War aktiviert! |
Ist zwar aktiviert aber wenn ich in Konsole schaue folgender Eintrag Fehler: http_request.responseText has no properties Quelldatei: http://www.virustotal.com/vt2.js Zeile: 157 Was nun? |
Hm, und mit Internet Explorer geht auch nicht? Wenn nicht, dann lade dir escan, gehe nach der Anleitung vor und poste das log der find.bat, nicht das gesmate mwavscan-log! Wo genau wurden die Trojaner eigentlich gefunden? Gruß edit Zitat:
2. edit Blockt dein McAfee Javascript? Prüfe bitte die Einstellungen. |
Kann ih genau nur von einem sagen: Dok/Einstellungen/ADmin/Te..... Datei hieß IHUZ9wzg |
Führe den scan im abgesicherten modus durch. Leider konnte ich nicht alle häkchen setzten, da manche wie z.Bsp. all local drivers hellgrau und nich anzuklicken waren. Nun habe ich mitten im scan folgende <nachricht : Spyware/Adware Detected!!!!! You will need to buy eScan or this tool in order to eleminate this Spyware/Adware from your system. Click on BUY THISPRODUKT button. Habe es einfach geschlossen nun kommt der Bericht Habe 16Critical Objekts und380 errors. |
im abgesicherten Modus komme ich ja nicht ins Internet umhier den Bericht einzustellen wasnun? Imnormalen Modus neu starten? |
Hast du bei McAfee geschaut, ob das script geblockt wird? Hast du alternativ versucht, mit dem IE Zitat:
Zu escan: Ja, starte normal und poste das log der find.bat! nicht das gesamte, ich weiß, ich wiederhole mich. Gruß |
Sorry bin etwas doof, habe nicht gesehen, dass es hier ein 2. Seite gibt. Also IE kann ich nicht starten. Welches ist den die find.bat? habe einmal den direkten Bericht gespeichert und einmal den View scan |
So, habe mal kurz Mcafee ausgeschaltet und bin nun an 65 Stelle bei virustotal, dauer ca.15. Min. werde dann diesesmal hier reinstellen. Soll ich den Berichtvon escan auch reinstellen? Sind 12 Seiten Danke Karin |
Sehr gut. Zitat Karin1961 Zitat:
Zitat:
Bitte benutze den Editieren-Button, wenn du kurzfristig Beiträge änderst/ergänzt. |
Klasse, bin zwar nich blond aber... jetzt habe ich auch bis zumEnde gelesen und weiß un was die dicken Zahlen bedeuten. Werde erst mal auf dieses Ergebnis warten, dann noch mal in den gesicherten Modus gehen und scannen und schauen ob Du recht hast und ich es wirklich auf die Reihe bekomme:headbang: |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 18:36 Uhr. |
Copyright ©2000-2025, Trojaner-Board