|
mein hijackthis log hi im vorraus schonmal 1000 dank, dass ihr euch die arbeit macht mein (und die der vielen anderen^^) durchzuschauen! mein hauptproblem besteht darin, dass spybot bei mir immer den zlob.downloader findet und nicht löschen kann, weder im abgesichterten modus noch vor dem kompletten systemstart, aber seht selbst: Logfile of HijackThis v1.99.1 Scan saved at 22:09:58, on 19.11.2006 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\SYSTEM32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Sygate-SPF\Smc.exe C:\WINDOWS\SYSTEM32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Eset\nod32kui.exe C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe C:\WINDOWS\System32\CTSvcCDA.EXE C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe C:\Programme\Eset\nod32krn.exe C:\WINDOWS\System32\PGPserv.exe C:\WINDOWS\System32\tcpsvcs.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\MsPMSPSv.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Winamp_lite\winamp.exe C:\Programme\hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchURL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page_bak = prosearching.com R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file) O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [ATITool] "C:\Programme\ATITool\ATITool.exe" -s O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\SYGATE~1\Smc.exe -startgui O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Eset\nod32kui.exe" /WAITSERVICE O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: &NeoTrace It! - C:\PROGRA~1\NEOTRA~1\NTXcontext.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite5\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite5\ICQLite.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra button: NeoTrace It! - {9885224C-1217-4c5f-83C2-00002E6CEF2B} - C:\PROGRA~1\NEOTRA~1\NTXtoolbar.htm (HKCU) O10 - Unknown file in Winsock LSP: c:\windows\system32\pgplsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\pgplsp.dll O12 - Plugin for .png: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{C581579D-88E3-4B81-BBEF-5B460BCE730E}: NameServer = 192.168.2.1 O20 - AppInit_DLLs: wbsys.dll OCMAPIHK.DLL O20 - Winlogon Notify: WB - C:\Programme\AlienGUIse\fastload.dll O20 - Winlogon Notify: wineil32 - wineil32.dll (file missing) O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTSvcCDA.EXE O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programme\Eset\nod32krn.exe O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\System32\oodag.exe O23 - Service: PGPserv - PGP Corporation - C:\WINDOWS\System32\PGPserv.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing) O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate-SPF\Smc.exe O23 - Service: Srv32 - Unknown owner - C:\WINDOWS\system32\srv32.exe (file missing) O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol 120\StarWind\StarWindService.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\System32\UAService7.exe danke danke mfg smitfraud |
Da sind einige äußerst bedenkliche Einträge bei: Zitat:
Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Hier fehlt mindestens das SP2! Ich befürchte, das System ist nicht zu retten. Aber mach mal erst nen Check mit Blacklight und poste das Ergebnis. |
kam bisher ohne sp2 aus, aber kann wenns hilft gern nachrüsten. den ie benutz ich nie, bin firefox freund ;) blacklight werd ich gleich mal laden... danke schonmal |
Nein, ohne Upates kommst Du bestimmt nicht aus. :nixda: Meinst Du die sind aus Spaß da, weil die MS-Mitarbeiter nichts zu tun haben und deswegen aus Langeweile irgendwelche Updates releasen? :blabla: |
Zitat:
blacklight http://img462.imageshack.us/img462/6...board01iz4.jpg bis ich das sp2 hab dauerts noch 1,5 stunden... ( 384er kaff dsl :/ ) bekommt man die restlichen updates auch ohne automatisches update (ich denke mal ja, aber woher)/ andersherum: hat einer ne lieblings windows patches seite? ;) danke |
Okay, Blacklight zeigt schon mal nichts an. Lass mal die beiden erwähnten Dateien bei Jotti oder Virustotal auswerten. Poste das komplette Ergebnis, also auch die Infos über Dateigröße, md5 und sha1. wineil32.dll musst Du per Suchfunktion ausfindig machen, da hier der Pfad nicht gegeben ist. Zitat:
Update-Pakete bekommst Du z.B. bei WinBoard. :daumenhoc |
hm... kann die beiden dateien nicht finden. auch steht bei beiden im hijackthis log file missing... n tip? Zitat:
naja, werds nach dem update einfach mal einschalten *überredet* |
Zitat:
Zitat:
Im Übrigen sind diese Schüffeleien seitens MS m.W. nicht bewiesen worden, alles sind nur Behauptungen, die irgendwer mal gemacht hat. Ich empfehle Dir die automatischen Updates zu aktivieren, so verpasst Du keine wichtigen Patches. |
Zitat:
hab nochmal gesucht, alles sichbar war vorher auch schon eingestellt... http://img95.imageshack.us/img95/272...board02ef7.jpg bin da etwas ratlos... wie kann hijackthis die überhaupt finden,wenn sie nicht da sind... oder zeigt mir hjt nur den autostarteintrag an? danke |
Zitat:
Machen wir das anders: Folge dem eScan in meiner Sig und klapper das ab. |
gut, wird gemacht... danke für deine geduld :) |
schön gründlich das programm, feine sache! :) hat so einiges gefunden... #1 Mon Nov 20 01:54:11 2006 => File C:\WINDOWS\System32\cmd.ftp infected by "Trojan-Downloader.BAT.Ftp.r" Virus! #2 Mon Nov 20 01:54:18 2006 => Offending file found: C:\WINDOWS\System32\adservice.bat Mon Nov 20 01:54:18 2006 => System found infected with zlob Trojan-Downloader (adservice.bat)! #3 Mon Nov 20 01:54:52 2006 => Offending file found: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\instantcd+dvd\links\support.url Mon Nov 20 01:54:52 2006 => System found infected with winfixer/errorsafe Adware (support.url)! #4 Mon Nov 20 01:54:54 2006 => Offending file found: C:\WINDOWS\setup1.exe Mon Nov 20 01:54:54 2006 => System found infected with spyware.screenview Spyware/Adware (C:\WINDOWS\setup1.exe)! #5 Mon Nov 20 01:54:54 2006 => Offending file found: C:\WINDOWS\st6unst.exe Mon Nov 20 01:54:54 2006 => System found infected with spyware.screenview Spyware/Adware (C:\WINDOWS\st6unst.exe)! #6 Mon Nov 20 01:54:54 2006 => Offending file found: C:\WINDOWS\System32\cmd.ftp Mon Nov 20 01:54:54 2006 => System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (C:\WINDOWS\System32\cmd.ftp)! #7 Mon Nov 20 02:38:54 2006 => File C:\Dokumente und Einstellungen\***\Eigene Dateien\intcodec-v6.180.exe infected by "Trojan-Downloader.Win32.Zlob.ain" Virus! #8 Mon Nov 20 02:38:55 2006 => File C:\Dokumente und Einstellungen\Volker\Eigene Dateien\intcodec-v6.450.exe infected by "Trojan-Downloader.Win32.Zlob.aii" Virus! #9 Mon Nov 20 04:19:41 2006 => File C:\WINDOWS\system32\cmd.ftp infected by "Trojan-Downloader.BAT.Ftp.r" Virus! soll ich dateien nun wie du es in deinem (übrigens tollen) escan tutorial beschreibst mit killbox löschen? und dann? oder hätte ich sie schon im abgesicherten löschen sollen? sp2 hab ich nun auch, soll ichs gleich oder danach aufspielen(ich tippe mal auf sofort ;] ) thx |
hmm... dank deinem guten link komme ich zur erkenntnis, dass ich meinen rechner recht bald formatieren sollte :) nur wie kann ich meine wichtigen daten sichern, ohne auch die sicherung zu kompromittieren? |
Sichere nur wichtige Datendateien, keine ausführbaren. Die solltest Du gefahrlos in das neu aufgesetzte System einbinden können. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 19:24 Uhr. |
Copyright ©2000-2025, Trojaner-Board