|
Trojaner!!! Bitte um Hilfe Hallo erst mal! Poste mal mein HiJackThis log. Habe mir wahrscheinlich einen Trojaner eingefangen.(Bend Poke exe) und schon rumexperimentiert. Der Sch.... lässt sich irgendwie nicht entf.Nach Neustart ist Eintrag immer wieder mit dabei. Im T-O-Browser öffnen sich laufend pop-ups (Party-Poker.com etc.) Habe auch schon in der Registry rausgelöscht,wahrscheinlich zuviel. Mein msconfig öffnet sich nicht mehr! regedit funzt aber noch.Ich hoffe es geht noch ohne "plattmachen" Vielen Dank Logfile of HijackThis v1.99.1 Scan saved at 12:00:02, on 01.02.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.5730.0011) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Windows Defender\MsMpEng.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Sygate\SPF\smc.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Alwil Software\Avast4\aswUpdSv.exe C:\Programme\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\fxssvc.exe C:\Programme\Alwil Software\Avast4\ashMaiSv.exe C:\Programme\Alwil Software\Avast4\ashWebSv.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\Explorer.EXE C:\Programme\Windows Defender\MSASCui.exe C:\WINDOWS\CNYHKey.exe C:\WINDOWS\Dit.exe C:\WINDOWS\system32\RunDll32.exe C:\WINDOWS\mHotkey.exe C:\Programme\Alwil Software\Avast4\ashDisp.exe C:\Programme\T-Online\DSL-Manager\TODslMgr.exe C:\Programme\OO Software\DriveLED\oodled.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\T-Online\DSL-Manager\TODslSvc.exe C:\Programme\Internet Explorer\IEXPLORE.EXE c:\progra~1\intern~1\iexplore.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\****\Eigene Dateien\Download-Programme\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = [url= R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = [url R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = [url] O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 c:\WINDOWS\system\cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [CHotkey] mHotkey.exe O4 - HKLM\..\Run: [avast!] "C:\Programme\Alwil Software\Avast4\ashDisp.exe" O4 - HKLM\..\Run: [T-Online DSL-Manager] "C:\Programme\T-Online\DSL-Manager\TODslMgr.exe" O4 - HKCU\..\Run: [DriveLED] C:\Programme\OO Software\DriveLED\oodled.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Army shim] C:\DOKUME~1\FAM~1.***\ANWEND~1\1COPYB~1\BendPoke.exe O8 - Extra context menu item: &eBay Search - res://C:\Programme\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll O11 - Options group: [INTERNATIONAL] International* O14 - IERESET.INF: START_PAGE_URL=http://w*w.marktkauf.de/ O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing) O23 - Service: Boonty Games - BOONTY - C:\Programme\Gemeinsame Dateien\BOONTY Shared\Service\Boonty.exe O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe O23 - Service: MWAgent - Unknown owner - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE (file missing) O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Sygate Personal Firewall Platinum (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe O23 - Service: T-Online DSL-Manager (TODslService) - T-Systems International GmbH - C:\Programme\T-Online\DSL-Manager\TODslSvc.exe O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Unknown owner - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe (file missing) O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe |
Hallo Heiko65, lass bitte einmal folgende Dateien von VirusTotal scannen: C:\WINDOWS\system32\fxssvc.exe C:\WINDOWS\Dit.exe Folgender Eintrag sieht ebenfalls komisch aus, jedoch gehört dieser wohl zu einem Treiber, den die Aldi Rechner vorinstalliert haben: O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe Nette Grüße David |
Hallo David! Habe ich beide scannen lassen,no virus found! Trotzdem danke für den Tip! Habe von einem freund noch einen Tip befolgt und "a-squared Free" downloaded. Hat folgendes gefunden: C:\WINDOWS\system32\fonts gefunden: Trace.Directory.IamBigBrother C:\WINDOWS\icon_TMP\Process.exe gefunden: Riskware.RiskTool.Win32.Processor.20 C:\WINDOWS\sporder.dll gefunden: Trojan-Downloader.Win32.Agent.avq C:\WINDOWS\system_backup\Process.exe gefunden: Riskware.RiskTool.Win32.Processor.20 Hab ich in Quarantäne,hat aber trotzdem nichts geholfen! Wahrscheinlich war das nicht das einzige.Ich vermute es ist der Eintrag.: O4 - HKCU\..\Run: [Army shim] C:\DOKUME~1\FAM~1.KUT\ANWEND~1\1COPYB~1\BendPoke.exe In der Logfileauswertung von: HijackThis Logfileauswertung zeigt es mir immer den Eintrag an.Er lässt sich zwar entfernen,trägt sich aber selbstständig wieder in den Autostart ein. Kurios ist auch der IE-Eintrag,welcher mir auch in der Auswertung angezeigt wird aber nur der in Kleinschrift.Der Prozess läuft zweimal,der zweite Eintrag in Großschrift.Obwohl IE nicht offen ist! c:\progra~1\intern~1\iexplore.exe Trotzdem nochmal DANKE!!! MfG Heiko |
Hallo Heiko65, wir könnten noch folgendes probieren: Deaktivier die Systemwiederherstellung in deinem Windows und starte in den abgesicherten Modus. Dort versuchst du mit HiJackThis den Eintrag O4 - HKCU\..\Run: [Army shim] C:\DOKUME~1\FAM~1.KUT\ANWEND~1\1COPYB~1\BendPoke.e xe zu fixen und säuberst mit dem Programm ClearProg dein System. Danach startest du dein Windows in den normalen Modus und lässt mit AVZ Antiviral Toolkit dein System scannen. Nette Grüße David |
Hi, das Bendpoke.exe ist wahrscheinlich adware. Hier kannst du es dir anschauen und per Tool entfernen lassen. Das mit dem iexplorer passt schon so. mfg Cleriker |
:( mmhhh... kann es sein, dass es der Swizzor ist? Wenn ich mir den 04er Eintrag angucke... ...und deine Erscheinungen... Wenn ja, musst du diese Anleitung abarbeiten, um wieder klar zu sehen. Zuvor solltest du alle Kommandos zurücknehmen und auf eine Expertenbestätigung warten. mfg Cleriker |
Hallo Jungs! Vielen Dank für Eure Hilfe! Super-Ad-Blocker hat das Problem glaub ich eliminiert. Hat einen Eintrag "ArmyShim" und drei Einträge "Bend Poke exe" gefunden und entfernt.Erstellt aber leider keine log oder ich finde sie nicht.Würde sie sonst gerne posten.Weiß nicht mal genau wo der Dreck fest hing.Habe zu schnell auf weiter gedrückt und rebootet.Hauptsache der Shit ist weg.ToiToiToi. Autostarteintrag war noch vorhanden ohne Häkchen.Habe ich in der Reg entfernt. Also nochmals DANKE für die Super Hilfe. auf ein Neues MfG HEIKO PS:Melde mich wenn "ER" sich wider Erwarten zurückmeldet! Schönen Abend für alle:-) |
Hallo Cleriker! Hatte noch was vergessen zu schreiben. Und zwar habe ich jetzt nur noch einen laufenden Prozess iexplore.exe und auch nur dann wenn ich den IE offen habe.Wenn ich den Browser schließe ist der Prozess auch beendet.Nutze eh fast nur Firefox. Also Ciao!!! |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 11:15 Uhr. |
Copyright ©2000-2025, Trojaner-Board