|
Trojaner - HiJackThis Log Hi, Seit Tagen hat Antivir einige Trojaner gefunden C:\Dokumente und Einstellungen\..\Lokale Einstellung\yepkhtjm.dll Trojanische Pferd TR/BHO.G.41 Ich habe löschen ausgewählt und kommt noch eine Meldung C:\Dokumente und Einstellungen\..\Lokale Einstellung\cfnbaquem.dll Trojanische Pferd TR/Spy.VBStat.B.1 und kommt noch eine C:\Dokumente und Einstellungen\..\Lokale Einstellung\efdqcsgw.dll Trojanische Pferd TR/Vundo.Gen und dann diese Seite automatisch geöffnet. http://www.amaena.com/securityworm60/index.php?ax=2&ex=2&mpt=1179819933&aid =ffnm_ik_wavff_kw2&lid=antivir%3E&affid=ffnm_67451_B8E91C1203AD11DCBD000030 48895BFC_2c1e8b98+B9CBE32B247A44868E8DD575331DD04A Ich habe AdAwareSE und SpyBotSD drauf und gescannt. Das hilft nicht so viel. Hier ist mein Logdatei. Logfile of HijackThis v1.99.1 Scan saved at 11:09:55, on 22.05.2007 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\PHP\xampp\apache\bin\apache.exe C:\WINNT\System32\svchost.exe C:\PHP\xampp\mysql\bin\mysqld-nt.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\svchost.exe C:\PHP\xampp\apache\bin\apache.exe C:\WINNT\Explorer.EXE C:\WINNT\system32\VTTimer.exe C:\WINNT\SOUNDMAN.EXE C:\Programme\Java\jre1.6.0_01\bin\jusched.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINNT\system32\dla\tfswctrl.exe C:\WINNT\system32\internat.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Mozilla Firefox\firefox.exe D:\Install\Viren\1_99_1.exe R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {365D89C3-6C3C-4074-9CA4-F84C13299559} - C:\WINNT\system32\mllmj.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O2 - BHO: (no name) - {97A8B0F7-AD05-4AA4-B475-7EFA330F6AC1} - C:\WINNT\system32\efcdcab.dll O2 - BHO: (no name) - {D5EACEFE-EF9E-4E0D-87BC-C267582CE9EB} - (no file) O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [VTTimer] VTTimer.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [dla] C:\WINNT\system32\dla\tfswctrl.exe O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup O4 - HKLM\..\Run: [WA6PU_Check] "C:\Programme\Gemeinsame Dateien\DriveCleaner Free\udcwap.exe" O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1173342756671 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = isn.local O17 - HKLM\System\CCS\Services\Tcpip\..\{3D92DB0A-F0BE-4E25-858B-C373E389904A}: NameServer = 192.168.0.111 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = isn.local O17 - HKLM\System\CS1\Services\Tcpip\..\{3D92DB0A-F0BE-4E25-858B-C373E389904A}: NameServer = 192.168.0.111 O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = isn.local O17 - HKLM\System\CS3\Services\Tcpip\..\{3D92DB0A-F0BE-4E25-858B-C373E389904A}: NameServer = 192.168.0.111 O17 - HKLM\System\CS4\Services\Tcpip\Parameters: Domain = isn.local O17 - HKLM\System\CS4\Services\Tcpip\..\{3D92DB0A-F0BE-4E25-858B-C373E389904A}: NameServer = 192.168.0.111 O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL O20 - Winlogon Notify: efcdcab - C:\WINNT\SYSTEM32\efcdcab.dll O20 - Winlogon Notify: mllmj - C:\WINNT\system32\mllmj.dll O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Apache2.2 - Unknown owner - C:\PHP\xampp\apache\bin\apache.exe" -k runservice (file missing) O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: GoogleDesktopManager - Google - C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe O23 - Service: mysql - Unknown owner - C:\PHP\xampp\mysql\bin\mysqld-nt.exe Danke, ULKA |
Halli hallo. Hier findest du VundoFix und eine Anleitung dazu. Arbeite sie bitte ab (AntiVir bitte vorher deaktivieren!) und melde dich danach mit einem frischen Hijackthis log, einer Problembeschreibung und einem eScan log (Anleitung in meiner Signatur). Gruß Undoreal |
@ulka Bitte bleibe schon bei einem Forum: AntiVir PersonalEdition Support Forum | Viren und andere Sicherheitsrisiken | Trojaner immer noch da! |
Hi, Zitat:
Hier die neue Log Datei, nachdem VundoFix Scan und System Neustart. Logfile of HijackThis v1.99.1 Scan saved at 11:36:17, on 22.05.2007 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\PHP\xampp\apache\bin\apache.exe C:\WINNT\System32\svchost.exe C:\PHP\xampp\mysql\bin\mysqld-nt.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\svchost.exe C:\PHP\xampp\apache\bin\apache.exe C:\WINNT\Explorer.EXE C:\WINNT\system32\VTTimer.exe C:\WINNT\SOUNDMAN.EXE C:\Programme\Java\jre1.6.0_01\bin\jusched.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINNT\system32\dla\tfswctrl.exe C:\WINNT\system32\internat.exe C:\Programme\Mozilla Firefox\firefox.exe D:\Install\Viren\1_99_1.exe R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O2 - BHO: (no name) - {97A8B0F7-AD05-4AA4-B475-7EFA330F6AC1} - C:\WINNT\system32\efcdcab.dll (file missing) O2 - BHO: (no name) - {D5EACEFE-EF9E-4E0D-87BC-C267582CE9EB} - (no file) O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [VTTimer] VTTimer.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [dla] C:\WINNT\system32\dla\tfswctrl.exe O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup O4 - HKLM\..\Run: [WA6PU_Check] "C:\Programme\Gemeinsame Dateien\DriveCleaner Free\udcwap.exe" O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1173342756671 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = isn.local O17 - HKLM\System\CCS\Services\Tcpip\..\{3D92DB0A-F0BE-4E25-858B-C373E389904A}: NameServer = 192.168.0.111 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = isn.local O17 - HKLM\System\CS1\Services\Tcpip\..\{3D92DB0A-F0BE-4E25-858B-C373E389904A}: NameServer = 192.168.0.111 O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = isn.local O17 - HKLM\System\CS3\Services\Tcpip\..\{3D92DB0A-F0BE-4E25-858B-C373E389904A}: NameServer = 192.168.0.111 O17 - HKLM\System\CS4\Services\Tcpip\Parameters: Domain = isn.local O17 - HKLM\System\CS4\Services\Tcpip\..\{3D92DB0A-F0BE-4E25-858B-C373E389904A}: NameServer = 192.168.0.111 O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Apache2.2 - Unknown owner - C:\PHP\xampp\apache\bin\apache.exe" -k runservice (file missing) O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: GoogleDesktopManager - Google - C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe O23 - Service: mysql - Unknown owner - C:\PHP\xampp\mysql\bin\mysqld-nt.exe Wie sieht es aus? ULKA |
Hast VundoFix was gefunden? log wäre cool.. Findet sich unter Start->Systemsteuerung->Software ein DriveCleaner? wenn ja -> deinstallieren. Erstelle bitte ein iClean log und poste es hier Dann führe noch den eScan aus wie ich unten beschrieen habe.!!!! mfg Undoreal |
eScan kann ich nicht runterladen, Hier ist iclean log 22.05.2007 14:52:57 Windows 2000 SP4, Kernel functions unavailable Processes --------- 152 - \SystemRoot\System32\smss.exe - \SystemRoot\System32\smss.exe 176 - \??\C:\WINNT\system32\csrss.exe - \??\C:\WINNT\system32\csrss.exe 196 - \??\C:\WINNT\system32\winlogon.exe - \??\C:\WINNT\system32\winlogon.exe 224 - C:\WINNT\system32\services.exe - Anwendung für Dienste und Controller 236 - C:\WINNT\system32\lsass.exe - LSA-Exe und Server-DLL 432 - C:\WINNT\system32\svchost.exe - Generic Host Process for Win32 Services 472 - C:\WINNT\system32\spoolsv.exe - Spooler SubSystem App 532 - C:\Programme\AntiVir PersonalEdition Classic\sched.exe - Antivirus Scheduler 544 - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe - Antivirus On-Access Service 556 - C:\PHP\xampp\apache\bin\apache.exe - Apache HTTP Server 596 - C:\WINNT\system32\svchost.exe - Generic Host Process for Win32 Services 620 - C:\PHP\xampp\mysql\bin\mysqld-nt.exe - C:\PHP\xampp\mysql\bin\mysqld-nt.exe 728 - C:\WINNT\system32\regsvc.exe - Remote Registry Service 752 - C:\WINNT\system32\MSTask.exe - Taskplaner-Engine 892 - C:\WINNT\System32\WBEM\WinMgmt.exe - Windows-Verwaltungsinstrumentation 924 - C:\WINNT\system32\svchost.exe - Generic Host Process for Win32 Services 940 - C:\WINNT\system32\svchost.exe - Generic Host Process for Win32 Services 1048 - C:\PHP\xampp\apache\bin\apache.exe - Apache HTTP Server 1092 - C:\WINNT\Explorer.EXE - Windows Explorer 2276 - C:\WINNT\system32\VTTimer.exe - C:\WINNT\system32\VTTimer.exe 2288 - C:\WINNT\SOUNDMAN.EXE - Realtek Sound Manager 2312 - C:\Programme\Java\jre1.6.0_01\bin\jusched.exe - Java(TM) Platform SE binary (Signed) 2264 - C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe - Antivirus System Tray Tool 2320 - C:\WINNT\system32\dla\tfswctrl.exe - Direct Access Component 664 - C:\WINNT\system32\internat.exe - Sprachanzeigeprogramm 2220 - C:\Programme\Mozilla Firefox\firefox.exe - Firefox (Signed) 2528 - C:\Programme\Adobe\Photoshop 7.0\Photoshop.exe - Adobe Photoshop 2564 - C:\Programme\Bradbury\TopStyle3\TSLite3.exe - TopStyle Lite 1012 - YahooMessenger. - YahooMessenger. 952 - D:\Install\Viren\iclean.exe - Interactive Cleaner Services -------- C:\WINNT\system32\services.exe=Alerter c:\programme\antivir personaledition classic\sched.exe=AntiVirScheduler c:\programme\antivir personaledition classic\avguard.exe=AntiVirService c:\php\xampp\apache\bin\apache.exe=Apache2.2 C:\WINNT\system32\svchost.exe=BITS C:\WINNT\system32\services.exe=Browser C:\WINNT\system32\services.exe=Dhcp C:\WINNT\system32\services.exe=dmserver C:\WINNT\system32\services.exe=Dnscache C:\WINNT\system32\services.exe=Eventlog c:\winnt\system32\svchost.exe=EventSystem C:\WINNT\system32\services.exe=lanmanserver C:\WINNT\system32\services.exe=lanmanworkstation C:\WINNT\system32\services.exe=LmHosts C:\WINNT\system32\services.exe=Messenger c:\php\xampp\mysql\bin\mysqld-nt.exe=mysql C:\WINNT\system32\lsass.exe=Netlogon C:\WINNT\system32\svchost.exe=Netman C:\WINNT\system32\svchost.exe=NtmsSvc C:\WINNT\system32\services.exe=PlugPlay C:\WINNT\system32\lsass.exe=PolicyAgent C:\WINNT\system32\services.exe=ProtectedStorage C:\WINNT\system32\svchost.exe=RasMan C:\WINNT\system32\regsvc.exe=RemoteRegistry C:\WINNT\system32\svchost.exe=RpcSs C:\WINNT\system32\lsass.exe=SamSs C:\WINNT\system32\mstask.exe=Schedule C:\WINNT\system32\services.exe=seclogon C:\WINNT\system32\svchost.exe=SENS C:\WINNT\system32\spoolsv.exe=Spooler C:\WINNT\system32\svchost.exe=TapiSrv C:\WINNT\system32\services.exe=TrkWks C:\WINNT\system32\services.exe=W32Time C:\WINNT\system32\wbem\winmgmt.exe=WinMgmt C:\WINNT\system32\services.exe=Wmi C:\WINNT\system32\svchost.exe=wuauserv |
a) ist der iClean Report nicht vollständig. b) fehlt der eScan immer noch |
...mal einen trojaner oder sowas zu schicken um mich mal auf seinem pc umzugucken... [edit] beitrag editiert, user gesperrt und ihm für die weitere reise durch die virtuelle welt alles gute gewünscht... GUA [/edit] |
Gegenfrage @ Cory187: Wenn du schon glaubst Anfragen stellen zu sollen Zitat:
Beitrag gemeldet. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 03:11 Uhr. |
Copyright ©2000-2025, Trojaner-Board