Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   auch ich bin genervt!!!! (https://www.trojaner-board.de/5985-genervt.html)

sebbi 29.06.2004 17:58

Hallo!
Bin kein Profi, was Internetsecurity angeht, und deswegen poste ich hier. Habe schon versucht, über google eine Lösung für mein Problem ausfindig zu machen - ohne Erfolg.
Immerhin habe ich mir hijackthis heruntergeladen und diese Seite gefunden ;)
Hier ist mein Logfile. Hoffe, ihr könnt mir sagen, was raus muss.
Irgendwie ist der IE saulangsam und bei google kommen seltsame Ergebnisse. Das ganze hängt wohl irgendwie mit "DOS exploit" zusammen. Wenn ich das aber mit Spybot wegmache, ist es beim nächsten Systemstart wieder da!

Logfile of HijackThis v1.97.7
Scan saved at 18:58:23, on 29.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Logitech\iTouch\iTouch.exe
C:\WINDOWS\Dit.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\SCVHOST.EXE
C:\WINDOWS\System32\fgecxa.exe
C:\Programme\DSB\DSB.exe
C:\WINDOWS\DitExp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\PSN2Lite\Psn2Lite.exe
C:\WINDOWS\System32\devldr32.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\PROGRA~1\PSN2Lite\PSNGive.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\gearsec.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Sebastian Pitschner\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.waz.de/
O2 - BHO: (no name) - {000020DD-C72E-4113-AF77-DD56626C6C42} - C:\WINDOWS\twaintec.dll
O2 - BHO: (no name) - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\Programme\DAP\DAPBHO.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {62160EEF-9D84-4C19-B7B8-6AC2526CD726} - C:\WINDOWS\System32\iiamune.dll
O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} - C:\WINDOWS\2_0_1browserhelper2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [ElbyCheckElbyCDFL] C:\Programme\CloneCD\ElbyCheck.exe /L ElbyCDFL
O4 - HKLM\..\Run: [MSStartOptimizer] C:\WINDOWS\System32\SCVHOST.EXE
O4 - HKLM\..\Run: [RegCompres] C:\WINDOWS\System32\REGCPM32.EXE
O4 - HKLM\..\Run: [zoaqxsvapgltl] C:\WINDOWS\System32\fgecxa.exe
O4 - HKLM\..\Run: [Windows SA] C:\Program Files\WindowsSA\omniscient.exe
O4 - HKLM\..\Run: [DSB] C:\Programme\DSB\DSB.exe
O4 - HKLM\..\Run: [alchem] C:\WINDOWS\alchem.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Wallpaper4U] C:\PROGRA~1\WALLPA~1\WALLPA~1.EXE -w
O4 - HKCU\..\Run: [C:\WINDOWS\System32\ixefuoo.dll] C:\WINDOWS\System32\ixefuoo.dll /c del ÉÂ >nul
O4 - Startup: Post-it® Software Notes Lite.lnk = C:\Programme\PSN2Lite\Psn2Lite.exe
O4 - Global Startup: Post-it® Software Notes Lite.lnk = C:\Programme\PSN2Lite\Psn2Lite.exe
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: =>&Deutsch - http:\\wordreference.com\de\j\iede99.htm
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O9 - Extra button: Run DAP (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...irector/sw.cab
O16 - DPF: {1C955F3B-5B32-4393-A05D-24B4970CD2A1} - http://stream10k.redhotnetworks.com/cabs/videox.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/downlo...22/wmv9VCM.CAB
O16 - DPF: {597C45C2-2D39-11D5-8D53-0050048383FE} (OPUCatalog Class) - http://office.microsoft.com/productu...ntent/opuc.cab
O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - http://216.249.24.142/code/PWActiveXImgCtl.CAB
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...727.2205092593
O16 - DPF: {A4639D2F-774E-11D3-A490-00C04F6843FB} - http://download.microsoft.com/downlo...-US/msorun.cab
O16 - DPF: {AD08A333-609E-11D3-950C-008098601567} - http://wordreference.com/Install/Eng...o%20German.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/get...sh/swflash.cab
O16 - DPF: {f760cb9e-c60f-4a89-890e-fae8b849493e} -

Who Cares 29.06.2004 18:29

</font><blockquote>Zitat:</font><hr />Original erstellt von sebbi:


[X] O2 - BHO: (no name) - {000020DD-C72E-4113-AF77-DD56626C6C42} - C:\WINDOWS\twaintec.dll
-TwainTech adware (TWAINTEC.DLL)

[X] O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} - C:\WINDOWS\2_0_1browserhelper2.dll
-BlazeFind hijacker variant (2_0_1BROWSERHELPER2.DLL)

[X] O4 - HKLM\..\Run: [RegCompres] C:\WINDOWS\System32\REGCPM32.EXE
-RegCompres (REGCPM32.EXE)
[X] O4 - HKLM\..\Run: [RegCompres] C:\WINDOWS\System32\REGCPM32.EXE
-RegCompres (REGCPM32.EXE)

[X] O4 - HKLM\..\Run: [alchem] C:\WINDOWS\alchem.exe
-Alchem (ALCHEM.EXE)

[X] - [MSStartOptimizer] Iexpres.exe
[X] - [MSStartOptimizer] WINUPD.EXE

[X] O16 - DPF: {1C955F3B-5B32-4393-A05D-24B4970CD2A1} - http://stream10k.redhotnetworks.com/cabs/videox.cab
-Adult Content Dialer
[X] O16 - DPF: {f760cb9e-c60f-4a89-890e-fae8b849493e} -
-MagicAds Adware
</font>[/QUOTE]Hi,

1) Obiges ist definitiv böse.. anhaken udn fixen im Hiajckthis

2)
O2 - BHO: (no name) - {62160EEF-9D84-4C19-B7B8-6AC2526CD726} - C:\WINDOWS\System32\iiamune.dll
O4 - HKLM\..\Run: [zoaqxsvapgltl] C:\WINDOWS\System32\fgecxa.exe
O4 - HKLM\..\Run: [Windows SA] C:\Program Files\WindowsSA\omniscient.exe
O4 - HKLM\..\Run: [DSB] C:\Programme\DSB\DSB.exe

O4 - HKCU\..\Run: [C:\WINDOWS\System32\ixefuoo.dll] C:\WINDOWS\System32\ixefuoo.dll /c del ÉÂ &gt;nul

Kennst brauchst du da was von ?
- alles mit KAV prüfen (s.u.) und ggfs fixen
- dateien archivieren (zum einschicken an free-av ) & löschen
;)

und mal google/Forensuche nach
PEPER Trojan
machen

P.S.: SYSTEM absichern !!! Sonst kommen die immer wieder..

s. Forensuche, Hijacker-Forum und www.heise.de -&gt; security -&gt; Browsercheck/emailcheck

Radja 29.06.2004 18:44

antwort schon passiert

Frage kann ich mein post in so einem fall nicht komplett löschen?

Who Cares 29.06.2004 19:04

</font><blockquote>Zitat:</font><hr />Original erstellt von Radja:

Frage kann ich mein post in so einem fall nicht komplett löschen?
</font>[/QUOTE]könntest du, aber
a) vielleicht finden/lernen ja andere nochwas
b) ggfs hast du in 24 h wieder probleme, obwohl das Log nicht danach aussieht
c) war dein log nicht komplett. (am besten alles, was unter o16 steht, und nicht von MS ist bzw. du nicht kennst -&gt; raus..)
;)

Radja 29.06.2004 19:22

hehe missverständnis,

hatte auch gerade auf sebbi´s frage reagiert und wollte dann mein post wieder löschen!


Alle Zeitangaben in WEZ +1. Es ist jetzt 13:03 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131