Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Hilfe Trojaner (https://www.trojaner-board.de/6040-hilfe-trojaner.html)

J_MCI 25.06.2004 20:59
HI!

Ich hab folgendes Problem! Mein Virenscanner findet alle paar Minuten einen Trojaner. (TROJ_AGENT.Z2 und
TROJ_WINSHOW.AB).

Weiterhin ist mein Internetexplorer verseucht! Er öffnet beim Starten immer die selbe Seite (irdendwas mit search ...).Also der fukntioniert gar nimmer richtig!

Dann ist mir noch aufgefallen das unter Systemsteuerung ...Software...folgende drei PRogramme sich nicht mehr löschen lassen:

"Home search assistenr" Shopping Wizard" und Search extender"

wenn mann die programme löschen will dann öffnet sich im explorer einse seite! aber löschen funktioniert trotzdem nicht!

was kann ich machen ? hab schon sämtliche scanner laufen lassen (escan, ad-aware, spybot, scanoffice)

die finden zwar viren aber ständig öffnen sich neue)

achja nochwas! wenn ich in der registry zb. shopping WIzard lösche dann sind die beim nächsten Neustart wieder drin!

was kann ich machen! THX im vorraus

Juli

mmk 25.06.2004 21:00
Hallo!

Dann erstell ein HijackThis-Logfile und poste es hier.

J_MCI 25.06.2004 21:25
Logfile of HijackThis v1.97.7
Scan saved at 22:25:02, on 25.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Trend Micro\OfficeScan Client\pccntmon.exe
C:\WINDOWS\winun.exe
C:\Programme\Netscape\Netscape\Netscp.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
F:\Hd C\Programme\Ahead\Nero\Nero\Misc\NeroSVC.exe
C:\Programme\Trend Micro\OfficeScan Client\Pop3Trap.exe
C:\Programme\Trend Micro\OfficeScan Client\ntrtscan.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Trend Micro\OfficeScan Client\tmlisten.exe
C:\Programme\Trend Micro\OfficeScan Client\ofcdog.exe
C:\Programme\Trend Micro\OfficeScan Client\pccntupd.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Messenger\msmsgs.exe
C:\Dokumente und Einstellungen\Julian\Eigene Dateien\Programme Download\Highjack#this\HijackThis.exe

O4 - HKLM\..\Run: [Nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Anvshell] anvshell.exe
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Programme\Trend Micro\OfficeScan Client\pccntmon.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [winun.exe] C:\WINDOWS\winun.exe
O4 - HKLM\..\Run: [KAVPersonal50] C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\Netscape\Netscape\Netscp.exe" -turbo
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {00134F72-5284-44F7-95A8-52A619F70751} (ObjWinNTCheck Class) - http://192.168.1.200/officescan/Clie...l/WinNTChk.cab
O16 - DPF: {08D75BB0-D2B5-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment SetupIniCtrl Class) - http://192.168.1.200/officescan/clie...l/setupini.cab
O16 - DPF: {08D75BC1-D2B5-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment SetupCtrl Class) - http://192.168.1.200/officescan/clientinstall/setup.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...irector/sw.cab
O16 - DPF: {5EFE8CB1-D095-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment ObjRemoveCtrl Class) - http://192.168.1.200/officescan/clie...RemoveCtrl.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{28CCB0D8-CFDD-4DDB-B7CD-57A6CAEF5918}: NameServer = 217.237.151.97 194.25.2.129
O17 - HKLM\System\CCS\Services\Tcpip\..\{4A7A903C-6A4F-447C-BE81-99690F3B0855}: NameServer = 192.168.1.33
O17 - HKLM\System\CS1\Services\Tcpip\..\{28CCB0D8-CFDD-4DDB-B7CD-57A6CAEF5918}: NameServer = 217.237.151.97 194.25.2.129

mmk 26.06.2004 02:50
C:\WINDOWS\winun.exe

Bitte hier prüfen:
http://www.kaspersky.com/de/scanforvirus

Ergebnis hier posten. Falls keine Infektion gefunden wird, Datei bitte an die Mailadressen in meiner Signatur mailen. Danke!


Mit HijackThis fixen:

O4 - HKLM\..\Run: [winun.exe] C:\WINDOWS\winun.exe

J_MCI 26.06.2004 04:28
hi!
vielen dank für die hilfe mein Problem hat sich gelöst!

ich habe noch in services.msc den "Network Security Service" deaktiviert und in der registry die einträge für "Search Extender","Home Search Assistent" und "Shopping Wizard" gelöscht!

Die Übeltäter waren "appgv.exe" und "winun.exe"

mfg

Juli


Alle Zeitangaben in WEZ +1. Es ist jetzt 23:54 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131