![]() |
Bitte um Überprüfung Hallo Auch ich habe/hatte Problem mit Trojaner. Wäre nett, wenn von den Profis mal jemand was dazu sagen könnte. Habe den e-scan gemacht, bin mir aber nicht sicher ob jetzt alles ok ist. Schon mal Vielen Dank im voraus Logfile of HijackThis v1.98.2 Scan saved at 13:04:37, on 28.09.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\fxssvc.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\RunDll32.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE C:\WINDOWS\Dit.exe C:\Programme\AVPersonal\AVGNT.EXE C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE C:\WINDOWS\DitExp.exe C:\PROGRA~1\AIM\aim.exe C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE C:\Programme\Internet Explorer\iexplore.exe C:\Programme\AVPersonal\AVWIN.EXE D:\Azureus\Azureus.exe C:\Programme\Java\j2re1.4.2\bin\javaw.exe C:\Dokumente und Einstellungen\Sören Strauch\Eigene Dateien\WinOnCD\hijack\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de8.hpwis.com/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/ O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file) O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe O4 - HKLM\..\Run: [PSDrvCheck] C:\WINDOWS\System32\PSDrvCheck.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [EPSON Stylus C62 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C62 Series" /O6 "USB001" /M "Stylus C62" O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [AIM] C:\PROGRA~1\AIM\aim.exe -cnetwait.odl O4 - HKCU\..\Run: [EPSON Stylus C62 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /A "C:\WINDOWS\System32\E_S4DE.tmp" O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - D:\Overnet\MESSEN~1\YPager.exe O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - D:\Overnet\MESSEN~1\YPager.exe O14 - IERESET.INF: START_PAGE_URL=http://de8.hpwis.com O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-12.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1096044803125 O17 - HKLM\System\CCS\Services\Tcpip\..\{D6D4D402-86F2-4FBC-9A0C-0AE6C4821CD0}: NameServer = 217.237.149.161 217.237.151.225 |
Hallo twotimes, das Logfile sieht sehr sauber aus. Weisst Du noch, welche Trojaner Du auf Deinem System hattest? So ja, gib uns bitte das Ergebnis des eScan bekannt, also nur die Namen der Viren, die auf Deinem System gefunden worden sind. Fixe im abgesicherten Modus mit Hijack This folgende Einträge, wenn Du sie nicht kennst/brauchst (*): (*) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de8.hpwis.com/ O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file) O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file) O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (*) O14 - IERESET.INF: START_PAGE_URL=http://de8.hpwis.com Tipps zum sicheren Surfen unter meiner Signatur: "TI Hijacker-Rubrik" ---> Vorbeugung u.a.m. Shadowdance |
Dies nicht fixen: O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll |
Hallo hatte TR/Dldr.IstBar.Pt drauf. Wo find ich denn jetzt das Ergebnis des eScan ? |
Suche die mwav.log und öffne diese, dann kannst du das Log durchforsten. |
Nach langer Suche............ 1: Tue Sep 28 10:48:09 2004 => ERROR!!! Invalid Entry system32\drivers\ALCXWDM.SYS in SYSTEM\CurrentControlSet\Services\ALCXWDM... 2: 10:48:11 2004 => ERROR!!! Invalid Entry System32\DRIVERS\CoachUsb.sys in SYSTEM\CurrentControlSet\Services\CoachUsb... 3: 10:48:16 2004 => ERROR!!! Invalid Entry system32\drivers\srvkp.sys in SYSTEM\CurrentControlSet\Services\SiSkp... 4: Lokale Einstellungen\Temporary Internet Files\Content.IE5\NJP7JD4K\0006_regular[1].cab infected by "TrojanDownloader.Win32.IstBar.gen" Virus. Action Taken: File Deleted. 5: Tue Sep 28 11:28:28 2004 => ERROR!!! ScanFile fails for C:\DOKUME~1\SRENST~1\NTUSER.DAT 6: Tue Sep 28 11:28:28 2004 => ERROR!!! ScanFile fails for C:\DOKUME~1\SRENST~1\NTUSER.DAT 7: Tue Sep 28 11:28:28 2004 => ERROR!!! ScanFile fails for C:\DOKUME~1\SRENST~1\NTUSER~1.LOG 8: Tue Sep 28 11:28:41 2004 => File C:\hp\bin\py152.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. 9: Tue Sep 28 11:28:41 2004 => File C:\hp\bin\Terminator.exe tagged as not-a-virus:RiskWare.Tool.KillApp. No Action Taken. 10: Tue Sep 28 11:28:42 2004 => File C:\hp\bin\WIN32ALL-125.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. 11: Tue Sep 28 11:49:23 2004 => File C:\System Volume Information\_restore{DBE2E5F2-299C-4E8D-AB21-C1ACF7CF84A1}\RP101\A0012942.exe infected by "Backdoor.Agobot.ts" Virus. Action Taken: File Renamed. Wenn noch jemand Lust hat, würd ich gern erfahren was die Punkte (4,8,9,10,11) zu sagen haben. Ein sich noch mal BEDANKENDER twotimes |
4 wurde gelöscht 8,9,10 wurde nichts veranlasst, da nicht schädlich 11 wurde umbenannt um den Backdoor unschädlich zu machen ..... |
Alle Zeitangaben in WEZ +1. Es ist jetzt 06:43 Uhr. |
Copyright ©2000-2025, Trojaner-Board