Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Bitte um Überprüfung (https://www.trojaner-board.de/7927-bitte-um-uberpruefung.html)

twotimes 28.09.2004 12:13

Bitte um Überprüfung
 
Hallo
Auch ich habe/hatte Problem mit Trojaner.
Wäre nett, wenn von den Profis mal jemand was dazu sagen könnte.
Habe den e-scan gemacht, bin mir aber nicht sicher ob jetzt alles ok ist.

Schon mal Vielen Dank im voraus


Logfile of HijackThis v1.98.2
Scan saved at 13:04:37, on 28.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\fxssvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\WINDOWS\Dit.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
C:\WINDOWS\DitExp.exe
C:\PROGRA~1\AIM\aim.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\AVPersonal\AVWIN.EXE
D:\Azureus\Azureus.exe
C:\Programme\Java\j2re1.4.2\bin\javaw.exe
C:\Dokumente und Einstellungen\Sören Strauch\Eigene Dateien\WinOnCD\hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de8.hpwis.com/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [PSDrvCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [EPSON Stylus C62 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C62 Series" /O6 "USB001" /M "Stylus C62"
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [AIM] C:\PROGRA~1\AIM\aim.exe -cnetwait.odl
O4 - HKCU\..\Run: [EPSON Stylus C62 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /A "C:\WINDOWS\System32\E_S4DE.tmp"
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - D:\Overnet\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - D:\Overnet\MESSEN~1\YPager.exe
O14 - IERESET.INF: START_PAGE_URL=http://de8.hpwis.com
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-12.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1096044803125
O17 - HKLM\System\CCS\Services\Tcpip\..\{D6D4D402-86F2-4FBC-9A0C-0AE6C4821CD0}: NameServer = 217.237.149.161 217.237.151.225

Shadowdance 28.09.2004 18:33

Hallo twotimes,

das Logfile sieht sehr sauber aus. Weisst Du noch, welche Trojaner Du auf Deinem System hattest? So ja, gib uns bitte das Ergebnis des eScan bekannt, also nur die Namen der Viren, die auf Deinem System gefunden worden sind.

Fixe im abgesicherten Modus mit Hijack This folgende Einträge, wenn Du sie nicht kennst/brauchst (*):

(*) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de8.hpwis.com/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file)
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
(*) O14 - IERESET.INF: START_PAGE_URL=http://de8.hpwis.com


Tipps zum sicheren Surfen unter meiner Signatur: "TI Hijacker-Rubrik" ---> Vorbeugung u.a.m.

Shadowdance

*Christian* 28.09.2004 19:19

Dies nicht fixen:

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

twotimes 28.09.2004 19:47

Hallo
hatte TR/Dldr.IstBar.Pt drauf.
Wo find ich denn jetzt das Ergebnis des eScan ?

Cidre 28.09.2004 19:50

Suche die mwav.log und öffne diese, dann kannst du das Log durchforsten.

twotimes 28.09.2004 20:43

Nach langer Suche............

1: Tue Sep 28 10:48:09 2004 => ERROR!!! Invalid Entry system32\drivers\ALCXWDM.SYS in SYSTEM\CurrentControlSet\Services\ALCXWDM...

2: 10:48:11 2004 => ERROR!!! Invalid Entry System32\DRIVERS\CoachUsb.sys in SYSTEM\CurrentControlSet\Services\CoachUsb...

3: 10:48:16 2004 => ERROR!!! Invalid Entry system32\drivers\srvkp.sys in SYSTEM\CurrentControlSet\Services\SiSkp...

4: Lokale Einstellungen\Temporary Internet Files\Content.IE5\NJP7JD4K\0006_regular[1].cab infected by "TrojanDownloader.Win32.IstBar.gen" Virus. Action Taken: File Deleted.

5: Tue Sep 28 11:28:28 2004 => ERROR!!! ScanFile fails for C:\DOKUME~1\SRENST~1\NTUSER.DAT

6: Tue Sep 28 11:28:28 2004 => ERROR!!! ScanFile fails for C:\DOKUME~1\SRENST~1\NTUSER.DAT

7: Tue Sep 28 11:28:28 2004 => ERROR!!! ScanFile fails for C:\DOKUME~1\SRENST~1\NTUSER~1.LOG

8: Tue Sep 28 11:28:41 2004 => File C:\hp\bin\py152.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

9: Tue Sep 28 11:28:41 2004 => File C:\hp\bin\Terminator.exe tagged as not-a-virus:RiskWare.Tool.KillApp. No Action Taken.

10: Tue Sep 28 11:28:42 2004 => File C:\hp\bin\WIN32ALL-125.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

11: Tue Sep 28 11:49:23 2004 => File C:\System Volume Information\_restore{DBE2E5F2-299C-4E8D-AB21-C1ACF7CF84A1}\RP101\A0012942.exe infected by "Backdoor.Agobot.ts" Virus. Action Taken: File Renamed.


Wenn noch jemand Lust hat, würd ich gern erfahren was die Punkte (4,8,9,10,11) zu sagen haben.

Ein sich noch mal BEDANKENDER twotimes

*Christian* 29.09.2004 20:39

4 wurde gelöscht
8,9,10 wurde nichts veranlasst, da nicht schädlich
11 wurde umbenannt um den Backdoor unschädlich zu machen

.....


Alle Zeitangaben in WEZ +1. Es ist jetzt 06:43 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131