Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   ich brauche eure hilfe (https://www.trojaner-board.de/8659-brauche-hilfe.html)

geopard 21.10.2004 10:40
ich brauche eure hilfe
 
hi,
mein system braucht mal eure hilfe,
nach ne gewissen zeit wird mein w2k system nicht mehr kontollierbar.
der 3 finge affe geht noch, wenn ich dann auf user abmelden gehe
und mich wieder frisch einlogge gehts ne zeit lang wieder gut.

hardwarefehler schliesse ich mal vor weg aus

irgend wie ist das alles komisch und neu für mich,
ich schaffe es auch nicht gerade mich da einzuarbeiten.
(tierischer tinitus und kopfweh)

mfg geopard


Logfile of HijackThis v1.98.2
Scan saved at 17:41:37, on 16.10.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\MsPMSPSv.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\1&1 Programme\cFos\cFosDNT.exe
C:\WINNT\system32\RunDll32.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Program Files\PRIME95.EXE
C:\Program Files\EPOX\USDM\USDM.EXE
C:\WINNT\system32\mmc.exe
C:\WINNT\system32\taskmgr.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Leopard\LOKALE~1\Temp\Rar$EX00.408\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [cFosDNT] C:\Programme\1&1 Programme\cFos\cFosDNT.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O16 - DPF: {27FA5271-12D2-43E3-9424-365A43236EE7} (pixaco IE Drop-Upload) - http://www.pixaco.de/static/download/iedropupload.cab
O16 - DPF: {9EEC0801-BFF9-44CC-AC9B-FAF774FBC888} (KLICKBILDERBOX.PicUpload7) - http://www.klickbilderbox.de/spezial/upload/Actx7.CAB
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0B33F96D-E40C-429C-BF0A-9C84633197D4}: NameServer = 217.237.150.33 217.237.151.161

Shadowdance 21.10.2004 12:16
Hallo geopard,

überprüfe mit dem online-scan von Kaspersky:

C:\Program Files\PRIME95.EXE
C:\WINNT\system32\mmc.exe

Teile uns das Ergebnis der Überprüfung mit. Sende diese Datei an partytime-germany.ice@web.de, mit Verweis auf diesen Thread. (Forschungszweck)

=====@=====

Boote in den abgesicherten Modus, fixe dann mit Hijack This (Häk'chen setzen und fix checked klicken):

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

wenn Du diese Seite nicht kennst/brauchst, bitte fixen:

O16 - DPF: {27FA5271-12D2-43E3-9424-365A43236EE7} (pixaco IE Drop-Upload) - ht*p://www.pixaco.de/static/download/iedropupload.cab
O16 - DPF: {9EEC0801-BFF9-44CC-AC9B-FAF774FBC888} (KLICKBILDERBOX.PicUpload7) - ht*p://www.klickbilderbox.de/spezial/upload/Actx7.CAB

Boote in den normalen Modus.

=====@=====

Lade den eScan runter, erstelle einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus.

Beachte, dass der eScan ab Version 4.5.1 gefundene Malware nicht löscht. Die Malware muss von Hand gelöscht werden.

Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen."

Teile uns das Ergebnis aus der Überprüfung der Datei, das Ergebnis des eScans mit und poste ein neues Hijack This Logfile.

SD

geopard 21.10.2004 12:59
danke erstmal,

prime95 ist zu gross um zu checken
Zu überprüfende Datei: mmc.exe
mmc.exe Ok

Statistiken:
Bekannte Viren: 101916 Updated: 21-10-2004
Größe der Datei (Kb): 593 Viren-Korpus: 0
Datei: 1 Warnungen: 0
Archive: 0 Verdächtigt: 0


den escan lief die tage mal durch:

Einstellungen\Leopard\Desktop\down\BSINSTALLDE.exe infected by "not-a-virus:AdvWare.SaveNow.z" Virus. Action Taken: File Renamed.

C:\Programme\AVPersonal\INFECTED\*.*
Sat Oct 16 15:58:30 2004 => Scanning File

Sat Oct 16 16:06:36 2004 => File C:\Programme\VVSN\VVSN.exe infected by "not-a-virus:AdvWare.SaveNow.z" Virus. Action Taken: File Renamed.


ähm so ungefähr?

ah die letzten 6 einträge hab ich mal weg gefixt
aktuell:
Logfile of HijackThis v1.97.7
Scan saved at 14:03:56, on 21.10.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\system32\MsPMSPSv.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\1&1 Programme\cFos\cFosDNT.exe
C:\WINNT\system32\RunDll32.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINNT\system32\NOTEPAD.EXE
C:\Program Files\2\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [cFosDNT] C:\Programme\1&1 Programme\cFos\cFosDNT.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O16 - DPF: {27FA5271-12D2-43E3-9424-365A43236EE7} -
O16 - DPF: {9EEC0801-BFF9-44CC-AC9B-FAF774FBC888} -
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} -
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} -
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} -
O17 - HKLM\System\CCS\Services\Tcpip\..\{0B33F96D-E40C-429C-BF0A-9C84633197D4}: NameServer = 217.237.150.33 217.237.151.161


mfg

Shadowdance 22.10.2004 04:48
@ geopard

das letzte Hijack This Logfile, das Du gepostet hast, trägt die Version "Logfile of HijackThis v1.97.7". Erstelle bitte ein neues Hijack This Logfile in Version "Logfile of HijackThis v1.98.2" und poste es.

SD

geopard 22.10.2004 14:08
hi,
sorry und danke an euch.

ich habe das system neu aufgelegt.
jetzt funktioniert es wieder.

aber irgend wie hätte es mich doch interessiert was für ein ding sich da breit gemacht hat

mfgf


Alle Zeitangaben in WEZ +1. Es ist jetzt 13:21 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27