Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   HiJack log bitte anschauen, lags beim surfen (https://www.trojaner-board.de/9660-hijack-log-bitte-anschauen-lags-beim-surfen.html)

Elb 16.11.2004 12:21
HiJack log bitte anschauen, lags beim surfen
 
Hallo zusammen.

Folgendes Problem denke ich habe irgende ein Wurm weil ich unglaubliche lags beim SUrfen bzw onlinespielen habe :(

Hier mein LOG:

--------------------------------------------------------------------------

Logfile of HijackThis v1.98.2
Scan saved at 12:11:39, on 16.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system\svchost.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Opera\opera.exe
C:\Dokumente und Einstellungen\Elb\Desktop\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Windows Xp Service Pack 2] C:\WINDOWS\system\svchost.exe
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] C:\Valve\Steam\Steam.exe -silent
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\Office\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll


Gibt es sonst irgendwelche Tools mit denen man alles prüfen kann ausser Ad ware ?

thx fürs anschauen
gruß Elb

ZERO 16.11.2004 12:40
Hi Elb

Dieser Prozess müste eigentlich im System32 ordner laufen .
C:\WINDOWS\system\svchost.exe

Lad dir escan runter und scanne deinen pc im abgesicherten modus.
ftp://ftp.microworldsystems.com/download/tools/mwav.exe

die datei nach c:\bases entpacken und mit kavupd updaten

dann in den abgesicherten modus gehen und den scan mit mwavscan starten.

Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre)

Elb 16.11.2004 14:56
Hi Zero
also habe den scann gemacht denke habe ein Grund um besorgt zu sein :(

--------------------------------------------------------------------------

Tue Nov 16 14:14:44 2004 => File C:\WINDOWS\system\svchost.exe infected by "Trojan-Downloader.Win32.Small.aan" Virus. Action Taken: No Action Taken.

Tue Nov 16 14:14:58 2004 => File C:\WINDOWS\UpdateXp.exe infected by "Trojan-Spy.Win32.Getmail.f" Virus. Action Taken: No Action Taken.

Tue Nov 16 14:16:01 2004 => File C:\WINDOWS\system32\save.exe infected by "Trojan-Spy.Win32.Getmail.f" Virus. Action Taken: No Action Taken.

Tue Nov 16 14:16:36 2004 => File C:\DOKUME~1\Elb\LOKALE~1\Temp\UdpFloodV2.exe infected by "Trojan-Spy.Win32.Getmail.f" Virus. Action Taken: No Action Taken.

Tue Nov 16 14:16:36 2004 => File C:\DOKUME~1\Elb\LOKALE~1\Temp\VVT.exe infected by "Trojan-Downloader.Win32.Small.aan" Virus. Action Taken: No Action Taken.

Tue Nov 16 14:17:01 2004 => File C:\DOKUME~1\Elb\LOKALE~1\TEMPOR~1\Content.IE5\O7N2S7A7\prompt[1].htm infected by "Trojan-Downloader.JS.IstBar.b" Virus. Action Taken: No Action Taken.

Tue Nov 16 14:18:21 2004 => File C:\Dokumente und Einstellungen\Elb\Lokale Einstellungen\Temp\UdpFloodV2.exe infected by "Trojan-Spy.Win32.Getmail.f" Virus. Action Taken: No Action Taken.

Tue Nov 16 14:18:28 2004 => File C:\Dokumente und Einstellungen\Elb\Lokale Einstellungen\Temporary Internet Files\Content.IE5\O7N2S7A7\prompt[1].htm infected by "Trojan-Downloader.JS.IstBar.b" Virus. Action Taken: No Action Taken.

Tue Nov 16 14:36:57 2004 => File C:\WINDOWS\system\svchost.exe infected by "Trojan-Downloader.Win32.Small.aan" Virus. Action Taken: No Action Taken.

Tue Nov 16 14:38:42 2004 => File C:\WINDOWS\system32\save.exe infected by "Trojan-Spy.Win32.Getmail.f" Virus. Action Taken: No Action Taken.

Tue Nov 16 14:39:08 2004 => File C:\WINDOWS\UpdateXp.exe infected by "Trojan-Spy.Win32.Getmail.f" Virus. Action Taken: No Action Taken.

--------------------------------------------------------------------------

Hmm falls jemand das ganze log fiel beötig kann ich es schnell irgendwo uploaden


Könnte mir vielleicht jemand ein gratis firewall sagen die gut ?

Shadowdance 16.11.2004 15:32
Hallo Elb,

es sieht so aus, als sei auf Deinem System ein sehr neuer Trojaner zu finden, den ich nirgends erklärt finde. Ich möchte aber wissen, was dieser Trojaner genau ist und was er bewirkt, bevor ich Dir dazu einen Rat geben kann.

Sende bitte diese Dateien:

C:\WINDOWS\UpdateXp.exe infected by "Trojan-Spy.Win32.Getmail.f" Virus.
C:\WINDOWS\system32\save.exe infected by "Trojan-Spy.Win32.Getmail.f" Virus.
C:\DOKUME~1\Elb\LOKALE~1\Temp\UdpFloodV2.exe infected by "Trojan-Spy.Win32.Getmail.f" Virus.

passwortgeschützt an detections@spybot.info und partytime-germany.ice@web.de zu Forschungszwecken, mit Hinweis auf diesen Thread und mit Hinweis auf diesen Virus "Trojan-Spy.Win32.Getmail.f".

Warte bitte das Ergebnis der Prüfung ab, das heisst, schau ab und an hier in diesen Thread.

Zu Firewalls ---> bitte lesen: Firewall - Rubrik

SD

Elb 16.11.2004 20:40
so mail ist weg mal schauen was passiert :D

*Christian* 16.11.2004 22:04
Bei partytime sind die Dateien gekommen.
Danke.

Lösche die gefundene Malware im abg. Modus.

Danach poste mal ein neues HijackThis-Log.

Elb 17.11.2004 01:44
hmm

@*Christian*

np immer gern für Leute die sich mit sowas befassen.


was eminst du mit Malaware löschen ?

Also im abg.Modus ist klar aber was soll ich da löschen und wie?

a.) Die 3 Dateien die Infieziert sind ganz normal rauslöschen

oder

b.) die Dateien mit esacn löschen was imho nicht geht weil es ja keine vollversion ist

bitte gib mir eine ein wenig exaktere beschreibung will, nichts kaputt machen bzw. habe ein widerherstellungspunkt gleich nach der win installation ohne treiber und programme aber kA ob das die trojaner auch verschwinden lässt.

gruß Elb

*Christian* 17.11.2004 01:48
Verfahre nach der Variante a) :D

Elb 17.11.2004 02:14
thx für klärung

und bitte schön


------------------------------------------------------------------------

Logfile of HijackThis v1.98.2
Scan saved at 02:13:39, on 17.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system\svchost.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Dokumente und Einstellungen\Elb\Desktop\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Windows Xp Service Pack 2] C:\WINDOWS\system\svchost.exe
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] C:\Valve\Steam\Steam.exe -silent
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\Office\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll

--------------------------------------------------------------------------
gruß Elb

Shadowdance 17.11.2004 13:07
Hallo Elb,

boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und fixe dann mit Hijack This (Häk'chen setzen und auf Fix Checked klicken):

O4 - HKLM\..\Run: [Windows Xp Service Pack 2] C:\WINDOWS\system\svchost.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

beende:
C:\WINDOWS\system\svchost.exe

lösche:
C:\WINDOWS\system\svchost.exe

boote in den normalen Modus.

die noch verbleibenden Malware-Einträge bitte von Hand löschen:

1.) --> "Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren" (Cidre)

2.) --> "Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und in die Windows Suche übertragen -> löschen!" (Cidre)

Einträge unter "not-a-virus:Tool.Win32.Reboot." brauchen nicht gelöscht zu werden.

Aktiviere die Systemwiederherstellung.

Erstelle ein neues Hijack This Logfile und poste es.

SD

Elb 17.11.2004 14:35
also mal thx :D

anweisungen würden ausgeführt :D

-------------------------------------------------------------------------


Logfile of HijackThis v1.98.2
Scan saved at 14:34:38, on 17.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\CTHELPER.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Teamspeak2\TeamSpeak.exe
C:\Dokumente und Einstellungen\Elb\Desktop\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] C:\Valve\Steam\Steam.exe -silent
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\Office\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll

--------------------------------------------------------------------------

hoffe nun passt alles :D

gruß Elb

Shadowdance 17.11.2004 18:05
Hallo Elb,

--w-O-w-- .. ein lupenrein sauberes Logfile .. gratuliere!
Sorg dafür, dass es so bleibt.

Denk über einen Browserwechsel nach und lies Dich hier ein:

- Vorbeugende Maßnahmen
- Entfernungs-Tools
- IE sicher konfigurieren und Browser-Sicherheit
- Einschränktes Benutzerkonto: www.ntsvcfg.de.
- www.mathematik.uni-marburg.de

Viel Erfolg weiterhin!
SD

Elb 17.11.2004 18:34
he he es liegt sicher nicht am browser weil ich Opera 7.2 verwende immer neuestes updats!!!! :)


@ Shadowdance

thgx für die links das einzige was ich brauch ist ein gute kostenlose Firewall :D

gruß und big THX Elb

Shadowdance 17.11.2004 18:38
Hallo Elb,

zu Firewalls bitte lesen: --> Firewall - Rubrik - ausserdem ist bei XP eine Firewall integriert. Nutze diese.

SD


Alle Zeitangaben in WEZ +1. Es ist jetzt 16:15 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131