Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Mein Logfile Hijack This (https://www.trojaner-board.de/17283-logfile-hijack-this.html)

Billy15 01.05.2005 16:48
Mein Logfile Hijack This
 
Hallo, hatte heute Vormittag nachfolgenden Logfile gepostet. Wurde hingewiesen, ihn hier auch noch reinzustellen. Problem: Trojan.autoit.E. Hier auch noch mein Text aus dem anderen Posting:

"Ich habe mir im Dezember 2004 einen neuen Rechner gekauft und hatte darauf als Anriviren-Software BitDefender Vers. 7 mit eingebauter firewall installiert. BitDefender fand vorgestern in der Datei rmcompt.exe (von eTrust Antivirus, das ich allerdings nicht einsetzte, war aber beim Kauf auf dem Rechner) den Trojaner Trojan.Autoit.E. BitDefender konnte eine Desinfizierung nicht durchführen und hat deshalb die infizierte Datei verschoben. Ich habe die Datei dann manuell gelöscht, BitDefender de-installiert und die neueste Version 6.30 von AntiVir installiert. Hier wurde kein Virus mehr gefunden. Dann habe ich als firewall zonealarm installiert. Bei der Installation wurde die Datei svchost.exe (Generic Host Process for Win32 services) schon als bekannt gemeldet. Ich habe hier den Zugriff gestattet.
Nun habe ich folgendes Problem:
Wenn ich mich mit firefox anmelde, dann kann die Startseite nicht mehr angezeigt werden. Auch google und yahoo kann ich z. B. nicht mehr aufrufen.
Die neueste Version von CWShredder und SpyBot fand keine Malware.
Was kann ich jetzt tun?"

Das war der Text von heute früh. Könnt Ihr mir helfen?
Wäre super dankbar!
Billy15



Logfile of HijackThis v1.99.1
Scan saved at 10:05:05, on 01.05.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\Microsoft Office\Office\FINDFAST.EXE
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\WINDOWS\system32\winlogon.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\PROGRA~1\WinZip\winzip32.exe
C:\DOKUME~1\Heiko\LOKALE~1\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.marktkauf.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - Global Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.marktkauf.de/
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1094832227000
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005\RpcSandraSrv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

The Saint 01.05.2005 17:09
Kennst du diese Datei C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.e xe wenn nicht lasse diese bei Jotti überprüfen und poste das Ergebniss

Weiters scanne mit Escan und poste und das Logfile.

Billy15 01.05.2005 17:30
@ The Saint: Kenne diese Datei nicht! Werde sie überprüfen und ggf. an "Jotti" übermitteln. Ergebnis gebe ich bekannt!
Danke!

Billy15 01.05.2005 21:06
So, nun haben wir einiges laufen lassen:
Jotti ergab zu genannter Datei: "Eventuell infiziert/Malware (Es ist verdächtig, dass die Sandbox-Emulation lange dauerte und/oder die Datei gepackt war. Normalerweise sind Programme nicht gepackt und zwingen die Sandbox nicht zu einer langwierigen Emulation. Beachten Sie, dass kein Scanner eine Warnung gegeben hat, das heißt die Datei kann sehr wohl harmlos sein. Wir raten allerdings zur Vorsicht."

Hier das Ergebnis des e-scans:
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sun May 01 19:33:40 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Sun May 01 21:31:31 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sun May 01 21:18:17 2005 => File D:\download\MSOffice97 Neue Rechtschreibung\spdeu9x.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sun May 01 21:31:31 2005 => Total Virus(es) Found: 1
Sun May 01 21:31:31 2005 => Total Errors: 15
Sun May 01 21:31:31 2005 => Time Elapsed: 02:09:51
Sun May 01 21:31:31 2005 => Total Objects Scanned: 49947
Sun May 01 19:20:25 2005 => Virus Database Date: 2005/05/01
Sun May 01 21:31:31 2005 => Virus Database Date: 2005/05/01
Sun May 01 21:49:06 2005 => Virus Database Date: 2005/05/01
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~

Die neue Rechtschreibung habe ich von der Microsoft Seite heruntergeladen.
Was rät man mir nun? Danke und erstmal gute Nacht.
Billy15


Alle Zeitangaben in WEZ +1. Es ist jetzt 23:22 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27