Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Ich hab die Pest an Board... (https://www.trojaner-board.de/24156-hab-pest-board.html)

vanceregnet 01.12.2005 21:25
Ich hab die Pest an Board...
 
Liste der Anhänge anzeigen (Anzahl: 1)
Hallo zusammen,

seit einiger Zeit hab ich auf meinem Desktop eine "Linkleiste" siehe Anhang. Dieser Mist läßt sich nicht deaktivieren. Ich hab schon AdAware drüberlaufenlassen - nichts.

Das Logfile von Hijackthis sieht so aus:

Logfile of HijackThis v1.99.1
Scan saved at 21:14:20, on 01.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
E:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
E:\Programme\AVPersonal\AVWUPSRV.EXE
E:\Programme\Norton Ghost 2003\GhostStartService.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\WINDOWS\System32\nvsvc32.exe
D:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
E:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\svchost.exe
D:\Hardware\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\System32\wdfmgr.exe
E:\Programme\Java\jre1.5.0_05\bin\jusched.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\GEMEIN~1\Logitech\WebColct\WebColct.exe
D:\Downloads\Hijach this\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVGCtrl] "E:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] E:\Programme\Java\jre1.5.0_05\bin\jusched.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O16 - DPF: {103DFAE7-50CC-41FC-9D57-1A4BCA0DFD87} (Upload Control) - h**ps://img.web.de/v/mail/mms/activex/mms_upload_1104.cab
O16 - DPF: {156BF4B7-AE3A-4365-BD88-95A75AF8F09D} (HPSDDX Class) - h**p://www.hp.com/cpso-support-new/SDD/hpsddObjSigned.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - h**p://software-dl.real.com/054b14920cb8b9d67e22/netzip/RdxIE601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1106164351187
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**ps://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - h**p://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{351EBC0F-768A-4D53-8B20-8465008D19E9}: NameServer = 85.255.114.62 85.255.112.109
O17 - HKLM\System\CS1\Services\Tcpip\..\{351EBC0F-768A-4D53-8B20-8465008D19E9}: NameServer = 85.255.114.62 85.255.112.109
O18 - Filter hijack: application/octet-stream - {6585E5B4-4D2A-4A1D-A219-4102C64BA999} - C:\WINDOWS\chp.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - E:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - E:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: GhostStartService - Symantec Corporation - E:\Programme\Norton Ghost 2003\GhostStartService.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - D:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe



Die Punkte O17 und O18 hab ich schon zigmal gefixt. Sie kommen immer wieder. Hat irgendjemand eine Ahnung wie man dieses penetrante Zeug wieder entfernt???:heulen: :heulen:

Danke schon mal im voraus

Stefan

Wildone 01.12.2005 21:41
Hallo,
lass mal F-Secure Blacklight drüberlaufen und poste das Log.


Grüße Wildone

vanceregnet 01.12.2005 21:48
Ich hab das Proggie drüberlaufen lassen...aber wo ist das LOG-File???

Wildone 01.12.2005 21:55
Hallo,
normalerweise müßte sie an dem selben Platz wie die blbeta.exe sein, die Datei müßte etwa wie fsbl...log aussehen.


Grüße Wildone

vanceregnet 01.12.2005 22:06
Na da isses ja:

12/01/05 22:05:22 [Info]: BlackLight Engine 1.0.25 initialized
12/01/05 22:05:22 [Info]: OS: 5.1 build 2600 (Service Pack 2)
12/01/05 22:05:22 [Note]: 4019 4
12/01/05 22:05:22 [Note]: 4005 0
12/01/05 22:05:24 [Note]: 4006 0
12/01/05 22:05:24 [Note]: 4011 1180
12/01/05 22:05:25 [Note]: FSRAW library version 1.7.1013
12/01/05 22:05:31 [Info]: Hidden file: C:\WINDOWS\SYSTEM32\WBEM\WBEMTEST.EXE
12/01/05 22:05:31 [Info]: Hidden file: C:\WINDOWS\SYSTEM32\PPPCGM.EXE
12/01/05 22:05:31 [Info]: Hidden file: C:\WINDOWS\SYSTEM32\IDEMLOG.EXE
12/01/05 22:05:31 [Info]: Hidden file: C:\WINDOWS\SYSTEM32\DMHGD.EXE
12/01/05 22:05:31 [Note]: 4002 32
12/01/05 22:05:31 [Note]: 4003 1
12/01/05 22:05:32 [Info]: Hidden file: C:\WINDOWS\SYSTEM32\CSUOG.EXE
12/01/05 22:05:32 [Note]: 4002 32
12/01/05 22:05:32 [Note]: 4003 1
12/01/05 22:05:32 [Info]: Hidden file: C:\WINDOWS\SYSTEM32\HOWIPER.EXE
12/01/05 22:05:32 [Info]: Hidden file: C:\WINDOWS\SYSTEM32\FAVSET.EXE
12/01/05 22:05:32 [Info]: Hidden file: C:\WINDOWS\SYSTEM32\FILESA~1.EXE
12/01/05 22:05:42 [Note]: 4007 0


Grüße
Stefan

Wildone 01.12.2005 22:14
Hallo,
also bei Rootkitbefall tendiere ich zum Neuaufsetzen des Systems, Anleitung gibts hier, wenn du sie ordentlich umsetzt solltest du zukünftig ein sicheres System haben bei dem sowas nicht mehr vorkommt.


Grüße Wildone


Alle Zeitangaben in WEZ +1. Es ist jetzt 00:24 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131