Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Kann mir jmd. helfen? Trojaner eingefangen!

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML

Antwort
Alt 20.05.2005, 16:04   #1
Bobsi
 
Kann mir jmd. helfen? Trojaner eingefangen! - Standard

Kann mir jmd. helfen? Trojaner eingefangen!



Hi, bin Laie und hab mir irgend so'n Teil eingefangen. Rechner versucht automatisch DFÜ-Vrbindung herzustellen und irgend so eine wilde Seite aufzurufen. wenn ich im Netzt bin wird weiterhin nach der DFÜ-Verbindung gefragt. Ausserdem werden ständig dateien wie protect.exe, tool.exe, down.exe etc unter c:\ installiert. Das trotz ständigem Löschens mit dem neuesten Antivir.

Kann mir jemand helfen? Wenn, dann aber bitte so erklären, dass ich das verstehe. Bin absoluter Neuling was HijackThis etc. betrifft. Oder gibts irgend nen Tool, was den Kram mittlerweile so beseitigt?

Viele Grüsse und vielen dank schon mal.

Gruss

Bobsi

Hier der Logfile:



Logfile of HijackThis v1.99.1
Scan saved at 17:00:09, on 20.05.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\ALCATEL\SPEEDTOUCH USB\DRAGDIAG.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\WINDOWS\ANWENDUNGSDATEN\BHNS.EXE
C:\PROGRAMME\WINZIP\WZQKPICK.EXE
C:\PROGRAMME\BEARPAW 1200TA\DRIVER\WATCH.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\OSA.EXE
C:\WINDOWS\SYSTEM\LEXBCES.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\LEXPPS.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\EXPLORER.EXE
C:\PROGRAMME\AVPERSONAL\AVWIN.EXE
C:\PROGRAMME\WINZIP\WINZIP32.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\HIJACKTHIS\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://www.horneburg.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: ohb - {999A06FF-10EF-4A29-8640-69E99882C26B} - C:\WINDOWS\SYSTEM\NSWE150.DLL
O2 - BHO: Loader Class - {2E246FAE-8420-11D9-870D-000C2917DE7F} - C:\WINDOWS\SYSTEM\Loader.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [LexStart] lexstart.exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [TwkSCardSrv] C:\WINDOWS\SCARDS32.exe search
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [Rart] C:\WINDOWS\Anwendungsdaten\bhns.exe
O4 - Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O4 - Startup: Watch.lnk = C:\Programme\BearPaw 1200TA\Driver\WATCH.exe
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: Microsoft Office.lnk = C:\Programme\MS Office\Office\OSA9.EXE
O8 - Extra context menu item: Bild in &Microsoft PhotoDraw öffnen - res://C:\PROGRA~1\MICROS~1\OFFICE\1031\PHDINTL.DLL/phdContext.htm
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.c4tdownload.com
O15 - Trusted Zone: *.xxxtoolbar.com
O15 - Trusted Zone: *.ysbweb.com
O15 - Trusted Zone: *.overpro.com
O15 - Trusted Zone: *.megapornix.com
O15 - Trusted Zone: *.awmdabest.com
O15 - Trusted Zone: *.addictivetechnologies.com
O15 - Trusted Zone: *.addictivetechnologies.net
O15 - Trusted Zone: *.f1organizer.com
O15 - Trusted Zone: *.crazywinnings.com
O15 - Trusted Zone: *.topconverting.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.static.topconverting.com
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.slotchbar.com
O15 - Trusted Zone: *.clickspring.net (HKLM)
O15 - Trusted Zone: *.mt-download.com (HKLM)
O15 - Trusted Zone: *.slotch.com (HKLM)
O15 - Trusted Zone: *.windupdates.com (HKLM)
O15 - Trusted Zone: *.c4tdownload.com (HKLM)
O15 - Trusted Zone: *.xxxtoolbar.com (HKLM)
O15 - Trusted Zone: *.ysbweb.com (HKLM)
O15 - Trusted Zone: *.overpro.com (HKLM)
O15 - Trusted Zone: *.megapornix.com (HKLM)
O15 - Trusted Zone: *.awmdabest.com (HKLM)
O15 - Trusted Zone: *.addictivetechnologies.com (HKLM)
O15 - Trusted Zone: *.addictivetechnologies.net (HKLM)
O15 - Trusted Zone: *.f1organizer.com (HKLM)
O15 - Trusted Zone: *.crazywinnings.com (HKLM)
O15 - Trusted Zone: *.topconverting.com (HKLM)
O15 - Trusted Zone: *.searchmiracle.com (HKLM)
O15 - Trusted Zone: *.static.topconverting.com (HKLM)
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O15 - Trusted Zone: *.slotchbar.com (HKLM)
O15 - ProtocolDefaults: 'http' protocol is in Trusted Zone, should be Internet Zone
O15 - ProtocolDefaults: 'http' protocol is in Trusted Zone, should be Internet Zone (HKLM)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - h**p://by104fd.bay104.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {58E4C90B-9FF4-796C-C013-43FD1E3E17F3} - h**p://67.19.178.86/1/rdgDE1742.exe
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - h**p://www.mt-download.com/MediaTicketsInstaller.cab?refid=3548

Geändert von Cidre (23.05.2005 um 18:06 Uhr)

Alt 20.05.2005, 21:12   #2
chaosman
 
Kann mir jmd. helfen? Trojaner eingefangen! - Standard

Kann mir jmd. helfen? Trojaner eingefangen!



@Bobsi
um die O15 einträge los zu werden, führe das hier durch

lasse diese datei C:\WINDOWS\Anwendungsdaten\bhns.exe
hier http://virusscan.jotti.org/de/
überprüfen und poste das ergebnis

wechsle in den abgesicherten modus und fixe mit HJT
O2 - BHO: ohb - {999A06FF-10EF-4A29-8640-69E99882C26B} - C:\WINDOWS\SYSTEM\NSWE150.DLL
O2 - BHO: Loader Class - {2E246FAE-8420-11D9-870D-000C2917DE7F} - C:\WINDOWS\SYSTEM\Loader.dll (file missing)
O4 - HKCU\..\Run: [Rart] C:\WINDOWS\Anwendungsdaten\bhns.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {58E4C90B-9FF4-796C-C013-43FD1E3E17F3} - h**p://67.19.178.86/1/rdgDE1742.exe
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - h**p://www.mt-download.com/MediaTic....cab?refid=3548
lösche danach manuell
C:\WINDOWS\SYSTEM\NSWE150.DLL
C:\WINDOWS\web\related.htm

neu booten, neues HJT logfile posten
chaosman
__________________

__________________

Geändert von Cidre (20.05.2005 um 21:20 Uhr)

Alt 21.05.2005, 08:01   #3
Bobsi
 
Kann mir jmd. helfen? Trojaner eingefangen! - Standard

Kann mir jmd. helfen? Trojaner eingefangen!



VIELEN DANK SCHON MAL!!!!

Habe alles gemacht. Bis auf:

lösche danach manuell:
C:\windows\system\nswe150.dll

die datei nswe150.dll existierte nicht......

es wird allerdings nach wie vor ständig versucht, eine dfü-verbindung aufzubauen. kann also noch nicht ganz weg sein, das ding.

wär echt klasse, wenn wir das hinkriegen würden!

hier die auswertungen:

Virusscan-ergebnis:

Datei: bhns.exe Status:
INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.) (Anmerkung: Es wurde nur nicht-destruktive Malware gefunden. Obwohl diese Art von Malware lästig sein kann, werden die Ergebnisse nicht in der Datenbank gespeichert.) Entdeckte Packprogramme:
UPX AntiVir
Keine Viren gefunden Avast
Keine Viren gefunden AVG Antivirus
Keine Viren gefunden BitDefender
Keine Viren gefunden ClamAV
Trojan.Dropper.Purityscan.I gefunden Dr.Web
Trojan.PurityAd gefunden F-Prot Antivirus
Keine Viren gefunden Fortinet
Adware/ClickSpring gefunden Kaspersky Anti-Virus
not-a-virus:AdWare.PurityScan.w gefunden mks_vir
Trojan.Downloader.Trae gefunden NOD32
Keine Viren gefunden Norman Virus Control
Keine Viren gefunden VBA32
AdWare.PurityScan.w gefunden


Logfile of HijackThis v1.99.1
Scan saved at 08:56:28, on 21.05.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\ALCATEL\SPEEDTOUCH USB\DRAGDIAG.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\PROGRAMME\WINZIP\WZQKPICK.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\LEXBCES.EXE
C:\PROGRAMME\BEARPAW 1200TA\DRIVER\WATCH.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\OSA.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\PROGRAMME\SPYSUB.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\LEXPPS.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\HIJACKTHIS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://www.horneburg.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [LexStart] lexstart.exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [TwkSCardSrv] C:\WINDOWS\SCARDS32.exe search
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NVMCTRAY.DLL,NvTaskbarInit
O4 - Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O4 - Startup: Watch.lnk = C:\Programme\BearPaw 1200TA\Driver\WATCH.exe
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: Microsoft Office.lnk = C:\Programme\MS Office\Office\OSA9.EXE
O4 - Startup: SpySubtract.lnk = C:\Programme\SpySub.exe
O8 - Extra context menu item: Bild in &Microsoft PhotoDraw öffnen - res://C:\PROGRA~1\MICROS~1\OFFICE\1031\PHDINTL.DLL/phdContext.htm
O15 - ProtocolDefaults: 'http' protocol is in Trusted Zone, should be Internet Zone
O15 - ProtocolDefaults: 'http' protocol is in Trusted Zone, should be Internet Zone (HKLM)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - h**p://by104fd.bay104.hotmail.msn.com/resources/MsnPUpld.cab
__________________

Geändert von Cidre (23.05.2005 um 18:03 Uhr)

Alt 21.05.2005, 10:06   #4
chaosman
 
Kann mir jmd. helfen? Trojaner eingefangen! - Standard

Kann mir jmd. helfen? Trojaner eingefangen!



@Bobsi
zum bhns.exe
lese den link mal durch
http://www.liutilities.com/products/...rary/winservs/

die datei nswe150.dll existierte nicht......
Gehe in diesem Fall auf Ansicht/Ordneroptionen/Ansicht und wähle unter «Versteckte Dateien» «Alle Dateien anzeigen».

wechsle in den abgesicherten modus und lösche manuell
C:\WINDOWS\SYSTEM\NSWE150.DLL
C:\WINDOWS\Anwendungsdaten\bhns.exe
neu booten, neues HJT logfile posten
chaosman
__________________
Bonus vir semper tiro

Alt 23.05.2005, 07:23   #5
Bobsi
 
Kann mir jmd. helfen? Trojaner eingefangen! - Standard

Kann mir jmd. helfen? Trojaner eingefangen!



Vielen Dank chaosman!

Werde heute abend sofort alles erledigen. Bin am wochenende leider nicht dazu gekommen.

Gruss
Bobsi


Alt 23.05.2005, 17:50   #6
Bobsi
 
Kann mir jmd. helfen? Trojaner eingefangen! - Standard

Kann mir jmd. helfen? Trojaner eingefangen!



So,

1) unter Deinem Link kann ich zum Thema bhns.exe leider nichts finden.

2) die datei nswe150.dll existiert nicht. habe mir auch die versteckten dateien anzeigen lassen. nichts zu machen.

3) bhns.exe habe ich gelöscht (im abgesicherten modus)

nach wie vor wird versucht, eine dfü-verbindung aufzubauen, beim start des rechners und auch wenn ich bereits online bin.

was muss ich jetzt machen?

viele grüsse

hier das hjt-logfile:

Logfile of HijackThis v1.99.1
Scan saved at 18:46:57, on 23.05.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\ALCATEL\SPEEDTOUCH USB\DRAGDIAG.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\PROGRAMME\WINZIP\WZQKPICK.EXE
C:\PROGRAMME\BEARPAW 1200TA\DRIVER\WATCH.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\LEXBCES.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\OSA.EXE
C:\PROGRAMME\SPYSUB.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\SYSTEM\LEXPPS.EXE
C:\HIJACKTHIS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://www.horneburg.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [LexStart] lexstart.exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [TwkSCardSrv] C:\WINDOWS\SCARDS32.exe search
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NVMCTRAY.DLL,NvTaskbarInit
O4 - Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O4 - Startup: Watch.lnk = C:\Programme\BearPaw 1200TA\Driver\WATCH.exe
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: Microsoft Office.lnk = C:\Programme\MS Office\Office\OSA9.EXE
O4 - Startup: SpySubtract.lnk = C:\Programme\SpySub.exe
O8 - Extra context menu item: Bild in &Microsoft PhotoDraw öffnen - res://C:\PROGRA~1\MICROS~1\OFFICE\1031\PHDINTL.DLL/phdContext.htm
O15 - ProtocolDefaults: 'http' protocol is in Trusted Zone, should be Internet Zone
O15 - ProtocolDefaults: 'http' protocol is in Trusted Zone, should be Internet Zone (HKLM)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409[/url]
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - h**p://by104fd.bay104.hotmail.msn.com/resources/MsnPUpld.cab

_____________
Anm.
Aktive Links editiert!
Beachte die Hinweise dieser Anleitung: HiJackThis

LG Cidre
S-Mod TB

Geändert von Cidre (23.05.2005 um 18:05 Uhr)

Alt 23.05.2005, 18:00   #7
The Saint
 
Kann mir jmd. helfen? Trojaner eingefangen! - Standard

Kann mir jmd. helfen? Trojaner eingefangen!



Versuche mal folgendes um die nicht gefunden Datei nswe150.dll aufzuspüren.

Und zwar: Extras--> Ordneroptionen --> Ansicht
entferne den Hacken bei "Geschützte Systemdateien ausblenden"

Alt 23.05.2005, 18:13   #8
Rene-gad
 
Kann mir jmd. helfen? Trojaner eingefangen! - Standard

Kann mir jmd. helfen? Trojaner eingefangen!



@Bobsi
Zitat:
die datei nswe150.dll existiert nicht.
Würde ich zustimmen, denn sie ist im letzten Log nicht zu sehen.
Fixe noch bitte das:
Zitat:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
O15 - ProtocolDefaults: 'http' protocol is in Trusted Zone, should be Internet Zone
O15 - ProtocolDefaults: 'http' protocol is in Trusted Zone, should be Internet Zone (HKLM)
Zitat:
nach wie vor wird versucht, eine dfü-verbindung aufzubauen, beim start des rechners und auch wenn ich bereits online bin.
ZA sagt dir bestimmt wer und wohin telefonieren möchte. Kannst du diese daten uns sagen?

Alt 23.05.2005, 20:21   #9
Meerjungfraumann
 
Kann mir jmd. helfen? Trojaner eingefangen! - Standard

Kann mir jmd. helfen? Trojaner eingefangen!



Hy,
überprüfe bitte die Datei: C:\Windows\System\MSTASK.exe bei
http://virusscan.jotti.org/de/
Glaube die hatt was.

Greetings from MEERJUNGFRAUMANN (SPONGEBOB MEMBER)

Alt 24.05.2005, 00:57   #10
dartus
 
Kann mir jmd. helfen? Trojaner eingefangen! - Standard

Kann mir jmd. helfen? Trojaner eingefangen!



Zitat:
Hy,
überprüfe bitte die Datei: C:\Windows\System\MSTASK.exe bei
http://virusscan.jotti.org/de/
Glaube die hatt was.
Ja, das ist der Taskmanager:
http://www.neuber.com/taskmanager/de...stask.exe.html

dartus
__________________
Kein Support per PN

Alt 24.05.2005, 19:46   #11
Bobsi
 
Kann mir jmd. helfen? Trojaner eingefangen! - Standard

Kann mir jmd. helfen? Trojaner eingefangen!



Hallo!

Erstmal nochmal und immer wieder VIELEN DANK FÜR DIE HILFE!

Jetzt zu meinen "Aufträgen"

1) Die Datei nswe150.dll gibt es nicht.
2) Die MSTASK.exe ist sauber


3) gefixt wurde:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
O15 - ProtocolDefaults: 'http' protocol is in Trusted Zone, should be Internet Zone
O15 - ProtocolDefaults: 'http' protocol is in Trusted Zone, should be Internet Zone (HKLM)



4) Zonealarm sagt sowas (könnte es das sein? - wird immer noch versucht, eine dfü-verbindung aufzubauen):

Beschreibung Distributed COM Services Berechtigung angefordert, auf das Internet zuzugreifen.
Bewertung Hoch
Datum/Uhrzeit 2005/05/24 20:38:46+2:00 GMT
Typ Bekanntes Serverprogramm
Programm Distributed COM Services
Quell-IP-Adresse 0.0.0.0:135
Ziel-IP
Richtung Eingehend (Verbindungsanforderung empfangen)
Maßnahme
Anzahl 1
Quell-DNS
Ziel-DNS

Hier jetzt noch das aktuelle HJT Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 20:45:07, on 24.05.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\ALCATEL\SPEEDTOUCH USB\DRAGDIAG.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\PROGRAMME\WINZIP\WZQKPICK.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\BEARPAW 1200TA\DRIVER\WATCH.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\OSA.EXE
C:\WINDOWS\SYSTEM\LEXBCES.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\MS OFFICE\OFFICE\FINDFAST.EXE
C:\WINDOWS\SYSTEM\LEXPPS.EXE
C:\PROGRAMME\SPYSUB.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\WINWORD.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\HIJACKTHIS\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://www..horneburg.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [LexStart] lexstart.exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [TwkSCardSrv] C:\WINDOWS\SCARDS32.exe search
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NVMCTRAY.DLL,NvTaskbarInit
O4 - Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O4 - Startup: Watch.lnk = C:\Programme\BearPaw 1200TA\Driver\WATCH.exe
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: Microsoft Office.lnk = C:\Programme\MS Office\Office\OSA9.EXE
O4 - Startup: SpySubtract.lnk = C:\Programme\SpySub.exe
O8 - Extra context menu item: Bild in &Microsoft PhotoDraw öffnen - res://C:\PROGRA~1\MICROS~1\OFFICE\1031\PHDINTL.DLL/phdContext.htm
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - h**p://by104fd.bay104.hotmail.msn.com/resources/MsnPUpld.cab



D A N K E!!!!!!!!!!!!!

Geändert von Cidre (24.05.2005 um 21:59 Uhr)

Alt 24.05.2005, 22:01   #12
Cidre
Administrator, a.D.
 
Kann mir jmd. helfen? Trojaner eingefangen! - Standard

Kann mir jmd. helfen? Trojaner eingefangen!



@ Bobsi

Wieviele Male soll ich deine Log-Files noch editieren?!

Les endlich Anleitung: HiJackThis und handle danach.
__________________
Gruß, Cidre


Alt 25.05.2005, 06:57   #13
Bobsi
 
Kann mir jmd. helfen? Trojaner eingefangen! - Standard

Kann mir jmd. helfen? Trojaner eingefangen!



Bitte entschuldige. Werde mich bessern!
Wie gesagt, bin nicht sehr erfahren, was diese ganze Angelegenheit betrifft.

Zurück zum Thema:

Was sagt das Logfile?
Warum wird immer noch versucht, eine DFÜ-Verbindung aufzubauen?

Viele Grüsse

Bobsi

Alt 26.05.2005, 09:10   #14
Bobsi
 
Kann mir jmd. helfen? Trojaner eingefangen! - Unglücklich

Kann mir jmd. helfen? Trojaner eingefangen!



Keiner ne Ahnung, woran das liegen könnte mit der DFÜ-Verbindung bzw. was das bedeutet, was ZoneAlarm mir sagt?

Ist das Logfile soweit in Ordnung?

Das mit der DFÜ-verbindung nervt echt noch, weil das auch immer noch kommt, wenn ich bereits online bin.

Gruss

Bobsi

Alt 28.05.2005, 14:31   #15
Bobsi
 
Kann mir jmd. helfen? Trojaner eingefangen! - Standard

Kann mir jmd. helfen? Trojaner eingefangen!



Hat denn keiner ne Ahnung?

Antwort

Themen zu Kann mir jmd. helfen? Trojaner eingefangen!
adobe, alcatel, bho, bild, button, dateien, diagnostics, explorer, file missing, helfen, hijack, hijackthis, ics, internet, internet explorer, links, logfile, microsoft, msn, office, programme, registry, rundll, seite, software, system, trojaner, trojaner eingefangen, usb, vielen dank, windows



Ähnliche Themen: Kann mir jmd. helfen? Trojaner eingefangen!


  1. Gema Trojaner - Wer kann helfen?
    Log-Analyse und Auswertung - 04.03.2012 (1)
  2. pc mit trojaner infiziert wer kann helfen?
    Antiviren-, Firewall- und andere Schutzprogramme - 25.12.2008 (7)
  3. Trojaner probleme!Wer kann helfen!?
    Mülltonne - 18.12.2008 (0)
  4. Habe mir einen Virus eingefangen-TR/Crypt.XPACK.Gen-WER KANN HELFEN
    Plagegeister aller Art und deren Bekämpfung - 12.09.2008 (2)
  5. Wer kann helfen, hab mir einen Virus eingefangen TR/Crypt.XPACKT.Gen
    Log-Analyse und Auswertung - 08.09.2008 (5)
  6. Bitte helfen trojaner eingefangen. Winrb65.sys WinPa43.sys
    Log-Analyse und Auswertung - 05.08.2008 (1)
  7. c trojaner eingefangen bitte helfen....
    Log-Analyse und Auswertung - 20.09.2007 (21)
  8. hab wohl trojaner. wer kann mir bitte helfen!
    Log-Analyse und Auswertung - 12.06.2007 (3)
  9. trojaner? wer kann helfen
    Log-Analyse und Auswertung - 07.06.2007 (3)
  10. Was nettes eingefangen wer kann helfen?
    Log-Analyse und Auswertung - 02.03.2007 (1)
  11. Trojaner Befall, wer kann helfen?
    Log-Analyse und Auswertung - 17.03.2006 (8)
  12. wer kann helfen habe probleme mit trojaner
    Log-Analyse und Auswertung - 14.12.2004 (3)
  13. Trojaner - wer kann helfen ich bekomme sie nicht weg
    Log-Analyse und Auswertung - 06.12.2004 (3)
  14. Virus/Trojaner eingefangen: Wer kann helfen?
    Plagegeister aller Art und deren Bekämpfung - 10.08.2004 (9)
  15. Wer kann helfen - Hijacker/Trojaner
    Log-Analyse und Auswertung - 22.07.2004 (1)
  16. Wer kann mir helfen ?- Hijack-Trojaner - dringend !
    Log-Analyse und Auswertung - 16.07.2004 (5)
  17. Trojaner Ladder auf PC wer kann helfen?
    Plagegeister aller Art und deren Bekämpfung - 11.04.2004 (2)

Zum Thema Kann mir jmd. helfen? Trojaner eingefangen! - Hi, bin Laie und hab mir irgend so'n Teil eingefangen. Rechner versucht automatisch DFÜ-Vrbindung herzustellen und irgend so eine wilde Seite aufzurufen. wenn ich im Netzt bin wird weiterhin nach - Kann mir jmd. helfen? Trojaner eingefangen!...
Archiv
Du betrachtest: Kann mir jmd. helfen? Trojaner eingefangen! auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.