Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Kreeper und co. Bitte um Hilfe!

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML

Antwort
Alt 30.12.2005, 05:19   #1
Mucker
 
Kreeper und co. Bitte um Hilfe! - Standard

Kreeper und co. Bitte um Hilfe!



hi,
also erstmal vorab, ich bin ein absoluter Laie in Sachen Trojaner und co.

ich habe mir einen Trojaner eingefangen der sich "Kreeper" nennt. ich habe schon "the Cleaner" durchlaufen lassen aber der kann den Trojaner nicht finden bzw. entfernen. Ich bin am verzweifeln!

Logfile of HijackThis v1.99.1
Scan saved at 05:02:20, on 30.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\System32\DSentry.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programme\The Cleaner\tca.exe
C:\Programme\The Cleaner\tcm.exe
C:\WINDOWS\appda.exe
C:\DOKUME~1\ENRICO~1\LOKALE~1\Temp\19.tmp.exe
C:\DOKUME~1\ENRICO~1\LOKALE~1\Temp\1D.tmp.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\ieuf.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Messenger\msmsgs.exe
C:\Dokumente und Einstellungen\Enrico ******\Desktop\Enrico\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\ozufc.dll/sp.html#53142%resultposition.net
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\ozufc.dll/sp.html#53142%resultposition.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\ozufc.dll/sp.html#53142%resultposition.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\ozufc.dll/sp.html#53142%resultposition.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\ozufc.dll/sp.html#53142%resultposition.net
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\ozufc.dll/sp.html#53142%resultposition.net
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\ozufc.dll/sp.html#53142%resultposition.net
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O2 - BHO: Class - {E58BBC7E-7207-D1BE-CE98-6CC37B27883D} - C:\WINDOWS\system32\d3cj32.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [DVDSentry] C:\WINDOWS\System32\DSentry.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [CookiePatrol] C:\Programme\PestPatrol\CookiePatrol.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [tcactive] C:\Programme\The Cleaner\tca.exe
O4 - HKLM\..\Run: [tcmonitor] C:\Programme\The Cleaner\tcm.exe
O4 - HKLM\..\Run: [webrebates] "C:\Programme\WebRebates4\webrebates.exe"
O4 - HKLM\..\Run: [appda.exe] C:\WINDOWS\appda.exe
O4 - HKLM\..\Run: [19.tmp] C:\DOKUME~1\ENRICO~1\LOKALE~1\Temp\19.tmp.exe
O4 - HKLM\..\Run: [1D.tmp] C:\DOKUME~1\ENRICO~1\LOKALE~1\Temp\1D.tmp.exe
O4 - HKLM\..\Run: [19.tmp.exe] C:\DOKUME~1\ENRICO~1\LOKALE~1\Temp\19.tmp.exe
O4 - HKLM\..\Run: [1D.tmp.exe] C:\DOKUME~1\ENRICO~1\LOKALE~1\Temp\1D.tmp.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Web Rebates. - file://C:\Programme\WebRebates4\websrebates\webtrebates\toprC0.htm
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Network Security Service (NSS) ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\ieuf.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\NCS\Sync\NetSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

Alt 30.12.2005, 06:46   #2
stupormundi
 
Kreeper und co. Bitte um Hilfe! - Standard

Kreeper und co. Bitte um Hilfe!



Servus!
Deinstalliere via Systemsteuerung-->Software "Adware.WebRebates" oder ähnliches.
Hol Dir folgende Tools (falls Du das nicht eh schon gemacht hast) http://www.intermute.com/spysubtract..._download.html cws shredder
http://www.safer-networking.org/en/download/ Spybot S&D
http://www.lavasoft.de/ Adaware
update alle, wechsle dann in den abgesicherten Modus und lass die Tools laufen! Entferne, was vorgeschlagen wird.
Anschließend im abgesicherten Modus HJT starten, scannen und folgende Einträge (falls noch vorhanden) fixen (<-- siehe Anleitung zu HJT: fix checked anhaken)
Zitat:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\ozufc.dll/sp.html#53142%resultposition.net
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\ozufc.dll/sp.html#53142%resultposition.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\ozufc.dll/sp.html#53142%resultposition.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\ozufc.dll/sp.html#53142%resultposition.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\ozufc.dll/sp.html#53142%resultposition.net
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\ozufc.dll/sp.html#53142%resultposition.net
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\ozufc.dll/sp.html#53142%resultposition.net
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = localhost
R3 - Default URLSearchHook is missing
...
O2 - BHO: Class - {E58BBC7E-7207-D1BE-CE98-6CC37B27883D} - C:\WINDOWS\system32\d3cj32.dll
...
O4 - HKLM\..\Run: [webrebates] "C:\Programme\WebRebates4\webrebates.exe"
O4 - HKLM\..\Run: [appda.exe] C:\WINDOWS\appda.exe
O4 - HKLM\..\Run: [19.tmp] C:\DOKUME~1\ENRICO~1\LOKALE~1\Temp\19.tmp.exe
O4 - HKLM\..\Run: [1D.tmp] C:\DOKUME~1\ENRICO~1\LOKALE~1\Temp\1D.tmp.exe
O4 - HKLM\..\Run: [19.tmp.exe] C:\DOKUME~1\ENRICO~1\LOKALE~1\Temp\19.tmp.exe
O4 - HKLM\..\Run: [1D.tmp.exe] C:\DOKUME~1\ENRICO~1\LOKALE~1\Temp\1D.tmp.exe
...
O23 - Service: Network Security Service (NSS) ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\ieuf.exe
Anschließend ebenfalls noch im abgesicherten Modus die dazugehörigen Dateien
Zitat:
C:\WINDOWS\ieuf.exe
C:\WINDOWS\appda.exe
C:\DOKUME~1\ENRICO~1\LOKALE~1\Temp\19.tmp.exe
C:\DOKUME~1\ENRICO~1\LOKALE~1\Temp\1D.tmp.exe
C:\DOKUME~1\ENRICO~1\LOKALE~1\Temp\19.tmp.exe
C:\DOKUME~1\ENRICO~1\LOKALE~1\Temp\1D.tmp.exe
C:\WINDOWS\ozufc.dll
C:\WINDOWS\system32\d3cj32.dll
C:\Programme\WebRebates4\webrebates.exe <--ganzen Ordner
manuell löschen.
Neu booten, Systemwiederherstellung wieder einschalten und neues HJT Logfile posten.
stupormundi
__________________

__________________

Alt 30.12.2005, 15:22   #3
Mucker
 
Kreeper und co. Bitte um Hilfe! - Standard

Kreeper und co. Bitte um Hilfe!



Ich habe nun das gemacht was du mir gesagt hast. Hat auch alles wunderbar geklappt nur was meinst du mit
Zitat:
Zitat von stupormundi
Neu booten, Systemwiederherstellung wieder einschalten und neues HJT Logfile posten.
stupormundi
Neu gebootet und neues Hjt Logfile posten (weiter unten) hab ich gemacht, aber was meinst du mit Systemwiederherstellung ?

Außerdem kann ich nicht mehr die normalen Einstellungen vornehmen wie zb die Auflösung ändern etc. wenn ich auf dem Desktop die rechte Maustaste drücke und auf Einstellungen klicke. Da kommt dann nur ein Fenster wo so etwas drin steht:

Nicht verfügbar
Protokoll: File Protocol
Typ: HTML Document
Verbindung: Nicht verschlüsselt
Adresse(URL): file://C:\WINDOWS\warnhp.html
Größe: 0 Bytes


hier das logfile: (die ganzen R0 und R1 hab ich drin gelassen weil sich der name etwas am ende unterschied und ich mir nicht sicher bin ob es die selben sind die ich löschen sollte)

Logfile of HijackThis v1.99.1
Scan saved at 15:12:50, on 30.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\System32\DSentry.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programme\The Cleaner\tca.exe
C:\Programme\The Cleaner\tcm.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Messenger\msmsgs.exe
C:\Dokumente und Einstellungen\Enrico *****\Desktop\Enrico\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [DVDSentry] C:\WINDOWS\System32\DSentry.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [CookiePatrol] C:\Programme\PestPatrol\CookiePatrol.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [tcactive] C:\Programme\The Cleaner\tca.exe
O4 - HKLM\..\Run: [tcmonitor] C:\Programme\The Cleaner\tcm.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Web Rebates. - file://C:\Programme\WebRebates4\websrebates\webtrebates\toprC0.htm
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\NCS\Sync\NetSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
__________________

Alt 30.12.2005, 15:29   #4
Princ_of_Galaxy
 
Kreeper und co. Bitte um Hilfe! - Standard

Kreeper und co. Bitte um Hilfe!



naja wenn du rechtsklik auf arbeitsplatz machst gibt es da eine option systhemwiederherstellung.
die ist standartmässig aktiviert.
wenn du aber vieren etc. löschen willst musst du sie vorher deaktivieren
damit die vieren sich nicht selbst wiederherstellen.

und nachdem du die schädlinge im abgesicherten modus gelöscht hast solltest du die systhemwiederherstellung erneut aktivieren.
__________________
Gruß Princ_of_Galaxy

Alt 30.12.2005, 15:35   #5
Mucker
 
Kreeper und co. Bitte um Hilfe! - Standard

Kreeper und co. Bitte um Hilfe!



das problem ist das ich den pc schon über 2 jahre besitze und ich noch nie meinen pc formatiert und einen wiederherstellungspunkt festgelegt habe.
Ist es unbedingt erforderlich die Systemwiederherstellung zu machen?

PS: bitte das neue logfile überprüfen


Geändert von Mucker (30.12.2005 um 16:11 Uhr)

Alt 30.12.2005, 20:07   #6
Mucker
 
Kreeper und co. Bitte um Hilfe! - Standard

Kreeper und co. Bitte um Hilfe!



Könnte bitte jemand den zweiten logfile, den ich oben gepostet hab, auswerten inkl. der fragen.

Danke

Alt 03.01.2006, 14:05   #7
Princ_of_Galaxy
 
Kreeper und co. Bitte um Hilfe! - Standard

Kreeper und co. Bitte um Hilfe!



Zitat:
Zitat von Mucker
das problem ist das ich den pc schon über 2 jahre besitze und ich noch nie meinen pc formatiert und einen wiederherstellungspunkt festgelegt habe.
Ist es unbedingt erforderlich die Systemwiederherstellung zu machen?

PS: bitte das neue logfile überprüfen
naja eigentlich macht das systhem automatisch systhemwiederherstellungspunkte bis du das deaktivierst.
von daher solltest du genügend haben.


die automatische auswertung (http://www.hijackthis.de)sagt bei deinem log

das dieser eintrag böse ist
O8 - Extra context menu item: Web Rebates. - file://C:\Programme\WebRebates4\websrebates\webtrebates\t oprC0.htm

ich persöhnlich würde ihn fixen aber da ich auch net soviel ahnung habe
sagt eventuell wer anderst noch was zu deinem logfile.
__________________
Gruß Princ_of_Galaxy

Alt 03.01.2006, 14:20   #8
stupormundi
 
Kreeper und co. Bitte um Hilfe! - Standard

Kreeper und co. Bitte um Hilfe!



@Princ_of_Galaxy
Zitat:
O8 - Extra context menu item: Web Rebates. - file://C:\Programme\WebRebates4\websrebates\webtrebates\t oprC0.htm
habe ich übersehen - ich würde ihn auch fixen *thx*

@mucker:
Zitat:
Neu gebootet und neues Hjt Logfile posten (weiter unten) hab ich gemacht, aber was meinst du mit Systemwiederherstellung ?
Die Systemwiederherstellung speichert bei bestimmten Anlässen (Installation von Software, Systemänderungen etc...) sog. Systemwiederherstellungspunkte, um Änderungen im System schnell rückgängig machen zu können. Ist bequem und sinnvoll, hat aber den Nachteil, dass sich manchmal auch Schadsoftware in diesen Systemwiederherstellungspunkten verstecken kann und daher - wenn man das bei der Bereinigung nicht berücksichtigt - immer wieder kommen kann. Daher macht es Sinn, diese Punkte zu löschen, wenn man eine Schadsoftware am System feststellt und diese entfernen will.
In meinem Link zum abgesicherten Modus ist auch beschrieben, wie Du die Systemwiederherstellung vorübergehend (=zum Löschen der Wiederherstellungspunkte) abschalten kannst!
Im Log kann ich nun - außer dem von Princ_of_Galaxy gefundenen O8-Eintrag - nichts mehr finden!
Möglicherweise versteckt sich auf Deinem PC immer noch etwas.
Lass mal escan nach Cidres Anleitung http://www.trojaner-board.de/showthread.php?t=24192 im abgesicherten Modus http://www.systemwiederherstellung-d...indows-xp.html laufen und poste anschließend das Ergebnis von Hauis45´s 'find.bat' (ist in der Anleitung ebenfalls beschrieben). Halte Dich genau an diese Anleitung (Speicherort von escan-entpacken nach C:\bases_x, Spracheinstellung "English", alle Häkchen wie beschrieben setzen) sonst funktioniert die find.bat nicht. Lies´ die Anleitung zuerst ganz durch, sonst übersiehst Du vielleicht etwas!
stupormundi
__________________
Unsichtbare Dateien suchen: Sehr gute Anleitung von Rene-gad:
WICHTIG: Alle aktiven links editieren (http-->h**p) und persönliche Informationen aus den Logfiles entfernen
Kein Support via PN - sorry!

Antwort

Themen zu Kreeper und co. Bitte um Hilfe!
adobe, adobe reader, antivirus, bho, bitte um hilfe, desktop, downloader, drivers, einstellungen, excel, explorer, hijack, hijackthis, internet, internet explorer, kreeper, monitor, photoshop, rundll, security, security center, server, software, symantec, system, temp, trojaner, trojaner eingefangen, urlsearchhook, windows, windows xp



Ähnliche Themen: Kreeper und co. Bitte um Hilfe!


  1. Virus Dirty Decrypt Verschlüsselung Trojaner, alle Foto kann ich nicht aufmachen, bitte bitte Hilfe!!!
    Log-Analyse und Auswertung - 24.07.2013 (6)
  2. Hilfe Mein forum wurde übernomen keine möglichkeiten rein zu kommen bitte um ideen und hilfe
    Diskussionsforum - 29.06.2012 (6)
  3. (3x) Bitte Bitte um Hilfe habe mir AKM Trojaner eingefangen brauche aber dringend meinen PC
    Mülltonne - 08.05.2012 (1)
  4. Trojaner Kreeper.ais.1 in Windows\apocalypse32.exe
    Plagegeister aller Art und deren Bekämpfung - 05.12.2009 (1)
  5. Hilfe Virus! Antivir, internet usw außer gefächt!!! Bitte um Hilfe
    Mülltonne - 15.07.2008 (0)
  6. Viren??Würmer..HILFE! Bitte um Hilfe bei der Auswertung meines hijackthis-log
    Mülltonne - 14.11.2007 (0)
  7. Oh man brauch so dringend Hilfe!!!! Virus?Spyware? Hilfe für einen Laien!Bitte!
    Log-Analyse und Auswertung - 13.06.2007 (6)
  8. SCVHOST.EXE Log file bitte checken! Bitte um hilfe
    Log-Analyse und Auswertung - 06.06.2007 (8)
  9. Ich bin verzweifelt bitte um Dringende Hilfe Bitte bitte
    Plagegeister aller Art und deren Bekämpfung - 08.01.2007 (11)
  10. Bitte, bitte Hilfe wegen Winfixer/ Errorsafe
    Plagegeister aller Art und deren Bekämpfung - 19.12.2006 (3)
  11. Bitte BITTE bitte HILFE log-file
    Log-Analyse und Auswertung - 18.01.2006 (1)
  12. HILFE, ich habe einige Trojaner - bitte um Eure Hilfe
    Log-Analyse und Auswertung - 01.12.2005 (2)
  13. Schnauze voll von Aurora.brauche dringend hilfe bitte bitte
    Log-Analyse und Auswertung - 08.08.2005 (2)
  14. Kreeper.3 und Stubby auf meiner Festplatte
    Log-Analyse und Auswertung - 07.03.2005 (1)
  15. Bitte Bitte Bitte Hilfe!!! Trojaner
    Log-Analyse und Auswertung - 10.11.2004 (1)
  16. Was bewirkt der Trojaner "Kreeper.c" ?
    Plagegeister aller Art und deren Bekämpfung - 05.06.2004 (3)
  17. Hilfe,Hilfe,habe Probleme mit Norton Antivirus bitte helfen!!
    Plagegeister aller Art und deren Bekämpfung - 02.03.2004 (1)

Zum Thema Kreeper und co. Bitte um Hilfe! - hi, also erstmal vorab, ich bin ein absoluter Laie in Sachen Trojaner und co. ich habe mir einen Trojaner eingefangen der sich "Kreeper" nennt. ich habe schon "the Cleaner" durchlaufen - Kreeper und co. Bitte um Hilfe!...
Archiv
Du betrachtest: Kreeper und co. Bitte um Hilfe! auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.