Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: PWS-LegMir nach Rechnerstart

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML

Antwort
Alt 17.07.2009, 12:55   #1
skybird
 
PWS-LegMir nach Rechnerstart - Standard

PWS-LegMir nach Rechnerstart



Hallo Zusammen,
ich habe seit längerer Zeit das Problem, dass nach Rechnerstart und Start einer Internetverbindung McAfee immer wieder den PWS-LegMir aufspürt und löscht bzw. CheckedValue säubert.
Name : d3dsmimd.dll im Ordner C:\WINDOWS\system32

Seltsam ist auch ... ich habe Firefox als Standardbrowser hinterlegt .... dass immer der IE gestartet wird.

Den PC nutze ich nur geschäftlich ... also keine Spiele etc.

Hier das entsprechende HiJack-Log mit der Bitte um HILFE !!!

Danke im Voraus ...

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:25:25, on 16.07.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Network Associates\Common Framework\FrameworkService.exe
C:\Programme\McAfee\VirusScan Enterprise\Mcshield.exe
C:\Programme\McAfee\VirusScan Enterprise\VsTskMgr.exe
C:\Programme\SonicWALL\SSL-VPN\NetExtender\NEService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
\Wus29\c$\Programme\Hardcopy\hardcopy.exe
C:\Programme\Network Associates\Common Framework\UdaterUI.exe
C:\Programme\Network Associates\Common Framework\McTray.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = xx.x.x.xx:xx
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Programme\McAfee\VirusScan Enterprise\scriptcl.dll
O2 - BHO: amazon - {84B94901-3645-4D80-A6B7-4D0050B19455} - C:\Programme\Preispiraten\IEButtonAmazonInterface.dll
O2 - BHO: eBay - {CD9B7762-DFBC-42B1-BB30-02A78287B456} - C:\Programme\Preispiraten\IEButtonEbayInterface.dll
O2 - BHO: Preispiraten - {E9E027BF-C3F3-4022-8F6B-8F6D39A59684} - C:\Programme\Preispiraten\IEButtonPPInterface.dll
O4 - HKLM\..\Run: [IgfxTray] REM C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] REM C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] REM KHALMNPR.EXE
O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\McAfee\VirusScan Enterprise\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [SonicWALLNetExtender] REM C:\Programme\SonicWALL\SSL-VPN\NetExtender\NEGui.exe -hideGUI
O4 - HKLM\..\Run: [NeroFilterCheck] REM C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] REM "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Ad-Watch] REM C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
O4 - HKCU\..\Run: [Schmaili] REM C:\Programme\Schmaili90\schmaili.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] REM "C:\Programme\Microsoft ActiveSync\Wcescomm.exe"
O4 - HKCU\..\Run: [AutoStart-Manager 2006] "C:\Programme\Tools&More\Autostart-Manager\AutoStart-Manager.exe" /AUTOSTART
O4 - HKCU\..\Run: [AnyDVD] REM C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKCU\..\Run: [YAQ] REM C:\Programme\YAQ\YAQ_v2.02b\YAQv2.exeC:\Programme\YAQ\YAQ.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [Schmaili] C:\Programme\Schmaili90\schmaili.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Hardcopy.LNK = Programme\Hardcopy\hardcopy.exe
O4 - Startup: Microsoft Outlook starten.lnk = C:\Programme\Microsoft Office\Office10\OUTLOOK.EXE
O8 - Extra context menu item: &Preispiratensuche nach markiertem Text - C:\\Programme\\Preispiraten\\preispiraten.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Vorlesen! - C:\WINDOWS\Web\toyagd.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\npjpi160_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\npjpi160_05.dll
O9 - Extra button: Internet Radio by Endicosoft.com - {1F958B09-3312-7f0e-9723-4C1324C57B20} - C:\Programme\Internet Radio\Radio.exe (file missing)
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: Preispiraten - {350F4DA2-3886-4BB8-A1A8-D7F57B56DFFF} - C:\Programme\Preispiraten\preispiraten3ie.exe
O9 - Extra 'Tools' menuitem: Preispiraten - {350F4DA2-3886-4BB8-A1A8-D7F57B56DFFF} - C:\Programme\Preispiraten\preispiraten3ie.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: eBay - {E79005A3-0F92-434B-9F7B-51131FC7168F} - h**p://www.preispiraten.de/e/tr_ebdestart.pl?h**p://www.ebay.de (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)
O16 - DPF: {00A7BD45-3D5C-11D4-BDA7-00C0F02C56AB} (DMSrvPushX Control) - h**p://xx.x.x.xx/webpages/DMWebX.ocx
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {44C1E3A2-B594-401C-B27A-D1B4476E4797} (XTSAC Control) - h**ps://xx.x.x.xx/XTSAC.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1242117580693
O16 - DPF: {87BE3784-6977-4E84-AA08-55A96B9CEAC5} (Bl_camera Control) - h**p://xx.x.x.xx/bl_camera.cab
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - h**p://wwwimages.adobe.com/www.adobe.com/products/acrobat/nos/gp.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/flashplayer/current/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = hb.xx.com
O17 - HKLM\Software\..\Telephony: DomainName = hb.xx.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{433327D9-BBE2-4F41-AD7F-9B2BB6CE2CF5}: NameServer = xxx
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = hb.xxx.com
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = hb.xxx.com
O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Programme\NOS\bin\getPlus_HelperSvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - McAfee, Inc. - C:\Programme\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: McAfee McShield (McShield) - McAfee, Inc. - C:\Programme\McAfee\VirusScan Enterprise\Mcshield.exe
O23 - Service: McAfee Task Manager (McTaskManager) - McAfee, Inc. - C:\Programme\McAfee\VirusScan Enterprise\VsTskMgr.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: SolidWorks Licensing Service - SolidWorks - C:\Programme\Gemeinsame Dateien\SolidWorks Shared\Service\SolidWorksLicensing.exe
O23 - Service: SonicWALL NetExtender Service (SONICWALL_NetExtender) - SonicWALL Inc. - C:\Programme\SonicWALL\SSL-VPN\NetExtender\NEService.exe

--
End of file - 8864 bytes

Alt 17.07.2009, 13:03   #2
BIOTEC
 
PWS-LegMir nach Rechnerstart - Standard

PWS-LegMir nach Rechnerstart



Hi!

Ich hab mal das hier gefunden:

PWS-LegMir

Scheint so, als ob das Teil nicht so gefährlich ist, aber PWS ist normalerweise ein Passwort Stealer....also ein Trojaner.

Zieh dir doch mal MALEWAREBYTES 1.39 und lass das mal suchen und Poste dann mal das Log.

Gruss BIOTEC
__________________


Antwort

Themen zu PWS-LegMir nach Rechnerstart
ad-aware, ad-watch, adobe, bho, bitte um hilfe, dateien, ebay, egui.exe, excel, explorer, firefox, hijackthis, hkus\s-1-5-18, immer wieder, internet explorer, messenger, micro, microsoft, object, ordner, problem, programme, software, solution, sp3, suche, system, virusscan, windows, windows xp



Ähnliche Themen: PWS-LegMir nach Rechnerstart


  1. Nach Rechnerstart öffnet sich die Systemsteuerung
    Plagegeister aller Art und deren Bekämpfung - 06.06.2015 (3)
  2. Seite www-getwindowinfo/ kommt immer bei Rechnerstart
    Log-Analyse und Auswertung - 11.01.2014 (3)
  3. Probleme mit searchgol nach deltatoolbar nach installation von imgburn (Win8-x64-chrome)
    Log-Analyse und Auswertung - 31.10.2013 (29)
  4. Aufforderung die wssetup.exe von Perion zu starten erscheint nach Rechnerstart !
    Log-Analyse und Auswertung - 12.06.2013 (21)
  5. weißer bildschirm beim rechnerstart
    Plagegeister aller Art und deren Bekämpfung - 15.01.2013 (2)
  6. Problem verursacht durch Trojan.PWS.Legmir.AD / W32.Ahlem.A@mm ?
    Plagegeister aller Art und deren Bekämpfung - 30.04.2012 (1)
  7. Nach Anmeldung Schwarzer Bildschirm, bzw. Systemabsturz mit BSOD nach kurzer Zeit
    Log-Analyse und Auswertung - 25.04.2011 (11)
  8. Trojan.PWS.Legmir.AD / W32.Ahlem.A@mm -- Windows Meldung
    Plagegeister aller Art und deren Bekämpfung - 30.05.2010 (3)
  9. Xp startet 1min. nach Hochfahren neu, nach Neuinstall. Trojaner in System Ordner...
    Log-Analyse und Auswertung - 26.01.2010 (1)
  10. Hilfe beim Entfernen von PWS-LegMir
    Plagegeister aller Art und deren Bekämpfung - 06.06.2009 (3)
  11. Trojaner "PWS-LegMir.gen.k.dll" brauche Hilfe beim Entfernen, da Anfänger
    Plagegeister aller Art und deren Bekämpfung - 10.05.2008 (26)
  12. Rechnerstart und Internet extrem langsam und stürzt manchmal ab
    Log-Analyse und Auswertung - 06.01.2007 (7)
  13. Kein Rechnerstart möglich
    Netzwerk und Hardware - 19.12.2006 (2)
  14. Laufendes Programm bei Rechnerstart, Firefox extrem langsam
    Log-Analyse und Auswertung - 23.05.2006 (7)
  15. Problem vor dem Rechnerstart
    Netzwerk und Hardware - 15.07.2005 (8)
  16. langsamer Rechnerstart
    Alles rund um Windows - 15.05.2003 (1)
  17. Meldung beim Rechnerstart (Win XP)
    Alles rund um Windows - 01.05.2003 (4)

Zum Thema PWS-LegMir nach Rechnerstart - Hallo Zusammen, ich habe seit längerer Zeit das Problem, dass nach Rechnerstart und Start einer Internetverbindung McAfee immer wieder den PWS-LegMir aufspürt und löscht bzw. CheckedValue säubert. Name : d3dsmimd.dll - PWS-LegMir nach Rechnerstart...
Archiv
Du betrachtest: PWS-LegMir nach Rechnerstart auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.