Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: neulig braucht unbedingt hilfe

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML

Antwort
Alt 05.10.2004, 08:32   #1
xdream1328
 
neulig braucht unbedingt hilfe - Standard

neulig braucht unbedingt hilfe



hallo @ all!
ich bin über google aub das forum gestossen, und muss sagen -> genial!

mein problem ist, dass gestern beim runterladen vom sp2 ging automatisch ein telnet fenster auf, und danach war das system instabil... antivir findet immer mal wieder trojaner und dialer, aber das sind wohl nicht alle...
hab dann hier im forum rumgelesen, und mir das escan geholt, das hat dann mehr trojaner gefunden, aber nicht beseitigt...
als letzte möglichkeit hab ich jetzt eure hilfe gesehen.

min hijack this logfile:

Logfile of HijackThis v1.98.2
Scan saved at 09:27:26, on 05.10.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Apache2\bin\Apache.exe
C:\WINDOWS\System32\Atievxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\mysql\bin\mysqld-nt.exe
C:\Apache2\bin\Apache.exe
C:\WINDOWS\System32\msiexec.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\iRiver\iHP100\iHPDetect.exe
C:\Programme\QuickTime\qttask.exe
C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe
C:\DOKUME~1\Anian\LOKALE~1\Temp\e1f577sogk.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\Plaxo\1.5.2.32\InstallStub.exe
C:\WINDOWS\system32\winmm64.exe
C:\WINDOWS\system32\6432s-ntms.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\Apache2\bin\ApacheMonitor.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\mysql\bin\winmysqladmin.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\explorer.exe
C:\antispyware\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://s-redirect.com/?a=2&b=n-abc
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://s-redirect.com/?a=2&b=n-abc
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://s-redirect.com/?a=2&b=n-abc
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://s-redirect.com/?a=2&b=n-abc
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://s-redirect.com/?b=n-abc
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://s-redirect.com/?a=2&b=n-abc
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://s-redirect.com/?a=2&b=n-abc
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://s-redirect.com/?a=2&b=n-abc
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://s-redirect.com/?a=2&b=n-abc
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://s-redirect.com/?a=2&b=n-abc
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://s-redirect.com/?a=2&b=n-abc
R3 - URLSearchHook: (no name) - {FA78D247-B00B-6420-324F-D2360CCAAFF6} - C:\DOKUME~1\Anian\LOKALE~1\Temp\e1f577sogk.exe
O1 - Hosts: 69.61.29.131 yahoo.com
O1 - Hosts: 69.61.29.131 www.yahoo.com
O1 - Hosts: 69.61.29.131 search.yahoo.com
O1 - Hosts: 69.61.29.132 google.com
O1 - Hosts: 69.61.29.132 www.google.com
O1 - Hosts: 69.61.29.133 msn.com
O1 - Hosts: 69.61.29.133 www.msn.com
O1 - Hosts: 69.61.29.133 search.msn.com
O1 - Hosts: 69.61.29.133 auto.search.msn.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: REALBAR - {4E7BD74F-2B8D-469E-C0FF-FD60B590A87D} - C:\PROGRA~1\GEMEIN~1\Real\Toolbar\realbar.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: REALBAR - {4E7BD74F-2B8D-469E-C0FF-FD60B590A87D} - C:\PROGRA~1\GEMEIN~1\Real\Toolbar\realbar.dll
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [iHP-100] C:\Programme\iRiver\iHP100\iHPDetect.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
O4 - HKLM\..\Run: [WildTangent CDA] RUNDLL32.exe "C:\Programme\WildTangent\Apps\CDA\cdaEngine0400.dll",cdaEngineMain
O4 - HKLM\..\Run: [AA2CFD7B] C:\DOKUME~1\Anian\LOKALE~1\Temp\e1f577sogk.exe
O4 - HKLM\..\Run: [B0744E73] C:\DOKUME~1\Anian\LOKALE~1\Temp\8f98tv2mjy.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [PlaxoUpdate] C:\WINDOWS\Plaxo\1.5.2.32\InstallStub.exe -a
O4 - HKCU\..\Run: [SpywareGuardPlus] C:\WINDOWS\system32\winmm64.exe
O4 - HKCU\..\Run: [nthh] C:\WINDOWS\nthh.exe
O4 - HKCU\..\Run: [6432s-ntms] C:\WINDOWS\system32\6432s-ntms.exe
O4 - HKCU\..\Run: [AA2CFD7B] C:\DOKUME~1\Anian\LOKALE~1\Temp\e1f577sogk.exe
O4 - HKCU\..\Run: [B0744E73] C:\DOKUME~1\Anian\LOKALE~1\Temp\8f98tv2mjy.exe
O4 - Startup: WinMySQLadmin.lnk = C:\mysql\bin\winmysqladmin.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Monitor Apache Servers.lnk = C:\Apache2\bin\ApacheMonitor.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {08BEF711-06DA-48B2-9534-802ECAA2E4F9} (PlxInstall Class) - http://down.plaxo.com/down/release/PlaxoInstall.cab
O16 - DPF: {3A7FE611-1994-4EF1-A09F-99456752289D} - http://install.wildtangent.com/Activ...veLauncher.cab
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti...l_v1-0-3-9.cab
O16 - DPF: {4D7F48C0-CB49-4EA6-97D4-04F4EACC2F3B} - http://www.ipswitch.com/_installs/wsftp_le/setup.exe
O16 - DPF: {62360003-D8A7-418B-9DC6-2B9DE95273A0} (MS Investor Ticker) - http://fdl.msn.com/public/investor/v8/0326/ticker.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1094666532283
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{60D647AD-8A18-4171-8435-0032B513C49C}: NameServer = 217.237.151.97 217.237.150.33




bitte helft mir, brauche meinen rechner dringend...

greetz

Alt 05.10.2004, 09:14   #2
MountainKing
 
neulig braucht unbedingt hilfe - Standard

neulig braucht unbedingt hilfe



Hallo,

überprüfe die nachfolgenden Dateien bitter hier http://virusscan.jotti.org/de

C:\DOKUME~1\Anian\LOKALE~1\Temp\e1f577sogk.exe
C:\WINDOWS\system32\6432s-ntms.exe
C:\DOKUME~1\Anian\LOKALE~1\Temp\8f98tv2mjy.exe
C:\WINDOWS\nthh.exe

Ich gehe davon aus, dass es sich um Malware handelt und nehme es in die zu fixenden Einträge mit auf. Da es sich offenbar um von E-Scan und Antivir noch nicht erkannte Schädlinge handelt, schicke sie bitte in einer gepackten Datei noch an: partytime-germany.ice@web.de mit einem Link zu diesem Thread. Wenn keiner der Scanner in einer Datei einen Schädling entdeckt, lass sie beim Fixen erstmal weg und warte auf die Überprüfung per mail.

Falls du eine Software namens Wildtangent in deiner Liste findest, deinstalliere sie. Plaxo ist wohl ebenfalls eine etwas umstrittene Software, ich würde sowieso zu einem alternativen mailclient wie foxmail oder thunderbrird anstatt outlook raten, wie auch zum Ersatz des IE mit firefox oder opera (außer für die winupdates).

Diese Prozesse per Taskmanager beenden:


C:\DOKUME~1\Anian\LOKALE~1\Temp\e1f577sogk.exe
C:\WINDOWS\system32\winmm64.exe
C:\WINDOWS\system32\6432s-ntms.exe



Mit HijackThis fixen (Scan/genannte Einträge markieren/"Fix checked" klicken):


R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://s-redirect.com/?a=2&b=n-abc
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://s-redirect.com/?a=2&b=n-abc
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://s-redirect.com/?a=2&b=n-abc
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://s-redirect.com/?a=2&b=n-abc
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://s-redirect.com/?b=n-abc
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://s-redirect.com/?a=2&b=n-abc
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://s-redirect.com/?a=2&b=n-abc
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://s-redirect.com/?a=2&b=n-abc
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://s-redirect.com/?a=2&b=n-abc
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://s-redirect.com/?a=2&b=n-abc
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://s-redirect.com/?a=2&b=n-abc
R3 - URLSearchHook: (no name) - {FA78D247-B00B-6420-324F-D2360CCAAFF6} - C:\DOKUME~1\Anian\LOKALE~1\Temp\e1f577sogk.exe
O1 - Hosts: 69.61.29.131 yahoo.com
O1 - Hosts: 69.61.29.131 www.yahoo.com
O1 - Hosts: 69.61.29.131 search.yahoo.com
O1 - Hosts: 69.61.29.132 google.com
O1 - Hosts: 69.61.29.132 www.google.com
O1 - Hosts: 69.61.29.133 msn.com
O1 - Hosts: 69.61.29.133 www.msn.com
O1 - Hosts: 69.61.29.133 search.msn.com
O1 - Hosts: 69.61.29.133 auto.search.msn.com
O4 - HKLM\..\Run: [WildTangent CDA] RUNDLL32.exe "C:\Programme\WildTangent\Apps\CDA\cdaEngine0400.dll",cdaEngineMain
O4 - HKLM\..\Run: [AA2CFD7B] C:\DOKUME~1\Anian\LOKALE~1\Temp\e1f577sogk.exe
O4 - HKLM\..\Run: [B0744E73] C:\DOKUME~1\Anian\LOKALE~1\Temp\8f98tv2mjy.exe
O4 - HKCU\..\Run: [nthh] C:\WINDOWS\nthh.exe
O4 - HKCU\..\Run: [6432s-ntms] C:\WINDOWS\system32\6432s-ntms.exe
O4 - HKCU\..\Run: [AA2CFD7B] C:\DOKUME~1\Anian\LOKALE~1\Temp\e1f577sogk.exe
O4 - HKCU\..\Run: [B0744E73] C:\DOKUME~1\Anian\LOKALE~1\Temp\8f98tv2mjy.exe
O16 - DPF: {3A7FE611-1994-4EF1-A09F-99456752289D} - http://install.wildtangent.com/Acti...iveLauncher.cab
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52...meInstaller.exe



Boote in den abgesicherten Modus:

http://www.bsi.bund.de/av/texte/wiederher_xp.htm

lösche die in den Einträgen genannten Dateien, lass E-Scan wie oben beschrieben durchlaufen, boote normal und aktiviere die Systemwiederherstellung, erstelle eine neues Log und poste es zusammen mit den Informationen über von E-Scan gefundene Schädlinge.
__________________


Alt 05.10.2004, 09:36   #3
xdream1328
 
neulig braucht unbedingt hilfe - Standard

neulig braucht unbedingt hilfe



Zitat:
Zitat von MountainKing
lösche die in den Einträgen genannten Dateien, lass E-Scan wie oben beschrieben durchlaufen, boote normal und aktiviere die Systemwiederherstellung, erstelle eine neues Log und poste es zusammen mit den Informationen über von E-Scan gefundene Schädlinge.
danke erst mal für die schnelle hilfe. eine frage, mein e-scan hat keinen "scan clean" button, wie in eurer anleitung, sondern nur einen "scan" button. macht das was
__________________

Alt 05.10.2004, 09:45   #4
chaosman
 
neulig braucht unbedingt hilfe - Standard

neulig braucht unbedingt hilfe



@xdream1328
kuckst du hier
http://www.trojaner-board.de/51130-a...ijackthis.html
nehme alles zurück,
dateien muss du nun manuell löschen
schicke bitte die dateien die MuntainKing erwähnt zum genannten adresse
chaosman
__________________
Bonus vir semper tiro

Alt 05.10.2004, 10:01   #5
xdream1328
 
neulig braucht unbedingt hilfe - Standard

neulig braucht unbedingt hilfe



kann die dateien nicht schicken, weil ich es mit meinem web.de account, schicken wollte, und der hat einen virus gefunden.. hab jetzt nur die art von virus und den link zum thread geschickt....


Alt 05.10.2004, 10:18   #6
MountainKing
 
neulig braucht unbedingt hilfe - Standard

neulig braucht unbedingt hilfe



Hast du die Dateien vor dem Verschicken gezipped? HAt die Auswertung bei http://virusscan.jotti.org/de etwas ergeben?

Alt 05.10.2004, 12:03   #7
xdream1328
 
neulig braucht unbedingt hilfe - Standard

neulig braucht unbedingt hilfe



Zitat:
Zitat von MountainKing
Hast du die Dateien vor dem Verschicken gezipped? HAt die Auswertung bei http://virusscan.jotti.org/de etwas ergeben?
hab die gezippt, alle dateien waren malware

Alt 05.10.2004, 12:05   #8
xdream1328
 
neulig braucht unbedingt hilfe - Standard

neulig braucht unbedingt hilfe



hab alles erledigt.

neues hijack this logfile:
Logfile of HijackThis v1.98.2
Scan saved at 13:04:55, on 05.10.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Apache2\bin\Apache.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\Atievxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\mysql\bin\mysqld-nt.exe
C:\Apache2\bin\Apache.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\iRiver\iHP100\iHPDetect.exe
C:\Programme\QuickTime\qttask.exe
C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\winmm64.exe
C:\Apache2\bin\ApacheMonitor.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\mysql\bin\winmysqladmin.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\antispyware\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://s-redirect.com/?a=2&b=n-abc
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://s-redirect.com/?a=2&b=n-abc
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://s-redirect.com/?a=2&b=n-abc
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://s-redirect.com/?a=2&b=n-abc
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://s-redirect.com/?b=n-abc
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://s-redirect.com/?a=2&b=n-abc
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://s-redirect.com/?a=2&b=n-abc
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://s-redirect.com/?a=2&b=n-abc
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://s-redirect.com/?a=2&b=n-abc
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://s-redirect.com/?a=2&b=n-abc
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://s-redirect.com/?a=2&b=n-abc
O1 - Hosts: 69.61.29.131 yahoo.com
O1 - Hosts: 69.61.29.131 www.yahoo.com
O1 - Hosts: 69.61.29.131 search.yahoo.com
O1 - Hosts: 69.61.29.132 google.com
O1 - Hosts: 69.61.29.132 www.google.com
O1 - Hosts: 69.61.29.133 msn.com
O1 - Hosts: 69.61.29.133 www.msn.com
O1 - Hosts: 69.61.29.133 search.msn.com
O1 - Hosts: 69.61.29.133 auto.search.msn.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: REALBAR - {4E7BD74F-2B8D-469E-C0FF-FD60B590A87D} - C:\PROGRA~1\GEMEIN~1\Real\Toolbar\realbar.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: REALBAR - {4E7BD74F-2B8D-469E-C0FF-FD60B590A87D} - C:\PROGRA~1\GEMEIN~1\Real\Toolbar\realbar.dll
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [iHP-100] C:\Programme\iRiver\iHP100\iHPDetect.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpywareGuardPlus] C:\WINDOWS\system32\winmm64.exe
O4 - HKCU\..\Run: [AA2CFD7B] C:\DOKUME~1\Anian\LOKALE~1\Temp\e1f577sogk.exe
O4 - Startup: WinMySQLadmin.lnk = C:\mysql\bin\winmysqladmin.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Monitor Apache Servers.lnk = C:\Apache2\bin\ApacheMonitor.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {08BEF711-06DA-48B2-9534-802ECAA2E4F9} (PlxInstall Class) - http://down.plaxo.com/down/release/PlaxoInstall.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti...l_v1-0-3-9.cab
O16 - DPF: {4D7F48C0-CB49-4EA6-97D4-04F4EACC2F3B} - http://www.ipswitch.com/_installs/wsftp_le/setup.exe
O16 - DPF: {62360003-D8A7-418B-9DC6-2B9DE95273A0} (MS Investor Ticker) - http://fdl.msn.com/public/investor/v8/0326/ticker.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1094666532283
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{60D647AD-8A18-4171-8435-0032B513C49C}: NameServer = 217.237.151.97 217.237.150.33



das hat e-scan gefunden:

File C:\WINDOWS\telnet.exe infected by "TrojanDropper.Win32.Agent.k" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\winmm64.exe infected by "TrojanDownloader.Win32.Small.vt" Virus. Action Taken: No Action Taken.
File C:\RECYCLER\S-1-5-21-515967899-839522115-854245398-500\Dc2.exe infected by "TrojanDropper.Win32.Small.kt" Virus. Action Taken: No Action Taken.
File C:\RECYCLER\S-1-5-21-515967899-839522115-854245398-500\Dc4.exe infected by "TrojanDropper.Win32.Small.kt" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\$NtServicePackUninstall$\telnet.exe infected by "TrojanDropper.Win32.Agent.k" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\winmm64.exe infected by "TrojanDownloader.Win32.Small.vt" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\telnet.exe infected by "TrojanDropper.Win32.Agent.k" Virus. Action Taken: No Action Taken.

Alt 05.10.2004, 19:26   #9
*Christian*
Gast
 
neulig braucht unbedingt hilfe - Standard

neulig braucht unbedingt hilfe



Bei partytime-germany.ice@web.de sind keine Dateien angekommen.


Lösche diese Dateien im abgesicherten Modus:
C:\WINDOWS\system32\winmm64.exe
C:\PROGRA~1\GEMEIN~1\Real\Toolbar\realbar.dll


Fixe dies:

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://s-redirect.com/?a=2&b=n-abc
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://s-redirect.com/?a=2&b=n-abc
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://s-redirect.com/?a=2&b=n-abc
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://s-redirect.com/?a=2&b=n-abc
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://s-redirect.com/?b=n-abc
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://s-redirect.com/?a=2&b=n-abc
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://s-redirect.com/?a=2&b=n-abc
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://s-redirect.com/?a=2&b=n-abc
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://s-redirect.com/?a=2&b=n-abc
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://s-redirect.com/?a=2&b=n-abc
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://s-redirect.com/?a=2&b=n-abc
O1 - Hosts: 69.61.29.131 yahoo.com
O1 - Hosts: 69.61.29.131 www.yahoo.com
O1 - Hosts: 69.61.29.131 search.yahoo.com
O1 - Hosts: 69.61.29.132 google.com
O1 - Hosts: 69.61.29.132 www.google.com
O1 - Hosts: 69.61.29.133 msn.com
O1 - Hosts: 69.61.29.133 www.msn.com
O1 - Hosts: 69.61.29.133 search.msn.com
O1 - Hosts: 69.61.29.133 auto.search.msn.com
O3 - Toolbar: REALBAR - {4E7BD74F-2B8D-469E-C0FF-FD60B590A87D} -
C:\PROGRA~1\GEMEIN~1\Real\Toolbar\realbar.dll
O4 - HKCU\..\Run: [SpywareGuardPlus] C:\WINDOWS\system32\winmm64.exe
O4 - HKCU\..\Run: [AA2CFD7B]
C:\DOKUME~1\Anian\LOKALE~1\Temp\e1f577sogk.exe


O16 - DPF: {08BEF711-06DA-48B2-9534-802ECAA2E4F9} (PlxInstall Class) - http://down.plaxo.com/down/release/PlaxoInstall.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/act...ol_v1-0-3-9.cab
O16 - DPF: {4D7F48C0-CB49-4EA6-97D4-04F4EACC2F3B} - http://www.ipswitch.com/_installs/wsftp_le/setup.exe
O16 - DPF: {62360003-D8A7-418B-9DC6-2B9DE95273A0} (MS Investor Ticker) - http://fdl.msn.com/public/investor/v8/0326/ticker.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.c...b?1094666532283
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/active...ol_v1-0-3-0.cab

Alt 05.10.2004, 21:05   #10
xdream1328
 
neulig braucht unbedingt hilfe - Standard

neulig braucht unbedingt hilfe



so, hab nochmal alles gemacht,

logfile sieht folgendermaßen aus:
Logfile of HijackThis v1.98.2
Scan saved at 22:03:38, on 05.10.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Apache2\bin\Apache.exe
C:\WINDOWS\System32\Atievxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\mysql\bin\mysqld-nt.exe
C:\Apache2\bin\Apache.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\iRiver\iHP100\iHPDetect.exe
C:\Programme\QuickTime\qttask.exe
C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Apache2\bin\ApacheMonitor.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\mysql\bin\winmysqladmin.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\antispyware\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: (no name) - {4E7BD74F-2B8D-469E-C0FF-FD60B590A87D} - (no file)
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [iHP-100] C:\Programme\iRiver\iHP100\iHPDetect.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: WinMySQLadmin.lnk = C:\mysql\bin\winmysqladmin.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Monitor Apache Servers.lnk = C:\Apache2\bin\ApacheMonitor.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {08BEF711-06DA-48B2-9534-802ECAA2E4F9} (PlxInstall Class) - http://down.plaxo.com/down/release/PlaxoInstall.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti...l_v1-0-3-9.cab
O16 - DPF: {4D7F48C0-CB49-4EA6-97D4-04F4EACC2F3B} - http://www.ipswitch.com/_installs/wsftp_le/setup.exe
O16 - DPF: {62360003-D8A7-418B-9DC6-2B9DE95273A0} (MS Investor Ticker) - http://fdl.msn.com/public/investor/v8/0326/ticker.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1094666532283
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{60D647AD-8A18-4171-8435-0032B513C49C}: NameServer = 217.237.151.97 217.237.150.33



e-scan hat nichtsmehr gefunden


zwischendurch mal ein danke an alle, die hier helfen :aplaus:

Alt 05.10.2004, 21:10   #11
Cidre
Administrator, a.D.
 
neulig braucht unbedingt hilfe - Standard

neulig braucht unbedingt hilfe



Diesen Eintrag kannst du noch fixen, ansonsten ist dein Log-File sauber:
O3 - Toolbar: (no name) - {4E7BD74F-2B8D-469E-C0FF-FD60B590A87D} - (no file)

Lesenswerte Lektüre:
http://www.mathematik.uni-marburg.de...ompromise.html
__________________
Gruß, Cidre


Alt 06.10.2004, 08:44   #12
xdream1328
 
neulig braucht unbedingt hilfe - Standard

neulig braucht unbedingt hilfe



danke an alle, die mir geholfen haben

@Cidre: wirklich lesenswert

greetz

Antwort

Themen zu neulig braucht unbedingt hilfe
adobe, antispyware, antivir, bho, escan, excel, explorer, google, hijack, hijack this, hijackthis, hilfe, internet, internet explorer, logfile, microsoft, problem, programme, rundll, software, sun java, system, tcpip, temp, trojaner, trojaner gefunden, urlsearchhook, windows, windows messenger, windows xp



Ähnliche Themen: neulig braucht unbedingt hilfe


  1. akm bmi virus 50€ , benötige unbedingt hilfe!
    Plagegeister aller Art und deren Bekämpfung - 21.05.2012 (6)
  2. brauche unbedingt eure hilfe
    Log-Analyse und Auswertung - 21.03.2009 (6)
  3. Freundin von mir braucht unbedingt schnelle Hilfe
    Log-Analyse und Auswertung - 14.03.2009 (13)
  4. trojaner ..?! brauche unbedingt hilfe
    Mülltonne - 14.01.2009 (0)
  5. Brauche unbedingt Hilfe...PC irre langsam
    Log-Analyse und Auswertung - 25.07.2008 (18)
  6. Brauche unbedingt mal Hilfe!!!
    Log-Analyse und Auswertung - 16.09.2007 (9)
  7. Brauche unbedingt hilfe LogFile!
    Log-Analyse und Auswertung - 09.12.2006 (2)
  8. brauch unbedingt hilfe!
    Log-Analyse und Auswertung - 03.07.2006 (1)
  9. Brauch unbedingt hilfe
    Log-Analyse und Auswertung - 23.01.2006 (1)
  10. ]-[ i L f E ich brauche hilfe unbedingt mein rechner is lam wie ne schildkröte
    Log-Analyse und Auswertung - 01.09.2005 (1)
  11. Brauch unbedingt eure HILFE!!!
    Plagegeister aller Art und deren Bekämpfung - 28.08.2005 (24)
  12. Brauche unbedingt hilfe bitte !
    Plagegeister aller Art und deren Bekämpfung - 05.07.2005 (9)
  13. Brauche unbedingt eure hilfe! BITTE!
    Log-Analyse und Auswertung - 02.05.2005 (5)
  14. Brauche unbedingt Hilfe habe todes VIRUS
    Plagegeister aller Art und deren Bekämpfung - 10.01.2005 (1)
  15. Brauche unbedingt Hilfe -> CoolWWWSearch.xxx & Co geht nicht weg
    Plagegeister aller Art und deren Bekämpfung - 08.01.2005 (3)
  16. Brauche unbedingt Hilfe
    Plagegeister aller Art und deren Bekämpfung - 02.01.2005 (1)
  17. Brauche unbedingt Hilfe
    Log-Analyse und Auswertung - 19.11.2004 (1)

Zum Thema neulig braucht unbedingt hilfe - hallo @ all! ich bin über google aub das forum gestossen, und muss sagen -> genial! mein problem ist, dass gestern beim runterladen vom sp2 ging automatisch ein telnet fenster - neulig braucht unbedingt hilfe...
Archiv
Du betrachtest: neulig braucht unbedingt hilfe auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.