Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
Kann sich mir mal einer annehmen?

Kann sich mir mal einer annehmen?


Log-Analyse und Auswertung: Kann sich mir mal einer annehmen?

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML

Antwort
Alt 19.10.2004, 16:01   #1
Schebbi
 
Kann sich mir mal einer annehmen? - Standard

Kann sich mir mal einer annehmen?


Logfile of HijackThis v1.98.2
Scan saved at 16:58:09, on 19.10.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Softwin\BitDefender Free Edition\bdmcon.exe
C:\WINDOWS\system32\Windows-Update.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BROWSER\BROWSER.EXE
C:\DOKUME~1\Sebbl\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aldi.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.aldi.com/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NavHelper Class - {C1E58A84-95B3-4630-B8C2-D06B77B7A0FC} - C:\Programme\NavExcel\NavHelper\v2.0.4c\NHelper.dll
O2 - BHO: Helper Class - {D80C4E21-C346-4E21-8E64-20746AA20AEB} - C:\Programme\NavExcel Search Toolbar\NavExcelBar.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: NavExcel Toolbar - {5AA06644-BC46-4220-A460-47A6EB47C96D} - C:\Programme\NavExcel Search Toolbar\NavExcelBar.dll
O4 - HKLM\..\Run: [BDMCon] C:\Programme\Softwin\BitDefender Free Edition\\bdmcon.exe
O4 - HKLM\..\Run: [Windows 32 Update] Windows-Update.exe
O4 - HKLM\..\Run: [Win32 USB Driver] mvsecn.exe
O4 - HKLM\..\RunServices: [Windows 32 Update] Windows-Update.exe
O4 - HKLM\..\RunServices: [Win32 USB Driver] mvsecn.exe
O4 - HKCU\..\Run: [Win32 USB Driver] mvsecn.exe
O4 - HKCU\..\Run: [Windows 32 Update] Windows-Update.exe
O4 - HKCU\..\RunServices: [Windows 32 Update] Windows-Update.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {17CB20A8-9C65-46E4-A355-7200ABB0C1E6} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/2575a1141fef804...dxIE601_de.cab
O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - http://support.f-secure.com/ols/fscax.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B8A00165-596F-4686-803A-9F05847262B8}: NameServer = 217.237.151.161 217.237.151.33

Bin für jede Hilfe dankbar

MFG Schebbi

Alt 19.10.2004, 17:24   #2
chaosman
 
Kann sich mir mal einer annehmen? - Standard

Kann sich mir mal einer annehmen?


@Schebbi
dieser hier ist im system
http://www.sophos.de/virusinfo/analyses/w32aozob.html
C:\WINDOWS\system32\Windows-Update.exe

über NAVexcel findest du hier etwas
http://www.pestpatrol.com/PestInfo/n/navexcel.asp
hier hast du ein großes problem
http://www.sophos.com/virusinfo/anal...2forbotbk.html
O4 - HKLM\..\Run: [Win32 USB Driver] mvsecn.exe

der letzte ist der gefährlichste. der hat backdoor eigenschaften.
das heißt daß dein system sehr wahrscheinlich schon kompromittiert ist.
http://www.mathematik.uni-marburg.de...ompromise.html
in diesem fall kann ich dir nur raten, dein system neu aufzusetzen, und anschließend deine passwörterzu ändern.
dein system ist einfach nicht mehr vertrauenswürdig, unter umstände bist du schon ausspioniert worden.
chaosman
__________________

__________________
Alt 19.10.2004, 17:29   #3
Haui45
 
Kann sich mir mal einer annehmen? - Standard

Kann sich mir mal einer annehmen?


Hallo Schebbi,
führe bitte unbedingt eScan im
abgesicherten Modus aus und poste welche Viren gefunden wurden, da der Verdacht besteht, dass sich auf deinem PC ein Wurm mit Backdoor-Funktionalität eingenistet hat (verbessert mich bitte wenn ich mich irren sollte, will ja nichts falsches erzählen). Das hätte zur Folge dass dein System kompromittiert ist, siehe auch http://oschad.de/wiki/index.php/Kompromittierung

so far
__________________
Alt 19.10.2004, 17:36   #4
Schebbi
 
Kann sich mir mal einer annehmen? - Standard

Kann sich mir mal einer annehmen?


Verdammte Axt
hab meine Festplatte schon zig mal formatiert aber die drechs Würmer sind schon beim Neustart wieder drauf. Kann mir da irgendjemand helfen.

Was heißt eigentlich ausspioniert? Hab Passwörter oder so nirgends gespeichert und ansonsten hab ich auch nichts wichtiges drauf.

MFG Schebbi

Alt 19.10.2004, 17:40   #5
chaosman
 
Kann sich mir mal einer annehmen? - Standard

Kann sich mir mal einer annehmen?


@Schebbi
neues systemaufsetzen
Zitat von Cidre
[..]
Nach dem Neuaufsetzen und vor der ersten Internet Verbindung solltest du folgende Punkte abarbeiten:

1. Eingeschränktes Benutzerkonto erstellen und zum Surfen benutzen http://freenet.meome.de/app/fn/artc...jsp?catId=79426
2. Internetverbindungsfirewall aktivieren http://www.computerhilfe-euskirchen...sxp/tipp16.html
3. Das System updaten und stets aktuell halten http://v5.windowsupdate.microsoft.c...er/default.aspx
4. NT-Dienste sicher konfigurieren http://www.ntsvcfg.de/ oder www.dingens.org
5. IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/se...msie/config.htm oder http://www.blafusel.de/ie.html
6. Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org/
7. MS Outlook und Outlook Express sicherer konfigurieren
http://www.fz-juelich.de/zam/net/se...ook-config.html oder http://www.datenschutz-bremen.de/ti...griffe/mail.htm
Besser wäre es, sichere eMail Clients wie Thunderbird einzusetzen http://www.thunderbird-mail.de/
8. Deine Passwörter ändern
9. Image der Systempartition erstellen mit z.B. Acronis True Image 7
10. Surfverhalten überdenken

Info zur Installation von Win XP findest du hier:
http://8ung.at/chemikers-home/SETUP.html
und
http://chip-faq.rufisplanet.ch/installation.html

Für die Zukunft:
http://www.mathematik.uni-marburg.d...compromise.html

mit dank an Cidre
in deinem fall würde ich mir eine saubere XP CD besorgen, und das machen was hieroben steht
chaosman

__________________
Bonus vir semper tiro

Alt 19.10.2004, 19:02   #6
cacatoa
 
Kann sich mir mal einer annehmen? - Standard

Kann sich mir mal einer annehmen?


Hi schebbi,
Zitat: hab meine Festplatte schon zig mal formatiert aber die drechs Würmer sind schon beim Neustart wieder drauf. Kann mir da irgendjemand helfen.

Das Zeug, das Du drauf hast, hat gerne mal die Eigenschaften, auch in Datenbanken versteckt zu sein. Das heißt für dich, du formatierst ganz brav, alles ist o.k. und dann legst Du Deine alten Datenbanken, die Du vorher gecheckt hast wieder aufs System - und wupps - sind wieder alle oder einige Deiner Lieblinge wieder da.
Nicht jeder Scanner (vor allem, wenn er nicht auf neuestem Stand ist) findet die Teile in den Datenbanken wieder.
Sinnvoll wäre es, die Datenbanken online (Kaspersky) zu scannen. Auf verseuchte würde ich ganz verzichten und von vorne anfangen!
cacatoa
__________________
--> Kann sich mir mal einer annehmen?

Alt 22.10.2004, 11:46   #7
Schebbi
 
Kann sich mir mal einer annehmen? - Standard

Kann sich mir mal einer annehmen?


Hey Leutz
wie funktioniert das ein System neu aufsetzen?
Wenn ich meine XP disc reinhau und alles installiere und dann meinen rechner wieder neu hochfahre sind die Viren schon wieder am Start. Ich bin kurz davor meinen Laptop ausm Fenster zu werfen
Ausserdem erzählt er mir nach dem Neustart das ich kein Netzwerkkabel angeschlossen habe. Ich hab die Netzwerkkarte überprüft und da scheint alles in Ordnung zu sein.

Hoff ihr könnt mir helfen

MFG Schebbi

Alt 22.10.2004, 13:14   #8
Shadowdance
 
Kann sich mir mal einer annehmen? - Standard

Kann sich mir mal einer annehmen?


Hallo Schebbi,

"formatieren & neuaufsetzen" - schau mal in diesem Link nach, arbeite die Punkte 1 - 10 der Reihe nach durch: Tipps von MountainKing & Raman

SD

Alt 22.10.2004, 20:15   #9
Schebbi
 
Kann sich mir mal einer annehmen? - Standard

Kann sich mir mal einer annehmen?


Hallo Leute
erstmal danke für die flotte und gute Hilfe
Kann sich jemand bitte meinen neuen Scan anschaun?

Logfile of HijackThis v1.98.2
Scan saved at 21:11:29, on 22.10.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\Sebi\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\RunServices: [DJSNetCN] C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1098461731281
O17 - HKLM\System\CCS\Services\Tcpip\..\{F4A6E8B1-DE28-4FA2-BED8-D0244B0B6757}: NameServer = 217.237.151.161 217.237.151.33

MFG Schebbi

Alt 22.10.2004, 20:28   #10
Haui45
 
Kann sich mir mal einer annehmen? - Standard

Kann sich mir mal einer annehmen?


Ich kann in deinen Log nichts gefährliches entdecken

Zitat:
C:\Programme\Internet Explorer\iexplore.exe
Trotzdem solltest du über die Verwendung eines alternativen Browsers nachdenken wie z.B. Firefox nachdenken.

Alt 23.10.2004, 07:04   #11
Shadowdance
 
Kann sich mir mal einer annehmen? - Standard

Kann sich mir mal einer annehmen?


@ Schebbi,

arbeite das Tutorial der Spybot-Forschung Punkt für Punkt durch, überprüfe den Rechner mit Spybot 1.3.1TX, lasse damit eventuell bestehende Probleme beheben.

Lade das Clear Prog runter, leere damit regelmäßig die Ordner TEMP, Temporary Internet Files, Cookies und den Verlauf.

Downloade das Programm SpywareBlaster 3.2 . Führe es auf Deinem Rechner aus. Am besten läßt Du alle Häk'chen angefinkt und erstellst damit einen Schutz für Deine(n) Browser. Bitte die Gebrauchsanweisung lesen und täglich updaten. Wenn Du Fragen dazu hast, stell sie.

Lade das Programm TrojanCheck runter, lass den Hintergrundwächter laufen, lies die Bedienungsanleitung. Auf diese Weise kannst Du Dein System hervorragend schützen. Wenn Du nun noch die Hinweise weiter oben im Posting alle befolgst, sollte einem sicheren Surfen nichts mehr im Weg stehen.

Beachte auch die Links in meiner Signatur "PC-Sicherheit" und "TI Hijacker-Rubrik" -> alle Links.

SD

Alt 01.11.2004, 12:58   #12
Schebbi
 
Kann sich mir mal einer annehmen? - Standard

Kann sich mir mal einer annehmen?


Hab grad mein Laptop neu aufgesetzt. Bitte mal anschauen.Danke

Logfile of HijackThis v1.98.2
Scan saved at 12:57:32, on 01.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Launch Manager\LaunchAp.exe
C:\Programme\Launch Manager\HotkeyApp.exe
C:\Programme\Launch Manager\OSD.exe
C:\Programme\Launch Manager\Wbutton.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\WINDOWS\System32\PRISMSTA.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\System32\msiexec.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BROWSER\BROWSER.EXE
C:\Dokumente und Einstellungen\HUHU\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.medion.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aldi.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [LaunchAp] C:\Programme\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Programme\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [LMgrOSD] C:\Programme\Launch Manager\OSD.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [CtrlVol] C:\Programme\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\RunServices: [DJSNetCN] C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: MedionShop - {17CB20A8-9C65-46E4-A355-7200ABB0C1E6} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/2575a1141fef804...dxIE601_de.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B8A00165-596F-4686-803A-9F05847262B8}: NameServer = 217.237.151.161 217.237.151.33

Alt 01.11.2004, 13:28   #13
cacatoa
 
Kann sich mir mal einer annehmen? - Standard

Kann sich mir mal einer annehmen?


Na, Schebbi,
das hast Du noch drauf und deshalb mit HJT im abgesicherten Modus fixen:
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

Folgende Datei manuell löschen:

C:\WINDOWS\web\related.htm

Wenn dir nicht bekannt, dann auch folgendes fixen:

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/2575a1141fef80...RdxIE601_de.cab

Die IP 207.188.7.150 kannst Du hier abprüfen.

Außerdem würde ich nicht empfehlen, zwei Virenscanner gleichzeitig laufen zu lassen.
Poste anschließend ein neues Log.
cacatoa
__________________
Der Mensch sollte eine Hundeseele haben

Alt 21.11.2004, 01:18   #14
Schebbi
 
Kann sich mir mal einer annehmen? - Standard

Kann sich mir mal einer annehmen?


Hab mein System nun zum 12 ten mal wieder aufgesetzt schaut euch bitte mal den log an. Danke.

Logfile of HijackThis v1.98.2
Scan saved at 01:15:42, on 21.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Norton Personal Firewall\ISSVC.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Launch Manager\LaunchAp.exe
C:\Programme\Launch Manager\HotkeyApp.exe
C:\Programme\Launch Manager\OSD.exe
C:\Programme\Launch Manager\Wbutton.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\WINDOWS\System32\PRISMSTA.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\WINDOWS\System32\spoolsvc.exe
C:\Programme\eMule\emule.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\wanmpsvc.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\T-Online\T-Online_Software_5\Browser\browser.exe
C:\Dokumente und Einstellungen\HUHU\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.medion.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aldi.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Norton Personal Firewall - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton Personal Firewall - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [LaunchAp] C:\Programme\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Programme\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [LMgrOSD] C:\Programme\Launch Manager\OSD.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [CtrlVol] C:\Programme\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [Windows Registry Server] spoolsvc.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\RunServices: [DJSNetCN] C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
O4 - HKLM\..\RunServices: [Windows Registry Server] spoolsvc.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: MedionShop - {17CB20A8-9C65-46E4-A355-7200ABB0C1E6} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/2575a1141fef804...dxIE601_de.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.de/scan/Msie/bitdefender.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B8A00165-596F-4686-803A-9F05847262B8}: NameServer = 217.237.151.161 217.237.151.33

Alt 21.11.2004, 03:02   #15
Shadowdance
 
Kann sich mir mal einer annehmen? - Standard

Kann sich mir mal einer annehmen?


Hallo Schebbi,

wie oft willst Du noch aufsetzen? Wann begreifst Du, dass Du diese Links lesen und die Ratschläge annehmen solltest?

Dein System ist kompromittiert: => formatieren.

Die Sophos Virusinformation: W32/Sdbot-KD:"W32/Sdbot-KD ist ein Netzwerkwurm mit Backdoor-Funktionalität, wodurch ein remoter Eindringling den Zugriff auf und die Steuerung über den Computer mittels IRC-Kanälen erhält." ->"Erläuterung" lesen.

Cidre's Rat:
Zitat:
Zitat von Cidre
[..] Setze das System neu auf, da dies nicht mehr vertrauenswürdig ist.
http://oschad.de/wiki/index.php/Kompromittierung
http://faq.underflow.de/#SECTION000120000000000000000

Nach dem Neuaufsetzen und vor der ersten Internet Verbindung solltest du folgende Punkte abarbeiten:

1. Eingeschränktes Benutzerkonto erstellen und zum Surfen benutzen http://freenet.meome.de/app/fn/artco...sp?catId=79426
2. Internetverbindungsfirewall aktivieren http://www.computerhilfe-euskirchen....xp/tipp16.html
3. Das System updaten und stets aktuell halten http://v5.windowsupdate.microsoft.co...r/default.aspx
4. NT-Dienste sicher konfigurieren http://www.ntsvcfg.de/ oder www.dingens.org
5. IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm oder http://www.blafusel.de/ie.html
6. Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org/
7. MS Outlook und Outlook Express sicherer konfigurieren
http://www.fz-juelich.de/zam/net/sec...ok-config.html oder http://www.datenschutz-bremen.de/tip...riffe/mail.htm
Besser wäre es, sichere eMail Clients wie Thunderbird einzusetzen http://www.thunderbird-mail.de/
8. Deine Passwörter ändern
9. Image der Systempartition erstellen mit z.B. Acronis True Image 7
10. Surfverhalten überdenken

Info zur Installation von Win XP findest du hier:
http://8ung.at/chemikers-home/SETUP.html
und
http://chip-faq.rufisplanet.ch/installation.html

Für die Zukunft:
http://www.mathematik.uni-marburg.de...ompromise.html
Lutz' Datensicherung und Entfernung von Schädlingen.

SD
Geändert von Shadowdance (21.11.2004 um 03:07 Uhr)

Antwort

Themen zu Kann sich mir mal einer annehmen?
.inf, adobe, antivirus, bho, bitdefender, browser, dateien, defender, explorer, f-secure, file missing, hijack, hijackthis, hilfe, icqtoolbar, internet, internet explorer, logfile, messenger, microsoft, programme, server, software, sun java, symantec, system, t-online, tcpip, temp, urlsearchhook, usb, windows, windows messenger, windows xp


« Etwas planlos... | wie krieg ich diesen BDS Agent los? »


Ähnliche Themen: Kann sich mir mal einer annehmen?


  1. Kann sich mal einer meinen logfile anschauen!!
    Log-Analyse und Auswertung - 14.03.2008 (5)
  2. Hi, Bin Neu Hier; Kann Sich Einer Meinen Log Anschauen?????
    Log-Analyse und Auswertung - 07.01.2008 (1)
  3. Hi, Bin Neu Hier; Kann Sich Einer Meinen Log Anschauen?????
    Log-Analyse und Auswertung - 17.12.2007 (0)
  4. Probleme mit dem I-net kann mal einer gucken ob sich ja was verbirgt?Danke!
    Mülltonne - 07.08.2007 (2)
  5. Könnte sich jemand mal des Logfiles annehmen
    Log-Analyse und Auswertung - 28.02.2007 (2)
  6. Kann sich das mal einer angucken?
    Log-Analyse und Auswertung - 02.12.2006 (3)
  7. Kann sich das mal einer anschauen...DANKE im Vorraus!
    Mülltonne - 24.10.2006 (1)
  8. Kann sich das mal einer anschauen...DANKE im Vorraus!
    Mülltonne - 24.10.2006 (1)
  9. kann sich das einer mal anschauen?
    Mülltonne - 17.08.2006 (1)
  10. Bitte um Hilfe!!!!!!!!!!!!! - Kann sich einer meine LOG ansehen.
    Log-Analyse und Auswertung - 07.02.2006 (1)
  11. Kann sich das mal einer ansehen
    Log-Analyse und Auswertung - 14.01.2006 (3)
  12. Kann sich das einer schnell aml anschauen?
    Log-Analyse und Auswertung - 06.09.2005 (3)
  13. Hab auch den Buddy F. Kann sich einer meinen escan angucken?
    Plagegeister aller Art und deren Bekämpfung - 29.05.2005 (1)
  14. Kann sich einer mal den log ansehen?????
    Log-Analyse und Auswertung - 27.02.2005 (5)
  15. Kann sich das mal einer ansehen (MSH Search - Searchdom.net)
    Log-Analyse und Auswertung - 15.02.2005 (4)
  16. Hallo,kann sich das mal einer ansehen??
    Log-Analyse und Auswertung - 26.07.2004 (1)
  17. Kann sich das mal einer ansehen.
    Log-Analyse und Auswertung - 15.06.2004 (3)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Kann sich mir mal einer annehmen? - Logfile of HijackThis v1.98.2 Scan saved at 16:58:09, on 19.10.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe - Kann sich mir mal einer annehmen?...
Archiv
Du betrachtest: Kann sich mir mal einer annehmen? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129