Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: freshbar

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 14.12.2004, 22:48   #1
Samtailor
 
freshbar - Standard

freshbar



Hier meine Hijackthis-Log

Habe das Problem mit der sog. Freshbar. Habe ewido, CWShredderer, Spybot, Spy Substract, Anti Vir durchlaufen lassen. Ohne Erfolg, sie haben die verantwortlichen dateien nicht gefunden.

Wie im Log zu sehen ist, ist da bei R1 und O3 der verantwortlicher Eintrag. In der Registrierung findet sich auch ein Eintrag für die Freshbar (die andren hab ich gelöscht und kehren auch nicht wieder). Zudem ist in Windows\System32 die beiden Dateien: iecust.dll und iecust.exe. Wenn ich all dies lösche ist das problem weg. Sobald ich aber neustarte taucht es nach einer Weile wieder auf.

Achja wie ich ja wahrscheinlich nicht zu erwähnen brauche erscheinen bei mir regelmäßig Popup-fenster...

Logfile of HijackThis v1.98.2
Scan saved at 17:31:35, on 14.12.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\csrss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\spoolsv.exe
E:\Programme\AVPersonal\AVWUPSRV.EXE
E:\Programme\ewido\security suite\ewidoctrl.exe
E:\WINDOWS\System32\nvsvc32.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\ZoneLabs\vsmon.exe
E:\WINDOWS\Explorer.EXE
E:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
E:\Programme\AVPersonal\AVGNT.EXE
E:\Programme\SpyKiller\spykiller.exe
E:\WINDOWS\System32\openconf.exe
E:\Programme\AVPersonal\AVGUARD.EXE
E:\hijackthis\HijackThis.exe
E:\Programme\Internet Explorer\IEXPLORE.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = http://fastsearchweb.com/srh.php?q=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: FreshBar - {06ABAA2D-34AB-4902-A326-409BD9B9A7A5} - E:\WINDOWS\System32\iecust.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Zone Labs Client] "E:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVGCtrl] E:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [SpyKiller] E:\Programme\SpyKiller\spykiller.exe /startup
O4 - HKCU\..\Run: [BestPopUpKiller] E:\Programme\BestPopUpKiller\BestPopupKiller.exe /startup
O4 - HKCU\..\RunOnce: [ICQ Lite] E:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: SpySubtract.lnk = E:\Spy Substract\SpySub.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Add bid - {866875B8-9855-48f8-BAAB-8002C325BE69} - E:\Programme\Paragon\Last Minute Gebot\plmg.exe (HKCU)
O9 - Extra 'Tools' menuitem: Add bid - {866875B8-9855-48f8-BAAB-8002C325BE69} - E:\Programme\Paragon\Last Minute Gebot\plmg.exe (HKCU)
O17 - HKLM\System\CCS\Services\Tcpip\..\{B581EBDD-9C2A-4F3E-A010-C638BBB96862}: NameServer = ***.***.***.***

Kann mir wer helfen?

Alt 15.12.2004, 13:43   #2
*Christian*
Gast
 
freshbar - Standard

freshbar



Lösche dies im abg. Modus:

E:\WINDOWS\System32\iecust.dll




Fixe dies mit HijackThis:

R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = http://fastsearchweb.com/srh.php?q=%s
O3 - Toolbar: FreshBar - {06ABAA2D-34AB-4902-A326-409BD9B9A7A5} - E:\WINDOWS\System32\iecust.dll


Sende die Datei E:\WINDOWS\System32\iecust.dll bitte vorher an partytime-germany.ice@web.de
__________________


Alt 15.12.2004, 18:14   #3
Samtailor
 
freshbar - Standard

freshbar



Nein, das habe ich schon alles gemacht. (steht oben im post)
Habe es dann auch gestern geschafft, dass die Einträge

"R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = http://fastsearchweb.com/srh.php?q=%s
O3 - Toolbar: FreshBar - {06ABAA2D-34AB-4902-A326-409BD9B9A7A5} - E:\WINDOWS\System32\iecust.dll"

beide verschwinden... Ebenso die Dateien im Win32 Ordner. Und auch die Registry weist auch nach mehrer Neustarts keine mir bekannt gefährlichen Dateien auf. Jedoch ist das eigentlich problem nicht gelöst: Die nervigen Pop-Ups. Was ich bisher erreicht hab ist nur die Freshbar wirklich wegzubekommen. ich poste nochmal aktuellen Stand meines Log-Files:


Logfile of HijackThis v1.98.2
Scan saved at 18:01:16, on 15.12.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\csrss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\spoolsv.exe
E:\WINDOWS\system32\logonui.exe
E:\Programme\AVPersonal\AVGUARD.EXE
E:\Programme\AVPersonal\AVWUPSRV.EXE
E:\Programme\ewido\security suite\ewidoctrl.exe
E:\WINDOWS\System32\nvsvc32.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\ZoneLabs\vsmon.exe
E:\WINDOWS\Explorer.EXE
E:\WINDOWS\System32\RunDll32.exe
E:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
E:\Programme\AVPersonal\AVGNT.EXE
E:\WINDOWS\System32\unlodctl.exe
E:\WINDOWS\System32\nlsfuncs.exe
E:\WINDOWS\System32\openconf.exe
E:\Programme\Internet Explorer\IEXPLORE.EXE
E:\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Zone Labs Client] "E:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVGCtrl] E:\Programme\AVPersonal\AVGNT.EXE /min
O4 - Global Startup: SpySubtract.lnk = E:\Spy Substract\SpySub.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Add bid - {866875B8-9855-48f8-BAAB-8002C325BE69} - E:\Programme\Paragon\Last Minute Gebot\plmg.exe (HKCU)
O9 - Extra 'Tools' menuitem: Add bid - {866875B8-9855-48f8-BAAB-8002C325BE69} - E:\Programme\Paragon\Last Minute Gebot\plmg.exe (HKCU)
O17 - HKLM\System\CCS\Services\Tcpip\..\{B581EBDD-9C2A-4F3E-A010-C638BBB96862}: NameServer = 192.168.123.254

Wie man sieht, ist gut aufgeräumt, aber das Problem zum teil immer noch da...
__________________

Alt 15.12.2004, 20:10   #4
*Christian*
Gast
 
freshbar - Standard

freshbar



Du hast dir zwischenzeitlich ja schon wieder was eingefangen:

E:\WINDOWS\System32\unlodctl.exe
E:\WINDOWS\System32\nlsfuncs.exe
E:\WINDOWS\System32\openconf.exe

checke diese Dateien hier: http://virusscan.jotti.org/de

Alt 15.12.2004, 20:17   #5
Samtailor
 
freshbar - Standard

freshbar



wie kann das denn sein? ich war net großartig im Internet bis auf Fehlerlösungmöglichkeiten suchen...
Sind meine Firewall und meine tausend andren Blockertools umsonst?

Und zu den Dateien, die du angegeben hast. Die wurden zuletzt geändert 2001, also sind von anfang an da und ich denke deshalb net infiziert.

Irgendwie bin ich bald am verzweifeln. hab mich soviel infortmiert und mache schon vier Tage dran rum mit tausenden Tools und es hilft alles nix...


Geändert von Samtailor (15.12.2004 um 21:11 Uhr)

Alt 15.12.2004, 21:57   #6
Samtailor
 
freshbar - Standard

aktueller stand:



Logfile of HijackThis v1.98.2
Scan saved at 21:56:53, on 15.12.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\csrss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\spoolsv.exe
E:\Programme\AVPersonal\AVGUARD.EXE
E:\Programme\AVPersonal\AVWUPSRV.EXE
E:\Programme\ewido\security suite\ewidoctrl.exe
E:\WINDOWS\System32\nvsvc32.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\ZoneLabs\vsmon.exe
E:\WINDOWS\System32\RunDll32.exe
E:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
E:\Programme\AVPersonal\AVGNT.EXE
E:\WINDOWS\explorer.exe
E:\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Zone Labs Client] "E:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVGCtrl] "E:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [SpyKiller] E:\Programme\SpyKiller\spykiller.exe /startup
O4 - HKCU\..\Run: [BestPopUpKiller] E:\Programme\BestPopUpKiller\BestPopupKiller.exe /startup
O4 - Global Startup: SpySubtract.lnk = E:\Spy Substract\SpySub.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Add bid - {866875B8-9855-48f8-BAAB-8002C325BE69} - E:\Programme\Paragon\Last Minute Gebot\plmg.exe (HKCU)
O9 - Extra 'Tools' menuitem: Add bid - {866875B8-9855-48f8-BAAB-8002C325BE69} - E:\Programme\Paragon\Last Minute Gebot\plmg.exe (HKCU)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1103142192104
O17 - HKLM\System\CCS\Services\Tcpip\..\{B581EBDD-9C2A-4F3E-A010-C638BBB96862}: NameServer = 192.168.123.254

kann das jem. mal angucken?

Alt 15.12.2004, 22:46   #7
eBe
 
freshbar - Standard

freshbar



Tag,

das selbe Problem wie du hatte ich heute auch. Hat doch ziemlich lange gebraucht bis ich eine Lösung gefunden hatte. Ich habe bei mir erst auch alle üblichen Tool wie Ad-Aware, Spybot.... usw. durchlaufen lassen aber mit mäßigem Erfolg. Alle Dateien die ich im Abgesicherten Modus gelöscht habe kamen immer wieder.

Dann hab ich mir mal das Tool BHODDemon runtergeladen (http://www.spywareinfo.com/downloads/bhod/)
und hab festgestellt dass so eine ominöse msz{.dll als Browser Helper Object definiert war. Hab die deaktiviert und dann diese mal im Abgesicherten Modus rausgeschmissen, genauso wie die Dateien:
E:\WINDOWS\System32\unlodctl.exe
E:\WINDOWS\System32\iecust.dll
E:\WINDOWS\System32\iecust.exe

Natürlich auch im HijackThis die Einträge
R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = http://fastsearchweb.com/srh.php?q=%s
O3 - Toolbar: FreshBar - {06ABAA2D-34AB-4902-A326-409BD9B9A7A5} - E:\WINDOWS\System32\iecust.dll
fixen.

und nach einem Neustart: Siehe da alles wieder klar.
Weiss jetzt nicht ob das bei deinem Problem auch hilft, aber einen Versuch ist es vllt wert.

Viel Glück.

MfG
eBe

Alt 15.12.2004, 23:17   #8
Cidre
Administrator, a.D.
 
freshbar - Standard

freshbar



Zitat:
Sind meine Firewall und meine tausend andren Blockertools umsonst?
JA

Zitat:
hab mich soviel infortmiert und mache schon vier Tage dran rum
Dann ist dir mit Sicherheit nicht entgangen, dass du mit administrative Rechte durch die Gegend sufst, der IE unsicher konfiguriert ist und dein System völlig, wahrscheinlich auch andere Software, ungepatcht ist.

Eventuell kannst du dein Problem lösen, aber wenn du dein Verhalten nicht änderst, dann wird dieser Zustand schneller wieder eintreten als dir lieb ist.
__________________
Gruß, Cidre


Alt 16.12.2004, 14:40   #9
Samtailor
 
freshbar - Standard

freshbar



@eBe: Danke für deine Infos...

@Cidre: Ich weiß net, was du hast, ich habe mich, obwohl ich net viel Ahnung habe, was Hijacking ist, und bevor ich euch nur mit Fragen nerve, die ihr zehnmal am Tag hört, informiert und versucht alles herauszufinden, was man machen muss. Ich bin gerne bereit mein "Verhalten", was du als negativ und unvorausschauend ansiehst, zu ändern. Aber anstatt mich nur drauf hinzuweisen, dass ich was falsch gemacht habe (worauf ich schon selber gekommen bin), solltest du lieber erläutern, was du konkret meinst.
Denn mit diesem Satz kann ich nichts anfangen: "..dass du mit administrative Rechte durch die Gegend sufst..." Bitte erklär, was du meinst und sage mir wie ichs verbessern kann...

Alt 18.12.2004, 00:50   #10
*Christian*
Gast
 
freshbar - Standard

freshbar



Bei XP besteht die Möglichkeit einen Account als ADMIN und als USER einzurichten. Es empfiehlt sich nicht, als ADMIN zu surfen.

Hier einige Infos, wie du dich in Zukunft vor Malware schützen kannst:
http://www.mathematik.uni-marburg.d...compromise.html
http://faq.underflow.de/
http://faq.jors.net/virus
http://www.dingens.org/
http://ntsvcfg.de/

Alt 19.12.2004, 15:39   #11
Samtailor
 
freshbar - Standard

freshbar



@Christian: Vielen dank Christian für deine Infos...

@Cidre: Du hattest natürlich recht. Ich bin als Administrator rumgeservt, hab es jetzt aber geändert und werd nur noch eingeschränkt rumserven. Vielen dank für den Hinweis. Trotzdem bin ich der Meinung du hättest es optimistischer und mit mehr Hilfestellung mir unterbreiten können. Nichts für ungut...

Antwort

Themen zu freshbar
.dll, anti, avg, bho, bla, button, dateien, explorer, gelöscht, hijack, icq, internet, internet explorer, microsoft, problem, programme, rundll, rundll32, security, security suite, software, spybot, system, system32, tcpip, windows, windows xp




Zum Thema freshbar - Hier meine Hijackthis-Log Habe das Problem mit der sog. Freshbar. Habe ewido, CWShredderer, Spybot, Spy Substract, Anti Vir durchlaufen lassen. Ohne Erfolg, sie haben die verantwortlichen dateien nicht gefunden. Wie - freshbar...
Archiv
Du betrachtest: freshbar auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.