Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: DR/180solutions

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 12.01.2005, 23:01   #1
Deep
 
DR/180solutions - Standard

DR/180solutions



antivir meldet immer wieder den dropper dr/180solutions. auch das empfohlene ausschalten des windows-seitigen kopieren von konfigurationsdateien und virenscan im abgesicherten modus bringt nichts, er kommt immer wieder. im systemtray befindet sich jetzt ein nicht ausschaltbares icon mit namen 180search options von new.net. sieht jemand in diesem hijack this logfile, was ich fixen kann oder kennt diesen dropper sogar persönlich?

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D784B7D6BE0B3} - E:\Programme\Acrobat Reader\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: QuickSearch SearchBar - {82315A18-6CFB-44a7-BDFD
90E36537C252} - C:\Programme\QuickSearch\QuickSearchBar3_28.dll
O3 - Toolbar: QuickSearch SearchBar - {82315A18-6CFB-44a7-BDFD-
90E36537C252} - C:\Programme\QuickSearch\QuickSearchBar3_28.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:
\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [DadApp] C:\Programme\Dell\AccessDirect\dadapp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.
2_06\bin\jusched.exe
O4 - HKLM\..\Run: [saap] e:\programme\gluz\saap.exe
O4 - HKLM\..\Run: [AVGCtrl] E:\Programme\AntiVir\AVGNT.EXE /min
O4 - HKLM\..\Run: [ydotot] C:\WINDOWS\ydotot.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /
background
O4 - Startup: OpenOffice.org 1.1.4.lnk = E:
\Programme\OpenOffice\program\quickstart.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-
00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-
AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683}
- C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-
BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {90A29DA5-D020-4B18-8660-6689520C7CD7} (DmiReader Class)
- http://support.euro.dell.com/global/...r/PROFILER.CAB
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF}
(MsnMessengerSetupDownloadControl Class) - http://messenger.msn.
com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) -
http://zone.msn.com/binFramework/v10...o.cab32846.cab
O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} - http://fdl.msn.
com/zone/datafiles/heartbeat.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{45B748A6-4BE8-4D47-95AB-
03274F5A9C49}: Domain = lan.fli4l
O17 - HKLM\System\CCS\Services\Tcpip\..\{45B748A6-4BE8-4D47-95AB-
03274F5A9C49}: NameServer = 192.168.1.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{45B748A6-4BE8-4D47-95AB-
03274F5A9C49}: Domain = lan.fli4l
O17 - HKLM\System\CS1\Services\Tcpip\..\{45B748A6-4BE8-4D47-95AB-
03274F5A9C49}: NameServer = 192.168.1.1

Ich danke im voraus für jegliche hilfe.

Alt 12.01.2005, 23:59   #2
Shadowdance
 
DR/180solutions - Standard

DR/180solutions



@ Deep

poste bitte ein komplettes Hijack This Logfile: http://www.trojaner-board.de/51130-a...ijackthis.html. Denk bitte daran, dass das Programm Hijack This in einem neuen Ordner unter C: laufen sollte, siehe dazu auch HijackThis.
__________________


Alt 13.01.2005, 00:07   #3
Deep
 
DR/180solutions - Standard

DR/180solutions



also, hier noch das komplette logfile, hijack diesmal unter c:\hijackthis\ ausgeführt:

Logfile of HijackThis v1.98.2
Scan saved at 01:04:36, on 13.01.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Dell\AccessDirect\dadapp.exe
C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
E:\programme\gluz\saap.exe
E:\Programme\AntiVir\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
E:\Programme\OpenOffice\program\soffice.exe
E:\Programme\AntiVir\AVGUARD.EXE
E:\Programme\AntiVir\AVWUPSRV.EXE
E:\Programme\Azureus\Azureus.exe
C:\Programme\Java\j2re1.4.2_06\bin\javaw.exe
C:\Hijack This\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Acrobat Reader\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: QuickSearch SearchBar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Programme\QuickSearch\QuickSearchBar3_28.dll
O3 - Toolbar: QuickSearch SearchBar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Programme\QuickSearch\QuickSearchBar3_28.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [DadApp] C:\Programme\Dell\AccessDirect\dadapp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [saap] e:\programme\gluz\saap.exe
O4 - HKLM\..\Run: [AVGCtrl] E:\Programme\AntiVir\AVGNT.EXE /min
O4 - HKLM\..\Run: [ydotot] C:\WINDOWS\ydotot.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: OpenOffice.org 1.1.4.lnk = E:\Programme\OpenOffice\program\quickstart.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {90A29DA5-D020-4B18-8660-6689520C7CD7} (DmiReader Class) - http://support.euro.dell.com/global/...r/PROFILER.CAB
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/Ms...Downloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://zone.msn.com/binFramework/v10...o.cab32846.cab
O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} - http://fdl.msn.com/zone/datafiles/heartbeat.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{45B748A6-4BE8-4D47-95AB-03274F5A9C49}: Domain = lan.fli4l
O17 - HKLM\System\CCS\Services\Tcpip\..\{45B748A6-4BE8-4D47-95AB-03274F5A9C49}: NameServer = 192.168.1.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{45B748A6-4BE8-4D47-95AB-03274F5A9C49}: Domain = lan.fli4l
O17 - HKLM\System\CS1\Services\Tcpip\..\{45B748A6-4BE8-4D47-95AB-03274F5A9C49}: NameServer = 192.168.1.1
__________________

Alt 13.01.2005, 00:42   #4
Shadowdance
 
DR/180solutions - Standard

DR/180solutions



@ Deep

Du dürftest einige Malware auf dem System haben. Es ist daher besser, erst zu erfahren, was Du genau auf dem Rechner hast.

Erstelle dazu einen neuen Ordner "bases" auf der Festplatte C: (c:\bases). Lade den eScan runter und entpacke ihn in diesen neuen Ordner. Lies die Anleitung in diesem Link sehr genau. Update den eScan online und führe ihn offline im abgesicherten Modus aus. Der eScan dauert ca 1 Stunde und löscht keine Malware. Das wird manuell gemacht.

Teile uns das Ergebnis des eScan mit: öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre)

=>Total Number of Files Scanned:
=>Total Number of Virus(es) Found:
***** Scanning complete. *****


Das Hijack This Logfile sollte in der Version: v1.99.0 erstellt werden.

Alt 13.01.2005, 22:33   #5
Deep
 
DR/180solutions - Standard

DR/180solutions



Zitat:
File C:\Programme\QuickSearch\QuickSearchBar3_28.dll infected by "not-a-virus:AdWare.ToolBar.Quick.b" Virus. Action Taken: No Action Taken.

Thu Jan 13 22:49:50 2005 => File C:\WINDOWS\ydotot.exe infected by "not-a-virus:AdWare.180Solutions" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\NDNuninstall5_64.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.

File C:\Programme\QuickSearch\Uninstall_QuickSearchBar.exe infected by "not-a-virus:AdWare.ToolBar.Quick.b" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\NDNuninstall5_64.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.

File E:\Programme\Gluz\saaphook.dll infected by "not-a-virus:AdWare.180Solutions" Virus. Action Taken: No Action Taken.
das sind die entries von eScan


Alt 13.01.2005, 23:52   #6
Deep
 
DR/180solutions - Standard

DR/180solutions



Zitat:
Logfile of HijackThis v1.99.0
Scan saved at 00:50:33, on 14.01.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Dell\AccessDirect\dadapp.exe
C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
E:\programme\gluz\saap.exe
E:\Programme\AntiVir\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
E:\Programme\OpenOffice\program\soffice.exe
E:\Programme\AntiVir\AVGUARD.EXE
E:\Programme\AntiVir\AVWUPSRV.EXE
E:\Programme\Opera\opera.exe
C:\DOKUME~1\MICHEL~1\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Acrobat Reader\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: QuickSearch SearchBar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Programme\QuickSearch\QuickSearchBar3_28.dll
O3 - Toolbar: QuickSearch SearchBar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Programme\QuickSearch\QuickSearchBar3_28.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [DadApp] C:\Programme\Dell\AccessDirect\dadapp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [saap] e:\programme\gluz\saap.exe
O4 - HKLM\..\Run: [ydotot] C:\WINDOWS\ydotot.exe
O4 - HKLM\..\Run: [AVGCtrl] E:\Programme\AntiVir\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: OpenOffice.org 1.1.4.lnk = E:\Programme\OpenOffice\program\quickstart.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {90A29DA5-D020-4B18-8660-6689520C7CD7} (DmiReader Class) - http://support.euro.dell.com/global/...r/PROFILER.CAB
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/Ms...Downloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://zone.msn.com/binFramework/v10...o.cab32846.cab
O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} - http://fdl.msn.com/zone/datafiles/heartbeat.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{45B748A6-4BE8-4D47-95AB-03274F5A9C49}: Domain = lan.fli4l
O17 - HKLM\System\CCS\Services\Tcpip\..\{45B748A6-4BE8-4D47-95AB-03274F5A9C49}: NameServer = 192.168.1.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{45B748A6-4BE8-4D47-95AB-03274F5A9C49}: Domain = lan.fli4l
O17 - HKLM\System\CS1\Services\Tcpip\..\{45B748A6-4BE8-4D47-95AB-03274F5A9C49}: NameServer = 192.168.1.1
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - E:\Programme\AntiVir\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - E:\Programme\AntiVir\AVWUPSRV.EXE
O23 - Service: PsShutdown - Systems Internals - C:\WINDOWS\System32\PSSDNSVC.EXE
... und hier noch das neue hijack this log

Alt 14.01.2005, 03:51   #7
Shadowdance
 
DR/180solutions - Standard

DR/180solutions



@ Deep

downloade LSP-Fix. Es kann sein, dass Du Probleme bekommst, ins Netz zu kommen: die Internetverbindung trennen und LSP-Fix ausführen. Den Rechner neu booten.

Lade das Clear Prog runter, mach ein Häkchen' bei "Clear all" und klicke auf "Clear".

1.) --> "Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren" (Cidre)

diese Malware-Einträge bitte von Hand löschen:

2.) --> Boote dann in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, Datei markieren/kopieren, in die Windows Suche übertragen -> löschen:

C:\WINDOWS\ydotot.exe
C:\Programme\QuickSearch\Uninstall_QuickSearchBar. exe
E:\programme\gluz\saap.exe

3.) --> Cidre und Chaosman zum löschen von DLL's zitiert:
"[i]entweder probierst du dies http://www.windows-tweaks.info/html/dllsuchexp.html oder du machst es so: Lade Dir Winfile.exe (einen älteren NT-Dateimanager) herunter und starte ihn. Navigiere im rechten Fenster zu der betreffenden dll, markiere sie und wähle im Menue Security die Option Permissions. Ändere im unteren Auswahlfenster die Zugriffsart auf Vollzugriff. Bestätige mit [OK]. Dann wähle im selben Menue die Option Owner und klicke auf [Besitz übernehmen]. Bestätige mit OK. Jetzt die Datei umbenennen in z.B. Malware.txt und die Nachfragen jeweils mit [OK] bzw. [Ja] bestätigen. Anschließend sollten die Dateien sich löschen lassen:

C:\Programme\QuickSearch\QuickSearchBar3_28.dll
E:\Programme\Gluz\saaphook.dll

4.) --> mit LSP-Fix einlesen und einfach von links nach recht schieben:

C:\WINDOWS\NDNuninstall5_64.exe

Nach dem löschen in den normalen Modus booten und die Systemwiederherstellung wieder aktivieren. Neu booten.

------------

überprüfe mit dem online-scan von Kaspersky:

C:\WINDOWS\System32\PSSDNSVC.EXE

teile uns das Ergebnis der Überprüfung mit.

Geändert von Shadowdance (14.01.2005 um 04:23 Uhr)

Alt 14.01.2005, 23:29   #8
Deep
 
DR/180solutions - Standard

DR/180solutions



erst mal danke für deine kompetente hilfe, shadow. noch ein, zwei fragen zum vorgehen:

- LSP ausführen und ClearProg kommen also noch bevor ich einige dateien von hand lösche?

- meinst du mit
Zitat:
diese Malware-Einträge bitte von Hand löschen
diese hier?
Zitat:
C:\WINDOWS\ydotot.exe
C:\Programme\QuickSearch\Uninstall_QuickSearchBar. exe
E:\programme\gluz\saap.exe

Antwort

Themen zu DR/180solutions
.exe, abgesicherten modus, acrobat, antivir, antivir meldet, avgnt.exe, bho, button, ctfmon.exe, danke, dropper, hijack, hijack this, hijack this logfile, icon, immer wieder, kopieren, logfile, messenger, msn messenger, namen, nvcpl.dll, programme, rundll, rundll32.exe, scan, services, solution, sun java, system, system32, tcpip, this, tools, windows messenger



Ähnliche Themen: DR/180solutions


  1. Dropper DR/180Solutions - mal wieder !!!!
    Log-Analyse und Auswertung - 27.10.2005 (1)
  2. Dialer - 180solutions.SearchAssistant
    Plagegeister aller Art und deren Bekämpfung - 06.07.2005 (1)
  3. Trojaner DR/180Solutions.B
    Plagegeister aller Art und deren Bekämpfung - 06.06.2005 (6)
  4. Brauche Hilfe bei 180Solutions
    Log-Analyse und Auswertung - 31.03.2005 (3)
  5. Trojaner durch 180Solutions
    Log-Analyse und Auswertung - 30.03.2005 (10)
  6. HILFE!! dropper DR/180Solutions
    Log-Analyse und Auswertung - 13.03.2005 (2)
  7. HILFE!!DR/180Solutions bzw. PMS/180Solutions.A
    Log-Analyse und Auswertung - 27.02.2005 (1)
  8. DR/180Solutions
    Log-Analyse und Auswertung - 27.02.2005 (11)
  9. DR/180Solutions
    Plagegeister aller Art und deren Bekämpfung - 24.01.2005 (5)
  10. DR/180Solutions
    Plagegeister aller Art und deren Bekämpfung - 08.01.2005 (1)
  11. DR/180Solutions
    Plagegeister aller Art und deren Bekämpfung - 02.01.2005 (14)
  12. DR/180solutions !!!HILFE!!!
    Plagegeister aller Art und deren Bekämpfung - 01.12.2004 (5)
  13. dr/180solutions dropper please help me...
    Plagegeister aller Art und deren Bekämpfung - 18.11.2004 (3)
  14. dr/180solutions please help me...
    Log-Analyse und Auswertung - 17.11.2004 (3)
  15. Dropper DR/180Solutions
    Log-Analyse und Auswertung - 16.11.2004 (5)
  16. Hilfe! DR 180Solutions
    Plagegeister aller Art und deren Bekämpfung - 06.11.2004 (1)
  17. 180solutions, net.com etc. entfernt ?
    Log-Analyse und Auswertung - 25.10.2004 (1)

Zum Thema DR/180solutions - antivir meldet immer wieder den dropper dr/180solutions. auch das empfohlene ausschalten des windows-seitigen kopieren von konfigurationsdateien und virenscan im abgesicherten modus bringt nichts, er kommt immer wieder. im systemtray befindet - DR/180solutions...
Archiv
Du betrachtest: DR/180solutions auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.