Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Goabot oder Desktop.html

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML

Antwort
Alt 27.05.2005, 15:31   #1
Christian Sturm
 
Goabot oder Desktop.html - Standard

Goabot oder Desktop.html



Hallo, bin hier am Rechner eines Kollegen, der mich um Hilfe gebeten hat....
Ich würde Ihm gerne Helfen, aber die Anwendung von gängigen Tools bringt
keine Verbesserung. Deshalb wende ich mich jetzt an die Profis....

Also... ich fand den Rechner mit etwa 20 Spy-tools vor.... und dem allseits bekannten desktop.html "Windows Error"... schwarzes Fenster auf bleuem Grund....

Spysweeper, Bitdefender, und Symantec Goabot fix, sowie Spybot Search&Destroy glauben das System wäre clean.... allerdings passieren hier mitunter Bitdefender Warnungen das Programme geblockt wurden....

Und das Desktopbild läßt sich immernochnicht ändern... Hier ist noch was faul... Würde mich freuen wenn Ihr mir nen Tipp geben könntet....

Hier das Logfile....


Logfile of HijackThis v1.99.1
Scan saved at 16:27:14, on 27.05.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\Services\{71B6341D-E0AC-4C61-A91D-2440DA5BA6BB}\SVCHOST.EXE
C:\PROGRA~1\SecCopy\SecCopy.exe
C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Softwin\BitDefender8\vsserv.exe
c:\programme\softwin\bitdefender8\bdmcon.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Line\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - C:\Programme\Ipswitch\WS_FTP Home\wsbho2k0.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [StarMoneyRunEntry] "C:\Programme\StarMoney Business 1.0 S-Edition\oflagent.exe"
O4 - HKLM\..\Run: [BDOESRV] C:\Programme\Softwin\BitDefender8\\bdoesrv.exe
O4 - HKLM\..\Run: [BDNewsAgent] C:\PROGRA~1\Softwin\BITDEF~1\bdnagent.exe
O4 - HKLM\..\Run: [BDMCon] C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [Second Copy 2000] "C:\PROGRA~1\SecCopy\SecCopy.exe"
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /0
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: + Offline &Explorer: Download the link - file://C:\Programme\Offline Explorer\Add_UrlO.htm
O8 - Extra context menu item: + Offline E&xplorer: Download the current page - file://C:\Programme\Offline Explorer\Add_AllO.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{9FAB252A-7D72-41F8-A2E4-A8B6B688B97C}: NameServer = 192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{9FAB252A-7D72-41F8-A2E4-A8B6B688B97C}: NameServer = 192.168.0.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{9FAB252A-7D72-41F8-A2E4-A8B6B688B97C}: NameServer = 192.168.0.1
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Programme\Softwin\BitDefender8\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
O23 - Service: {9fitnaegnl - Softwin - (no file)



PS: Sieht auf den ersten Blick eigentlich gut aus.... aber gebt mir mal nen OK, damit ich mich beruhigen kann

VLG Chris

Alt 27.05.2005, 15:38   #2
Rene-gad
 
Goabot oder Desktop.html - Standard

Goabot oder Desktop.html



@Christian Sturm
Zitat:
Sieht auf den ersten Blick eigentlich gut aus....
Tja , sieht einfach Prima aus
Zitat:
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Ungepatchtes System mit
Zitat:
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
mindestens einem Backdoor drauf: Info:http://www.sophos.de/virusinfo/analy...2spybotcy.html
Bitte neu aufsetzen. Anleintung -Link in meiner Signatur.
__________________


Alt 27.05.2005, 16:37   #3
Christian Sturm
 
Goabot oder Desktop.html - Standard

Goabot oder Desktop.html



Alternativen? *heul*
Das dauert Jahre die Mühle wieder so herzustellen, das es so ist wie jetzt (ohne Backdoor).

Im Ernst, ist mir schon klar, daß 100%tige Sicherheit nur durch Neuaufsetzen des OS gegeben ist, aber gibt es nicht eine.... Feierabendfreundlichere Variante?

Neiiiiieeennnn!!!!!! HÜÜÜLLLFFEEE!!!!!!
__________________

Alt 27.05.2005, 16:46   #4
Haui45
 
Goabot oder Desktop.html - Standard

Goabot oder Desktop.html



Überprüfe die folgenden Dateien online bei http://virusscan.jotti.org/de und poste das Ergebnis.
Zitat:
C:\winstall.exe
C:\Programme\StarMoney Business 1.0 S-Edition\oflagent.exe

Alt 27.05.2005, 17:18   #5
Christian Sturm
 
Goabot oder Desktop.html - Standard

Goabot oder Desktop.html



Datei: winstall.exe
Status: INFIZIERT/MALWARE (Anmerkung: Es wurde nur nicht-destruktive Malware gefunden. Obwohl diese Art von Malware lästig sein kann, werden die Ergebnisse nicht in der Datenbank gespeichert.)

Entdeckte Packprogramme: -

AntiVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden

Dr.Web Trojan.Fakealert gefunden

F-Prot Antivirus Keine Viren gefunden
Fortinet Keine Viren gefunden

Kaspersky Anti-Virus not-virus:Hoax.Win32.Renos.a gefunden

mks_vir Keine Viren gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden

VBA32 Trojan.Fakealert gefunden

---------------------------------------------------------------------

C:\Programme\StarMoney Business 1.0 S-Edition\oflagent.exe

ist ok....

---------------------------------------------------------------------

VLG Chris


Alt 27.05.2005, 17:27   #6
Christian Sturm
 
Goabot oder Desktop.html - Standard

Goabot oder Desktop.html



Hier starren gerade 4 Personen auf den Monitor, und prosten auf Trojaner-Board.de

Jungs bis hierher habt Ihr euch nen virtuelles Bierchen verdient *prost*
:aplaus:
VLG Chris

Alt 27.05.2005, 17:38   #7
Yopie
Moderator, a.D.
 
Goabot oder Desktop.html - Standard

Goabot oder Desktop.html



Um Klarheit zu bekommen, würde ich mal nach folgender Anleitung vorgehen:
http://www.trojaner-board.com/showthread.php?t=17492



Gruß
Yopie

Alt 27.05.2005, 18:27   #8
Christian Sturm
 
Goabot oder Desktop.html - Standard

Goabot oder Desktop.html





Logfile of HijackThis v1.99.1
Scan saved at 19:26:28, on 27.05.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Softwin\BitDefender8\vsserv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\StarMoney Business 1.0 S-Edition\_offla2.exe
C:\WINDOWS\System32\taskmgr.exe
C:\Programme\StarMoney Business 1.0 S-Edition\_mloaded.exe
C:\Dokumente und Einstellungen\Line\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - C:\Programme\Ipswitch\WS_FTP Home\wsbho2k0.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [StarMoneyRunEntry] "C:\Programme\StarMoney Business 1.0 S-Edition\oflagent.exe"
O4 - HKLM\..\Run: [BDMCon] C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [BDOESRV] C:\Programme\Softwin\BitDefender8\\bdoesrv.exe
O4 - HKLM\..\Run: [BDNewsAgent] C:\PROGRA~1\Softwin\BITDEF~1\bdnagent.exe
O4 - HKCU\..\Run: [Second Copy 2000] "C:\PROGRA~1\SecCopy\SecCopy.exe"
O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /0
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: + Offline &Explorer: Download the link - file://C:\Programme\Offline Explorer\Add_UrlO.htm
O8 - Extra context menu item: + Offline E&xplorer: Download the current page - file://C:\Programme\Offline Explorer\Add_AllO.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{9FAB252A-7D72-41F8-A2E4-A8B6B688B97C}: NameServer = 192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{9FAB252A-7D72-41F8-A2E4-A8B6B688B97C}: NameServer = 192.168.0.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{9FAB252A-7D72-41F8-A2E4-A8B6B688B97C}: NameServer = 192.168.0.1
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Programme\Softwin\BitDefender8\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
O23 - Service: {9fitnaegnl - Softwin - (no file)

--------------------------------------------------------------------
Sind bereits bei Whisky angekommen
Ich sag nur "Systemwiederherstellungspunkt"
*prost*

VLG Chris

Gibst nen Statement zu unserer Lösung?
Schönes Wochenende!

Alt 27.05.2005, 18:37   #9
Yopie
Moderator, a.D.
 
Goabot oder Desktop.html - Standard

Goabot oder Desktop.html



Auf eine Anleitung für escan postest Du ein HJT-Log? Zuviel Whisky?
Poste mal die escan-Funde, z.B. mithilfe der find.bat!

SP2 fehlt!

Gruß
Yopie

Alt 27.05.2005, 18:39   #10
Christian Sturm
 
Goabot oder Desktop.html - Standard

Goabot oder Desktop.html



Naja, also hauptproblem war die winstall.exe....

die ist weg.... ist der Weg der Systemwiederherstellung eine reelle Lösung?
-Ich meine mal abgesehen von escan etc. ...

VLG Chris

Alt 27.05.2005, 19:00   #11
Yopie
Moderator, a.D.
 
Goabot oder Desktop.html - Standard

Goabot oder Desktop.html



Da du oben GAOBot erwähntest, solltest Du mit escan auf Nummer sicher gehen.
Wenn so ein Backdoor aktiv war, dann ist Neuinstallation der einzig gangbare Weg.

Gruß
Yopie

Alt 27.05.2005, 19:05   #12
Christian Sturm
 
Goabot oder Desktop.html - Standard

Goabot oder Desktop.html



OK, ich danke euch ertmal für die Hilfe.....
Wünsche Euch nochmal nen schönes WE..... :aplaus:
VLG Chris

Antwort

Themen zu Goabot oder Desktop.html
adobe, bho, bitdefender, dateien, defender, download, einstellungen, error, explorer, helfen, hijack, hijackthis, home, internet, internet explorer, microsoft, programme, server, software, symantec, system, tuneup utilities, virus, webroot, windows, windows installer, windows xp



Ähnliche Themen: Goabot oder Desktop.html


  1. Nur noch Desktop Hintergrund-Bild oder weißer Bildschirm zu sehen
    Plagegeister aller Art und deren Bekämpfung - 07.07.2013 (9)
  2. Desktop bleibt nach Start Weiß oder Schwarz!
    Plagegeister aller Art und deren Bekämpfung - 26.05.2013 (22)
  3. Trojaner: Desktop Schwarz, Dateien ausgeblendet oder weg
    Plagegeister aller Art und deren Bekämpfung - 24.01.2013 (35)
  4. Mit eingeschalteter Benutzerkontensteuerung kein Programmaufruf über Taskleiste oder Desktop möglich
    Plagegeister aller Art und deren Bekämpfung - 06.12.2012 (1)
  5. Trojaner GVU 2.04 oder 07 blockiert mein Desktop
    Log-Analyse und Auswertung - 26.10.2012 (5)
  6. Trojaner an Bord oder nicht? html/malicious.pdf.gen gefunden - aber bisher keine Probleme
    Plagegeister aller Art und deren Bekämpfung - 27.03.2012 (37)
  7. .html datein verstopfen desktop
    Log-Analyse und Auswertung - 19.02.2012 (21)
  8. Virus oder unerwünschtes Programm 'HEUR/HTML.Malware' [heuristic]
    Plagegeister aller Art und deren Bekämpfung - 10.02.2010 (12)
  9. Firefox, VLC Player, Desktop nicht anklickbar oder verschiebbar
    Log-Analyse und Auswertung - 05.11.2009 (4)
  10. file://C:\WINDOWS\desktop.html wie geht das weg )
    Plagegeister aller Art und deren Bekämpfung - 20.09.2008 (63)
  11. Virus oder Trojaner HTML/Infected.WebPage.Gen
    Plagegeister aller Art und deren Bekämpfung - 27.07.2008 (2)
  12. Mein Desktop ist eine HTML !?!?!?
    Plagegeister aller Art und deren Bekämpfung - 16.10.2007 (1)
  13. desktop.html Hijackthis
    Log-Analyse und Auswertung - 19.05.2005 (3)
  14. Problem: Hintergrund nurnoch grau, desktop.html
    Log-Analyse und Auswertung - 25.03.2005 (16)
  15. Desktop ist html-file
    Log-Analyse und Auswertung - 31.07.2004 (5)
  16. Der ultimative Screenshoot Thread - oder: Wie sieht euer Desktop aus?
    Alles rund um Mac OSX & Linux - 29.03.2003 (60)
  17. HTML oder SELFHTML oder?
    Alles rund um Windows - 22.01.2003 (12)

Zum Thema Goabot oder Desktop.html - Hallo, bin hier am Rechner eines Kollegen, der mich um Hilfe gebeten hat.... Ich würde Ihm gerne Helfen, aber die Anwendung von gängigen Tools bringt keine Verbesserung. Deshalb wende ich - Goabot oder Desktop.html...
Archiv
Du betrachtest: Goabot oder Desktop.html auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.