Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: puper und click.age infiziert

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 24.06.2005, 12:38   #1
JerryG
 
puper und click.age infiziert - Standard

puper und click.age infiziert



Habe o.a. trojaner, die auch nach dem fixen bei jedem Neustart wieder im System sind. Kann nur im abgesicherten Modus booten. Wer kann mir helfen?
Anbei die Logdatei:
Logfile of HijackThis v1.99.1
Scan saved at 11:17:34, on 24.06.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\shnlog.exe
C:\WINDOWS\popuper.exe
C:\WINDOWS\system32\intmonp.exe
C:\WINDOWS\system32\intmon.exe
p:\AVPersonal\AVGUARD.EXE
p:\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
P:\NORTON~1\NORTON~1\NPROTECT.EXE
P:\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\DOKUME~1\Gerd\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.oneclicksearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.oneclicksearches.com/bar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.oneclicksearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.oneclicksearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.oneclicksearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.oneclicksearches.com/search.php?qq=%1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.oneclicksearches.com/
O2 - BHO: VMHomepage Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - C:\WINDOWS\system32\hp85AA.tmp
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - p:\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - p:\AVPersonal\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: NetMeeting-Remotedesktop-Freigabe (mnmsrvc) - Unknown owner - I:\WINDOWS\system32\mnmsrvc.exe (file missing)
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - P:\NORTON~1\NORTON~1\NPROTECT.EXE
O23 - Service: Sitzungs-Manager für Remotedesktophilfe (RDSessMgr) - Unknown owner - I:\WINDOWS\system32\sessmgr.exe (file missing)
O23 - Service: Speed Disk service - Symantec Corporation - P:\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE

Vielen Dank!
JerryG
_____________
Anm.
Aktive Links editiert!
Beachte zukünftig die Hinweise dieser Anleitung: HiJackThis.


LG Cidre
S-Mod TB

Geändert von Cidre (25.06.2005 um 12:42 Uhr)

Alt 24.06.2005, 13:34   #2
Chris14
 

puper und click.age infiziert - Standard

puper und click.age infiziert



fixe mal diese einträge:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.oneclicksearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.oneclicksearches.com/bar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.oneclicksearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.oneclicksearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.oneclicksearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.oneclicksearches.com/search.php?qq=%1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.oneclicksearches.com/
O2 - BHO: VMHomepage Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - C:\WINDOWS\system32\hp85AA.tmp

-lösche zudem:
datei shnlog.exe,popuper.exe, intmonp.exe und intmon.exe im ordner c:\windows\system32

neues hjt logfile im normalen modus erstellen und posten
_____________
Anm.
Aktive Links editiert!
Beachte zukünftig die Hinweise dieser Anleitung: HiJackThis.


LG Cidre
S-Mod TB
__________________


Geändert von Cidre (25.06.2005 um 12:41 Uhr)

Alt 24.06.2005, 23:05   #3
JerryG
 
puper und click.age infiziert - Standard

puper und click.age infiziert



Hallo Chris14
vielen Dank für die Tipps, ich glaube fast, es hat geklappt. Allerdings habe ich die Datei popuper.exe nicht im Verzeichnis windows\system32 finden können.
Anbei noch einmal ein neues log-file - ich finde, es sieht gut aus!
Logfile of HijackThis v1.99.1
Scan saved at 23:01:26, on 24.06.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\popuper.exe
C:\WINDOWS\system32\intmonp.exe
p:\AVPersonal\AVGUARD.EXE
p:\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
P:\NORTON~1\NORTON~1\NPROTECT.EXE
P:\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Gerd\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - p:\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - p:\AVPersonal\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - P:\NORTON~1\NORTON~1\NPROTECT.EXE
O23 - Service: Sitzungs-Manager für Remotedesktophilfe (RDSessMgr) - Unknown owner - I:\WINDOWS\system32\sessmgr.exe (file missing)
O23 - Service: Speed Disk service - Symantec Corporation - P:\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE
__________________

Alt 24.06.2005, 23:25   #4
dartus
 
puper und click.age infiziert - Standard

puper und click.age infiziert



Hallo JerryG,
Zitat:
Anbei noch einmal ein neues log-file - ich finde, es sieht gut aus!
Leider nicht:
C:\WINDOWS\popuper.exe
C:\WINDOWS\system32\intmonp.exe

Arbeite folgendes ab:
http://www.trojaner-board.de/showthread.php?t=17863

dartus
__________________
Kein Support per PN

Alt 25.06.2005, 12:01   #5
JerryG
 
puper und click.age infiziert - Standard

puper und click.age infiziert



Danke Dartus,
ich hatte auch schon gesehen, dass smitfraud noch im system war. Aber ohne deine Hilfe hätte ich ihn nicht so schnell eliminieren können. Ich hoffe, es hat geklappt. Vielleicht kann sich ja noch mal jemand mein log-file ansehen
Logfile of HijackThis v1.99.1
Scan saved at 11:55:23, on 25.06.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
p:\AVPersonal\AVGUARD.EXE
p:\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
P:\NORTON~1\NORTON~1\NPROTECT.EXE
P:\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Gerd\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - p:\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - p:\AVPersonal\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - P:\NORTON~1\NORTON~1\NPROTECT.EXE
O23 - Service: Sitzungs-Manager für Remotedesktophilfe (RDSessMgr) - Unknown owner - I:\WINDOWS\system32\sessmgr.exe (file missing)
O23 - Service: Speed Disk service - Symantec Corporation - P:\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE

Ich weiß vor allem nicht, was ich von dem Eintrag O23-Service: Sitzungs-Manager für Remotedesktophilfe halten soll (unknown owner?)
Vielen Dank an die Community
JerryG


Alt 27.06.2005, 09:44   #6
dartus
 
puper und click.age infiziert - Standard

puper und click.age infiziert



Hallo JerryG,

in Deinem Logfile ist nichts ungewöhnliches zu erkennen.

http://www.processlibrary.com/directory/files/sessmgr/

Schau Dir hier die 12 Punkte zur Systemabsicherung an.

dartus
__________________
--> puper und click.age infiziert

Antwort

Themen zu puper und click.age infiziert
abgesicherten modus, antivir, antivir update, bho, bla, dateien, explorer, hijack, hijackthis, infiziert, internet, internet explorer, links, logfile, microsoft, neustart, programme, scan, software, symantec, system, system32, temp, trojaner, update, vielen dank, windows, windows xp



Ähnliche Themen: puper und click.age infiziert


  1. Probleme mit Click to save Deal Finder & Click to Continue
    Plagegeister aller Art und deren Bekämpfung - 06.08.2013 (9)
  2. System infiziert. USB-Stick und Datensicherung auch infiziert?
    Plagegeister aller Art und deren Bekämpfung - 05.07.2011 (2)
  3. Trojan.Puper?
    Log-Analyse und Auswertung - 06.12.2008 (1)
  4. Mit VBS/Click.A infiziert. Brauche Hilfe
    Log-Analyse und Auswertung - 04.05.2008 (14)
  5. VBS/Click.A
    Plagegeister aller Art und deren Bekämpfung - 05.01.2008 (6)
  6. Hijackthis Logfile "Puper?!"
    Log-Analyse und Auswertung - 06.01.2007 (3)
  7. Trojaner - Puper
    Plagegeister aller Art und deren Bekämpfung - 19.04.2006 (7)
  8. Dldr.Zlob.BZ.2 und Puper.BQ
    Plagegeister aller Art und deren Bekämpfung - 11.12.2005 (6)
  9. HiJackThis-File von meinem verseuchten PC /puper.dll
    Log-Analyse und Auswertung - 04.11.2005 (10)
  10. puper und favadd
    Log-Analyse und Auswertung - 10.10.2005 (1)
  11. probleme mit tr/puper.ba.1
    Log-Analyse und Auswertung - 03.10.2005 (1)
  12. Bitte mal ansehen vermutlich TR/puper.g.3
    Log-Analyse und Auswertung - 07.08.2005 (1)
  13. Win32:Puper-E / Win32:Trojano-1744
    Plagegeister aller Art und deren Bekämpfung - 28.07.2005 (10)
  14. TR/Puper.x.1
    Log-Analyse und Auswertung - 08.07.2005 (1)
  15. TR/Click.Age.dj.5.C
    Log-Analyse und Auswertung - 27.06.2005 (1)
  16. TR/Click.Age.dj.5.C
    Plagegeister aller Art und deren Bekämpfung - 13.06.2005 (12)
  17. TR\Puper.A- Hilfe benötigt
    Log-Analyse und Auswertung - 17.05.2005 (3)

Zum Thema puper und click.age infiziert - Habe o.a. trojaner, die auch nach dem fixen bei jedem Neustart wieder im System sind. Kann nur im abgesicherten Modus booten. Wer kann mir helfen? Anbei die Logdatei: Logfile of - puper und click.age infiziert...
Archiv
Du betrachtest: puper und click.age infiziert auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.